新生鳩丸掲示板♯

>　行き違いっぽいですが、既に追記してあります。

タッチの差だったようですね。そうとはしらず…追記をありがとうございました。

>いやー、いいですねね。その写真も、それはそれで。

　ありがとうございます。

　それもこれも全て皆様のおかけでして、良い仲間に恵まれたことを大変幸せに思います。

>4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

(snip)

>http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

　ご指摘ありがとうございます。

　行き違いっぽいですが、既に追記してあります。

いやー、いいですねね。その写真も、それはそれで。

IPAのやつに載ったののほうが、生活感があるというか、リアル感があって素敵だけども、まあ写真としての方向性が違うということで。

4月度のセキュリティ更新プログラムを適用後も依然として【いわゆる】CSSXSS脆弱性()が残っていることが判明いたしました。

CVE-2005-4089( AKA CSSXSS )対策がMS06-013に含まれているとはMicrosoft社は公式発表していません。まだふさがっていないのだという認識のほうが安全かもと私も注意を受けたのですが、確認したところ確かにまだちょっとした工夫でCSSXSSな穴をくぐれます。

自衛しながら辛抱強く待つ必要がありますね。

関連：(たいしたことは書いてありませんが)

http://d.hatena.ne.jp/hoshikuzu/20060414#P20060414IECSSXSS

＞cssTextなんちゃらは不要ということになりますね。

全然不要ではありませんでした。何を書きたかったのか本人でもわかりません。(血汗)

>ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

DOM経由でcssTextなんちゃらを参照するのだと思っていましたが。何か他の参照方法があるのでしょうか。

どっちにしろ「ActiveX コントロールとプラグインの実行」は切った方がいいと思いますが、それは「スクリプトを切ればいい」とされているほとんどすべての脆弱性にも同様に当てはまるので、CSRF対策においてだけ特別にスクリプトだけ無効にしても意味がないと誤解させかねない書き方になると問題があります。ただでさえCSSXSS対策とごっちゃになって訳が分からない状態になってるのに。

えび日記におきまして

[quote]

ちなみに、CSSXSS に対しては利用者側でできる対策があります。それは、

・MSIE を使う場合、スクリプトを無効にする

[/quote]

とありますが、

えむけいさんがおっっしゃっている

[q]スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。[/q]

ということですので、ActiveX コントロールも切るべきかと。 ある種のActiveX コントロールでは DOM を参照できるというように理解しております。cssTextなんちゃらは不要ということになりますね。

>>> ちなみに利用者の対策としては、

>としっかり書かれているわけですが。

　それは CSSXSS に対する対策なのであって CSRF に対する対策ではないのですが、その点が誤解されているように思いました。

　確かに、その部分だけ読むとわかりにくいかもしれないと思いましたので、軽く書き直してみました。

>　これは、スクリプトで cssText プロパティの値を取得する以外の方法でいわゆる「CSSXSS」が成立するというご指摘でしょうか。

>「条件」についての詳しい情報など、どこかにありますでしょうか。

条件の1つはスクリプトが有効なことです【謎】。

それが何で

>>MSIEは、スクリプトをオフにする

に対する返信になるのかは私に聞かれても分かりませんが【謎】。

>>MSIEは、スクリプトをオフにする

>とありますが、

>CSSXSSでは、GETで持ってきたHtmlからHiddenを

>抜き出せる(条件がそろったときに)ので、

スクリプトが動かなければ抜き出せませんが。厳密には違いますけどそれとてアクティブ何とかを全部無効にしていればまったく問題ありませんし。

>セッションとは別に、サーバからは、トークンをcookeiで送り、

>次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。

それはサーバ側の対策です。引用された部分の1行前に

>> ちなみに利用者の対策としては、

としっかり書かれているわけですが。サーバとクライアントの区別もつかないのですか?

>>MSIEは、スクリプトをオフにする

>とありますが、

>CSSXSSでは、GETで持ってきたHtmlからHiddenを

>抜き出せる(条件がそろったときに)

　これは、スクリプトで cssText プロパティの値を取得する以外の方法でいわゆる「CSSXSS」が成立するというご指摘でしょうか。

「条件」についての詳しい情報など、どこかにありますでしょうか。

>MSIEは、スクリプトをオフにする

とありますが、

CSSXSSでは、GETで持ってきたHtmlからHiddenを

抜き出せる(条件がそろったときに)ので、

sessionをそのままHiddenにセットしてあると、

別にその人がScriptをオフにしてあっても、攻撃者のブラウザから

直接正しいSession付きのリクエストが送れます。

セッションとは別に、サーバからは、トークンをcookeiで送り、

次画面で、Hiddenで送送り返し、その値とセッションをチェックする。というのが正しいと思います。

ｑ

お答えありがとうございます。

やっぱりだめですか・・。

実はjspでstrutsを使ってるのでそういうタグもあるのですが、データの持ち方でちょっと大変かなと静的にやろうとしたんですけど・・。

ありがとうございました。

＞HTMLの質問

静的なHTMLでは、おっしゃられていることは難しいかと思います。サーバーサイドでselected属性付きで都度出力してあげるのが一番でしょう。

#無関係な話題ですが人狼BBSというオンラインゲームでは、自分が今、何をselectしているのかがわかりやすいように、アスタリスクをつけたHTMLを吐き出していました。秀逸だと思いました。

<select name="todofuken">

　<option value="">

　<option value="北海道">北海道

　<option value="青森県">青森県

　<option value="岩手県" selected="selected">*岩手県

　<option value="宮城県">宮城県

　<option value="秋田県">秋田県

</select>

早い返信ありがとうございます。

selectedをベタ書きすると常にそれが選択された状態となってしまいますよね？

optionに同じものがあった時それをデフォルト表示するという仕様にしたいのですが・・。

>というか「そこをselectedにしたい」とおっしゃっていますので、トートロジーでしょうか。

？？トートロジーとはなんでしょうか？？

よろしくお願いします。

>このようなソースでtodofukenが北海道だったら、そこをselectedにしたいのですが、できますでしょうか？

>よろしくお願いします。

selected属性 を利用すると良いのでは？

http://bakera.jp/hatomaru.aspx/ref/html/element/option

というか「そこをselectedにしたい」とおっしゃっていますので、トートロジーでしょうか。

はじめまして、HTMLの質問はここでしていいのでしょうか？

今、登録されたデータを書き出した時表示するページを作っています。

<select name="todofuken">

　<option value="">

　<option value="北海道">北海道

　<option value="青森県">青森県

　<option value="岩手県">岩手県

　<option value="宮城県">宮城県

　<option value="秋田県">秋田県

</select>

このようなソースでtodofukenが北海道だったら、そこをselectedにしたいのですが、できますでしょうか？

よろしくお願いします。

>HTMLDocument.domain を参照すると、'www.example.com' が返って来るように細工するですか…こんな乗っ取りじみたこと…(絶句)

どうも__defineGetter__はJavaScript(ECMAScriptでもJScriptでもないMozillaの実装)でしか使えないようなので、特定ブラウザの問題として却下するという解も捨てきれません。

何でもありという意味での権限上昇は確かに起きませんが、本来できないはずのクロスドメインのアクセスを許してしまうというのは権限上昇と取れないこともないですね。