新生鳩丸掲示板♯

プロフィールの中の、掲示板へのURIが間違えていますよ。

#ばけらさんのプロフィールができるのを楽しみにしていました♪

>小説を書いていた (しかも入賞歴がある) というのを，初めて知りました。

>まったくもって驚きです。

ご参考【謎】:

http://www.ne.jp/asahi/minazuki/bakera/now/bakera

bakera.jp上には対応するリソースは存在しないようです。

小説を書いていた (しかも入賞歴がある) というのを，初めて知りました。

まったくもって驚きです。

# 多芸多才のヒトがうらやましい。。。

>Win+LはWin2k未対応のはずです。

　なるほど、http://www.atmarkit.co.jp/fwin2k/win2ktips/017lock/lock.html あたりを見ると、Windows+L でロックできるのは XP からのようですね。Widows2000 では Ctrl+Alt+Del でロックするしかないということで。

Win+LはWin2k未対応のはずです。

>　行き違いっぽいですが、既に追記してあります。

タッチの差だったようですね。そうとはしらず…追記をありがとうございました。

>いやー、いいですねね。その写真も、それはそれで。

　ありがとうございます。

　それもこれも全て皆様のおかけでして、良い仲間に恵まれたことを大変幸せに思います。

>4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

(snip)

>http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

　ご指摘ありがとうございます。

　行き違いっぽいですが、既に追記してあります。

いやー、いいですねね。その写真も、それはそれで。

IPAのやつに載ったののほうが、生活感があるというか、リアル感があって素敵だけども、まあ写真としての方向性が違うということで。

4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

CVE-2005-4089( AKA CSSXSS )対策がMS06-013に含まれているとはMicrosoft社は公式発表していません。まだふさがっていないのだという認識のほうが安全かもと私も注意を受けたのですが、確認したところ確かにまだちょっとした工夫でCSSXSSな穴をくぐれます。

自衛しながら辛抱強く待つ必要がありますね。

関連：(たいしたことは書いてありませんが)

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

＞cssTextなんちゃらは不要ということになりますね。

全然不要ではありませんでした。何を書きたかったのか本人でもわかりません。(血汗)

>ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

DOM経由でcssTextなんちゃらを参照するのだと思っていましたが。何か他の参照方法があるのでしょうか。

どっちにしろ「ActiveX コントロールとプラグインの実行」は切った方がいいと思いますが、それは「スクリプトを切ればいい」とされているほとんどすべての脆弱性にも同様に当てはまるので、CSRF対策においてだけ特別にスクリプトだけ無効にしても意味がないと誤解させかねない書き方になると問題があります。ただでさえCSSXSS対策とごっちゃになって訳が分からない状態になってるのに。

えび日記におきまして

[quote]

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

・MSIE を使う場合、スクリプトを無効にする

[/quote]

とありますが、

えむけいさんがおっっしゃっている

[q]スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。[/q]

ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

>>> ちなみに利用者の対策としては、

>としっかり書かれているわけですが。

　それは CSSXSS に対する対策なのであって CSRF に対する対策ではないのですが、その点が誤解されているように思いました。

　確かに、その部分だけ読むとわかりにくいかもしれないと思いましたので、軽く書き直してみました。

>　これは、スクリプトで cssText プロパティの値を取得する以外の方法でいわゆる「CSSXSS」が成立するというご指摘でしょうか。

>「条件」についての詳しい情報など、どこかにありますでしょうか。

条件の1つはスクリプトが有効なことです【謎】。

それが何で

>>MSIEは、スクリプトをオフにする

に対する返信になるのかは私に聞かれても分かりませんが【謎】。

>>MSIEは、スクリプトをオフにする

>とありますが、

>CSSXSSでは、GETで持ってきたHtmlからHiddenを

>抜き出せる(条件がそろったときに)ので、

スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。

>セッションとは別に、サーバからは、トークンをcookeiで送り、

>次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。

それはサーバ側の対策です。引用された部分の1行前に

>> ちなみに利用者の対策としては、

としっかり書かれているわけですが。サーバとクライアントの区別もつかないのですか?

>>MSIEは、スクリプトをオフにする

>とありますが、

>CSSXSSでは、GETで持ってきたHtmlからHiddenを

>抜き出せる(条件がそろったときに)

　これは、スクリプトで cssText プロパティの値を取得する以外の方法でいわゆる「CSSXSS」が成立するというご指摘でしょうか。

「条件」についての詳しい情報など、どこかにありますでしょうか。

>MSIEは、スクリプトをオフにする

とありますが、

CSSXSSでは、GETで持ってきたHtmlからHiddenを

抜き出せる(条件がそろったときに)ので、

sessionをそのままHiddenにセットしてあると、

別にその人がScriptをオフにしてあっても、攻撃者のブラウザから

直接正しいSession付きのリクエストが送れます。

セッションとは別に、サーバからは、トークンをcookeiで送り、

次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。

ｑ

お答えありがとうございます。

やっぱりだめですか・・。

実はjspでstrutsを使ってるのでそういうタグもあるのですが、データの持ち方でちょっと大変かなと静的にやろうとしたんですけど・・。

ありがとうございました。