新生鳩丸掲示板♯

homepage1.nifty.com でもスクリプトを使えばおけw

>homepage1.nifty.com でもスクリプトを使えばおけw

　御意。

　ただし、その場合はスクリプトを無効にするという対抗策があります。

　hpcgi1.nifty.com の CGI で取られるとスクリプトを無効にしても駄目なので、こちらの方がより深刻です。

PARAMD だけ盗んでも、なりすまし（発言）ができるようですね。

日経ITプロの方に記事が出てますね。

「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施」

http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

>日経ITプロの方に記事が出てますね。

>「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施」

>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

Cookieのことは書いてないね。

> hpcgi*.nifty.com の画像を参照しているだけで十分です。

いっそ永続的なCookieだったらサードパーティーとして参照されたときは拒否してくれただろうに、セッション限りのCookieですからしっかり送信されてしまいますね。

>http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030623/3/

　うーん、微妙ですね……。

　掲示板の書き込みから捏造ログインフォームに誘導、というシナリオは私の描いたとおりでまあ OK なんですが、他にもいろいろな手があって、ユーザが全く気づかないうちにセッションハイジャックできたりするんですよね。

　しかも、セッションハイジャックの問題はまだ解決していないわけで……。これは私から「一部のフォーラム管理者」に報告しておくつもりですが、直らないんじゃないかなぁ、という気はしています。

> うーん、微妙ですね……。

まあ、取材した日時と記事で我々が読む間にタイムラグがあることもあるんでしょうが。

私は取り上げてくれた記者さんには感謝したいと思います。NIFTYへのプレッシャーにもなるでしょう。

ただ、この記事の「注意深いユーザーでも騙される」は良いとしても

「ただし現在までに実害はなし」は頂けませんね。多分NIFTY側の言い分だと思うのですが。

言えるとして「まだ露見していない」ぐらいでしょう。

HPが書き換えられちゃったとか、サーバの中の顧客個人情報が盗まれちゃったってな類じゃないんで、サーバ側では実害があったかどうか解らないはずです。

被害を受けるのはアクセスをした会員で、それもそのときはIDとパスワードを盗まれるだけ。

既に盗まれたとしても、その盗まれたIDとパスワードでその会員が実際の被害に逢うのはこれからです。

「6月28日前後の機能復旧を目指して・・」ってのは我々にとっては「情報」。

あと４日ですか。見守りたいと思います。

この記者さんも「その後の状況」をまた出して欲しいですね。

もしかしたら見てらっしゃるかも知れないですが。

>被害を受けるのはアクセスをした会員で、それもそのときはIDとパスワードを盗まれるだけ。既に盗まれたとしても、その盗まれたIDとパスワードでその会員が実際の被害に逢うのはこれからです。

　これはまったくもって御意。

　何を根拠に実害はないと断定しているのか理解できません。

>「6月28日前後の機能復旧を目指して・・」ってのは我々にとっては「情報」。

　あー、ごめんなさい、私は先週の時点でこの情報は得ていました。

　書いていませんでしたけれど……。