投稿順表示 (111/282)
前のページ 1...106/107/108/109/110/111/112/113/114/115/116...282 次のページ
[3657] Re: 「またウェンディーズで買えなかった」
ぽたと (2006年6月7日 11時30分)
>近所のモスバーガーでは喫煙席が別室になっていて完全密封されていました
>(ここまで来ると喫煙席ではなく喫煙室)
>これはこれで、「飲食店でそこまでやるか」という思いもします。
煙草の煙を吸うだけで、頭が痛くなってくる(そこまで酷くは無いですが・・・)私としては食事をする場所できっちりと分離してくれるのは非常にうれしいです。
[3656] Re: 「またウェンディーズで買えなかった」
bg (2006年6月7日 10時17分)
はじめまして。
近所のモスバーガーでは喫煙席が別室になっていて完全密封されていました
(ここまで来ると喫煙席ではなく喫煙室)
これはこれで、「飲食店でそこまでやるか」という思いもします。
ドトールは入り口に近い席が大抵禁煙席ですね。
[3653] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
りゅう (2006年6月5日 2時22分)
>>たとえスクリプトをオフにしていたとしても、ブラウザの謎の仕様や不具合によってform要素のaction属性で指定されているURLとは別のURLにPOSTされることは否定できません。
>
> そんなブラウザの不具合があれば、フォームが https でも駄目だと思いますが。
結果としては駄目ではありますが、それは自分が信頼したサイトと自分が信頼したユーザーエージェントがもたらした結果であって、信頼していない第三者が介入してセキュアでない結果をもたらした訳ではありません。
なので信頼したサイトが提供しているフォームがアレな動作をしたとしても、それはサイト自体がやられてしまっているとか、管理が杜撰で個人情報が漏れまくりというのと同じであって、通信経路に第三者が割り込んで改竄しているという問題とは別のものです。
で、その第三者による改竄の内容としてブラウザの謎の仕様や不具合を突くものというものも十分に考えられますし、安全を考えるならばその可能性すらも考える必要があるはずです。
> まあ、スクリプト無効だと使えない系のフォームを使わなければいけない場合は、そういうことを良くやるわけですが。
> ただ、その HTML を何処に置くかという問題はありますね。受け側が Referer を見たりしていると駄目だったり。
ブラウザを使ってクエリーを送信しなければならない決まりは無いので、そういう場合は人間ユーザーエージェントで対応するとか。まあ、そこまでして利用したいと思うようなサービスというのは無いとは思いますが。
[3651] Re: title要素とdocument.title
ZnZ (2006年6月3日 17時45分)
>http://bakera.jp/hatomaru.aspx/ebi/topic/397
>> 出力 HTML を DOM で扱っているおかげで XSS はないのですが、制御文字系は斬るようにした方が良いかも。
>とか。
XMLだとそもそも
http://www.fxis.co.jp/xmlcafe/tmp/rec-xml.html#charsets
に含まれていない制御文字系はそのまま含められないので(数値文字参照でも無理)、無理矢理入れるならbase64とかにするしかないと思うのですが。
[3650] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
ばけら (2006年6月3日 11時22分)
>ユーザが確認したソースとブラウザが解釈しているソースが同一でなければならないので、ソースの確認方法に注意が必要かもしれません。
ですね。微妙に invalid になっている場合とか……。
[3649] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
ばけら (2006年6月3日 11時21分)
>たとえスクリプトをオフにしていたとしても、ブラウザの謎の仕様や不具合によってform要素のaction属性で指定されているURLとは別のURLにPOSTされることは否定できません。
そんなブラウザの不具合があれば、フォームが https でも駄目だと思いますが。
>今回の場合、その可能性が否定できないのは送信フォームだけなので、それを信頼できるものに、つまり自分でそのフォームが送るはずのクエリーと同様のクエリーを意図したURLに送信するHTMLを自らの手で記述し、それを使用すれば解決できるような気がします。
まあ、スクリプト無効だと使えない系のフォームを使わなければいけない場合は、そういうことを良くやるわけですが。
ただ、その HTML を何処に置くかという問題はありますね。受け側が Referer を見たりしていると駄目だったり。
[3648] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
ばけら (2006年6月3日 11時18分)
>yuuさんのところで出ていたこれですか?
元々はその話です。
しかし、いろいろ考えて条件を追加していったら、既にそのフォームでは絶対無理という結論になっています。
ので、もはや単なる思考実験と化しています。
[3647] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
りゅう (2006年6月3日 3時7分)
たとえスクリプトをオフにしていたとしても、ブラウザの謎の仕様や不具合によってform要素のaction属性で指定されているURLとは別のURLにPOSTされることは否定できません。安全性を重視するのならば、信頼できないリソースはどこまでも信頼できないと考るべきでしょう。
要するに自分と自分が信頼した相手以外の第三者が関わっていることを否定できなければ危険というわけで、相手側がその手段を提供してくれないのならば、自らがそれを用意すれば解決できるはずです。用意できるものであれば。
今回の場合、その可能性が否定できないのは送信フォームだけなので、それを信頼できるものに、つまり自分でそのフォームが送るはずのクエリーと同様のクエリーを意図したURLに送信するHTMLを自らの手で記述し、それを使用すれば解決できるような気がします。
[3646] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
えむけい (2006年6月3日 2時29分)
yuuさんのところで出ていたこれですか?
http://www.web-standards.jp/apply/form_cm.html
送り先は思いっきりASPのような気がしますが(私が攻撃を受けて送り先を差し替えられているのでなければ)。
[3645] Re: 「それは本物の Firefox ですか?」
えむけい (2006年6月3日 2時13分)
>Firefoxのインストーラをローカルに保存済みだったのでうっかりしていましたが、
>>hostsに
>>202.181.97.84 download.mozilla.org
>>と追加してからFirefox 1.0.1をインストールして、
>順番逆にしないと偽ホストに繋ぎに行ってしまってFirefoxがインストールできないかも。
自分で仕掛けた罠に自分で引っかかりました【謎】。
とりあえずFirefox 1.5はちゃんとエラーにしてくれることも確認できました。
[3643] Re: 「非SSLのフォームから安全に送信する方法はあるのか」
takex (2006年6月1日 22時38分)
ユーザが確認したソースとブラウザが解釈しているソースが同一でなければならないので、ソースの確認方法に注意が必要かもしれません。
[3640] Re: title要素とdocument.title
スターダスト (2006年5月31日 11時14分)
>ばけらさんが何度も書いてますが、ぜんぜん読んですらいなかったということでしょうか。
確かに仰られるとおりです。よく考えて読んでいませんでした。DOMから(X)HTMLを作り出して出力する仕組みにばかり気がいっていました。(X)HTMLのフォームからDOMにつっこむ際にどうなるかまでについては脳内で曖昧にしていたようです。
今度こそ一生忘れないことでしょう。
[3638] Re: title要素とdocument.title
えむけい (2006年5月30日 18時36分)
>ということを私は全然知らないわけなのでした。
ばけらさんが何度も書いてますが、ぜんぜん読んですらいなかったということでしょうか。
http://bakera.jp/hatomaru.aspx/ebi/topic/2473
> この日記を処理している hatomaru.dll というプログラムでは、HTML の出力をサニタイズする処理を一切書いていません。すべてが DOM で処理されている (そして InnerXml に値を直接セットしないと決めている) ので、サニタイズを意識する必要がないのです。これは非常に気が楽でした。
とか。
http://bakera.jp/hatomaru.aspx/htmlbbs/article/3321
> DOM でやってしまうという方法は、こういうことも一切考えなくて良くなるので、その意味でも楽ですね。
とか。
http://bakera.jp/hatomaru.aspx/ebi/topic/397
> 出力 HTML を DOM で扱っているおかげで XSS はないのですが、制御文字系は斬るようにした方が良いかも。
とか。
http://bakera.jp/hatomaru.aspx/htmlbbs/article/345
> ちなみに hatomaru.dll は内容全てを DOM で作っているので、System.Xml 系のクラスにバグが無い限りは安全、なはずです。
とか。
[3636] Re: 「Newスーパーマリオをクリア?」
ばけら (2006年5月30日 14時13分)
>Newテニスを買ってくる必要があるとか【謎】。
Newテニス売ってないです……。
最近は PAR のような RAM イメージの解析ツールがあったりするので、もしあるのだったら判明しそうな気もしますが……しかし DS用のその手の津ツールってあんまり聞かないような気もしますね。
# 私が知らないだけかもしれませんが。
[3635] Re: title要素とdocument.title
ばけら (2006年5月30日 13時54分)
>JavaScriptオフな Fx で Domいんすぺくたぁで見てみましたが、文字参照がほどけていました。 HTMLってそういうものでしたか… (orz)
DOM は、HTML や XML のパース結果として得られた DOM ツリーにアクセスする感じのイメージです。文字参照などはパース時に展開していますので、DOM ツリー上に存在するテキストノードの中身にアクセスした時点では、文字参照は既に展開されています。
というわけで、そういうものだと思います。
ちなみに DOM でテキストノードに <> 等を入れても、それはタグとしては処理されず、ちゃんと文字列として処理されます。
[3634] Re: title要素とdocument.title
スターダスト (2006年5月30日 12時33分)
えぇと…思い込みと結果が異なっていますが、気に食わないわけではなくて、ビックリしたのです。で、思い込みを正すためにもと。
>DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる
ということを私は全然知らないわけなのでした。
[3633] Re: title要素とdocument.title
えむけい (2006年5月30日 11時40分)
DOMに値をセットしてHTML出力としてシリアライズしたら自動的に文字参照になる(だから原理的にXSSは発生し得ない)のですから、逆に文字参照を含んだHTMLを解析したら参照が自動的に展開されるのは当然だと思いますが。
何を問題にしてるのかさっぱりわかりません。単に自分の思い込みと結果が異なっていたのが気に喰わないだけですか?
前のページ 1...106/107/108/109/110/111/112/113/114/115/116...282 次のページ
