新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > スレッド内全記事表示 (記事 181 からのスレッド)

スレッド内全記事表示 (記事 181 からのスレッド)

[181] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

賄い (2003年6月27日 17時27分)

解決していない「さらなるホゥル」の問題はもちろん「Cookie の有効ドメインの範囲」が

諸悪の根源なんでしょうが、それが諸悪の根源になってしまうのは、 

「@nifty の会員であれば誰でも・・・任意の CGI を置くことができ」があるからでしょうね?

「Cookie の有効ドメインの範囲」だけなら望ましくないにしてもどこでも有りそうな問題で。

私の仕事の一部にはセキュリティも含まれているんですが、あいにくとWEBアプリが大の苦手なんで

このあたりを私よりももっと普通の人に説明するのがとても大変です。(・_・;)

どうしたら良いんでしょう。

・・・・ようするに解り易く説明する為のヒントは無いかしらと暗に要求。(笑)

各フォーラム側で何らかの対策って取れないもんでしょうかね。

つまり「タグ不可!」「テキストのみ!」にしたらその会議室ではこの危険性は避けられるなんてこと

にはならないんでしょうかね。

いや、この場にふさわしくない思いっきり素人発言で申し訳ないんですが。

NIFTYが他の点を約束通り28日以前に塞いでくれたことは評価しますが、

しかし、この「Cookie の有効ドメインの範囲」+「任意のCGI」問題が実は一番大きいように思えて

フォーラムも含めた何らかの防衛策が無いととてもWEBフォーラムなんて発言できね~ぞ~。

と、ちょっと暗くなっております。今のTTYで発言できなくなるのがもう目前なので。(T_T)

[182] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

y-Aki (2003年6月27日 17時44分)

ログインしている間に掲示板以外のサイトに行かなければ大丈夫。

ただし、掲示板にimgが貼れるとやばい。

iframeは、多分書けないと思うので、大丈夫。

scriptが書けるとアウト(って当たり前か)。

あとは、巡回ツールを信用するとして、巡回ツールを使用とか。

#CMNの最近の版はテキストモード使えるのか(でも、どうだろうか)

[183] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

ばけら (2003年6月27日 18時55分)

>ログインしている間に掲示板以外のサイトに行かなければ大丈夫。

 これが基本になるでしょうね。

 ただ、Web フォーラム内の発言で他のサイトを紹介するようなことは普通に行われると思います。普通は、ログアウトなどしないでそのまま見ますよね。実際、サーバのログを見ていますと Web フォーラム内からと思われる Referer が結構記録されていますから、皆さん普通に外部サイトへのリンクをたどっているようです。

 そんなわけで、普段から用心して絶対に他サイトを見ないようにしていないと、普通にリンクをたどって普通に踏んでしまう危険性はかなり高いと思います。

>ただし、掲示板にimgが貼れるとやばい。

 これは、かつては書き込めたので、「修正」後にも書けるようになる可能性は高いですね。修正によって javascript: だとか onclick だとかは書けなくなるのでしょうが、普通に画像が書けるだけで危険ですね。

[186] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

えむけい (2003年6月27日 21時32分)

ログインしようとするとログインフォームの次の真っ白な画面でスクリプトエラーが出てにっちもさっちもいかなくなるのですが私だけでしょうか?

確かにログインできなきゃ最強のセキュリティですが【謎】。

[187] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

えむけい (2003年6月27日 21時38分)

ちなみにその真っ白な画面のソースはこんな感じ。本来はgoCommSiteという名前が付いたフォームが書き出されるのでしょうがどこにも見当たりません。

<html>

<head>

<script language="javascript">

function goCommunitySite() {

document.goCommSite.submit();

}

</script>

</head>

<body onload="goCommunitySite()">

</body>

</html>

[210] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

ばけら (2003年7月1日 10時51分)

>ログインしようとするとログインフォームの次の真っ白な画面でスクリプトエラーが出てにっちもさっちもいかなくなるのですが私だけでしょうか?

 そうでもないみたいですね。

 何でトップにこういうアナウンスが出ないのかは謎ですが。

[211] Re: えび日記 : 「XSSは修正完了?(XSS大王続報)」

えむけい (2003年7月1日 12時23分)

> これについて、ニフティ社からは、セキュリティの強化に伴うものである可能性もあるが、まだ、詳細は調査中との返答がありました。

Cookieを盗んでセッションを乗っ取る攻撃に対しても何らかの対策をしてたってことですか。

>   3.「bbs1.nifty.com」等ではなく「nifty.com」 での認証後の掲示板利用

せっかくのセキュリティの強化【謎】を形骸化させてどうするんでしょうか【謎】。

最近の日記

関わった本など