新生鳩丸掲示板♯

実は私も誤操作かなんかでみつけたのですが、なにをしようとしてミスってみつけたのかわからない……。

そして、Win2kでもできるのかなってためしてみたら反応無くてしょぼーん。

だから下手に直せないって言ったのに。

http://d.hatena.ne.jp/hoshikuzu/20060219#c1140464087

> 「cssText プロパティを使っている人なんて見たことない」と断言してしまっていましたが、こんな使われ方もあり得るのですね。

Webページで見たことなくても全く油断できないわけです。XP SP2やIE7のいろいろ新しいセキュリティ機構がイントラネットゾーンのデフォルトではことごとく無効にされているのもそのためでしょうね。

>用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…

　ああ……用語追加したことすら忘れていました。

　追記部分消しておきました。

用語「CSSXSS」のページで、20060412のパッチにてCSSXSS穴がふさがれていると書いてありました…

>>プロフィールの中の、掲示板へのURIが間違えていますよ。

>メールで指摘するしかないか、と思ってました(謎)。

　ぐはー。すみません。

　修正しておきました。

>プロフィールの中の、掲示板へのURIが間違えていますよ。

メールで指摘するしかないか、と思ってました(謎)。

プロフィールの中の、掲示板へのURIが間違えていますよ。

#ばけらさんのプロフィールができるのを楽しみにしていました♪

>小説を書いていた (しかも入賞歴がある) というのを，初めて知りました。

>まったくもって驚きです。

ご参考【謎】:

http://www.ne.jp/asahi/minazuki/bakera/now/bakera

bakera.jp上には対応するリソースは存在しないようです。

小説を書いていた (しかも入賞歴がある) というのを，初めて知りました。

まったくもって驚きです。

# 多芸多才のヒトがうらやましい。。。

>Win+LはWin2k未対応のはずです。

　なるほど、http://www.atmarkit.co.jp/fwin2k/win2ktips/017lock/lock.html あたりを見ると、Windows+L でロックできるのは XP からのようですね。Widows2000 では Ctrl+Alt+Del でロックするしかないということで。

Win+LはWin2k未対応のはずです。

>　行き違いっぽいですが、既に追記してあります。

タッチの差だったようですね。そうとはしらず…追記をありがとうございました。

>いやー、いいですねね。その写真も、それはそれで。

　ありがとうございます。

　それもこれも全て皆様のおかけでして、良い仲間に恵まれたことを大変幸せに思います。

>4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

(snip)

>http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

　ご指摘ありがとうございます。

　行き違いっぽいですが、既に追記してあります。

いやー、いいですねね。その写真も、それはそれで。

IPAのやつに載ったののほうが、生活感があるというか、リアル感があって素敵だけども、まあ写真としての方向性が違うということで。

4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

CVE-2005-4089( AKA CSSXSS )対策がMS06-013に含まれているとはMicrosoft社は公式発表していません。まだふさがっていないのだという認識のほうが安全かもと私も注意を受けたのですが、確認したところ確かにまだちょっとした工夫でCSSXSSな穴をくぐれます。

自衛しながら辛抱強く待つ必要がありますね。

関連：(たいしたことは書いてありませんが)

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

＞cssTextなんちゃらは不要ということになりますね。

全然不要ではありませんでした。何を書きたかったのか本人でもわかりません。(血汗)

>ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

DOM経由でcssTextなんちゃらを参照するのだと思っていましたが。何か他の参照方法があるのでしょうか。

どっちにしろ「ActiveX コントロールとプラグインの実行」は切った方がいいと思いますが、それは「スクリプトを切ればいい」とされているほとんどすべての脆弱性にも同様に当てはまるので、CSRF対策においてだけ特別にスクリプトだけ無効にしても意味がないと誤解させかねない書き方になると問題があります。ただでさえCSSXSS対策とごっちゃになって訳が分からない状態になってるのに。

えび日記におきまして

[quote]

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

・MSIE を使う場合、スクリプトを無効にする

[/quote]

とありますが、

えむけいさんがおっっしゃっている

[q]スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。[/q]

ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

>>> ちなみに利用者の対策としては、

>としっかり書かれているわけですが。

　それは CSSXSS に対する対策なのであって CSRF に対する対策ではないのですが、その点が誤解されているように思いました。

　確かに、その部分だけ読むとわかりにくいかもしれないと思いましたので、軽く書き直してみました。