投稿順表示 (562/567)
前のページ 1...557/558/559/560/561/562/563/564/565/566/567 次のページ
[111] Re: えび日記 : 「XSS大王・さらなるホゥル」
yuu (2003年6月24日 10時36分)
>日経ITプロの方に記事が出てますね。
>「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」,緊急メンテナンスを実施」
Cookieのことは書いてないね。
[110] Re: えび日記 : 「XSS大王・さらなるホゥル」
賄い (2003年6月24日 10時20分)
日経ITプロの方に記事が出てますね。
「@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」,緊急メンテナンスを実施」
[109] Re: えび日記 : 「XSS大王」
えむけい (2003年6月24日 9時26分)
>>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。
>
>ttpスキームのURIとしては妥当な構文だと思いますが【謎】。
直してもらえなかったのはttpスキームのURIでは問題のリソースにたどり着けなかったからでしょうか【謎】。
[107] Re: えび日記 : 「XSS大王」
yuu (2003年6月24日 1時40分)
>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。
ttpスキームのURIとしては妥当な構文だと思いますが【謎】。
[106] Re: えび日記 : 「XSS大王」
しばてん (2003年6月24日 0時29分)
##新しいCMNはHTMLモード専用なので移行できません^^;
DLL explorer で見てたら、jscript.dll もロードされてました。
Nif-X は、ロードしてなさげでしたが、どちらも MSHTML.DLL は
ロードしていたやうな。
とりあえず、掲示板上ではサニタイズできていると信じれば、
HTMLモードでも大丈夫?
# navi2ch を改造するっていうのは、どうでしょうか(笑)
[105] Re: えび日記 : 「リンクできなかった」
えむけい (2003年6月23日 20時23分)
> 昔の規定は
(ちょっきん)
> だったと思いますが、
ていうかご自分で用語集に昔の規定を思いっきり引用してますので見るがよろしい【謎】。
http://altba.com/bakera/hatomaru.aspx/glossary/0040006e0069006600740079
[104] Re: えび日記 : 「XSS大王・さらなるホゥル」
ばけら (2003年6月23日 20時8分)
>homepage1.nifty.com でもスクリプトを使えばおけw
御意。
ただし、その場合はスクリプトを無効にするという対抗策があります。
hpcgi1.nifty.com の CGI で取られるとスクリプトを無効にしても駄目なので、こちらの方がより深刻です。
[103] Re: えび日記 : 「XSS大王」
y-Aki (2003年6月23日 18時40分)
>この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。
事故でもリンクにならないように。
というか最近の癖です^^;
[101] Re: えび日記 : 「XSS大王」
えむけい (2003年6月23日 15時58分)
>昔々に、
>
>ttp://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain
>
>あたり(あるいは同等)のURLをつけておくってやったんだけど、
>直してもらえなかったような。
この掲示板にはURLがあってもリンクしない機能がついていますがわざわざ不完全URLにする理由は何でしょうか【謎】。
http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain
[100] Re: えび日記 : 「XSS大王」
y-Aki (2003年6月23日 13時8分)
昔々に、
ttp://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/developer.html#domain
あたり(あるいは同等)のURLをつけておくってやったんだけど、
直してもらえなかったような。
[99] Re: えび日記 : 「XSS大王」
ばけら (2003年6月23日 12時50分)
>正確に言うと、クライアントサイドスクリプトはいらない。
>サーバー(げふんげふん
なるほど、domain=.nifty.com なんて Cookie が発行されているので、hpcgi1.nifty.com でもこの Cookie が取れるわけですね。
実際、Webフォーラムにログイン後に
にアクセスして Cookie が表示されることを確認しました。
いやー、これは私も本気で気づいていませんでした。
これはもう、根本的に設計から見直さないと駄目ですね。正直、対処不可能かも……。
[98] Re: えび日記 : 「XSS大王」
y-Aki (2003年6月23日 12時4分)
正確に言うと、クライアントサイドスクリプトはいらない。
サーバー(げふんげふん
ttp://hpcgi1.nifty.com/y-Aki/envs.cgi
とか^^;
まずかったら消して
[97] Re: えび日記 : 「XSS大王」
ばけら (2003年6月23日 12時0分)
>タグがそのまま見えるようになりました(笑)
20日の19時時点で「緊急措置」を行ったそうです。
ログインフォームの問題もそれなりに修正されていますが、本当に指摘した点だけしか考慮されていないようで、微妙に問題が残っています。
[96] Re: えび日記 : 「XSS大王」
ばけら (2003年6月23日 11時57分)
>Cookieって、アレかな?
>でも、スクリプトを使用せずに盗めるんですけど^^;
すみません、勉強不足でちょっと方法が想像できないのですが、どうやるとスクリプト無しで盗めるのでしょうか。
パケット盗聴?
[95] Re: えび日記 : 「リンクできなかった」
ばけら (2003年6月23日 11時55分)
>いつの間にかindex.htm付加義務【謎】はなくなっていたのですね。
昔の規定は
・リンク先は必ずトップページ(www.nifty.ne.jp)にリンクしてください。
・リンクの際は、必ずウインドウを分けてアクセスさせるようにしてください。
だったと思いますが、前者が「コンテンツのトップ」という表現になっています。「コンテンツのトップ」の定義がよく分かりませんが、いずれにしてもウィンドウを分けてアクセスさせるなんてことができないので問題ありません。
[94] Re: えび日記 : 「XSS大王」
y-Aki (2003年6月23日 11時29分)
Cookieって、アレかな?
でも、スクリプトを使用せずに盗めるんですけど^^;
安全にアクセスするには、掲示板を見ている間は、.nifty.comのほかのサイトは見ないことです。
#掲示板だけに集中 あと画像自動表示はオフがよろしいかと。
いまのところ、自動巡回ソフトで巡回するのが一番安全かも>ニフティコミュニティ掲示板
私はもうサポート外になってしまった(TT)cm_freeboardを使用しています。
#これはテキストモードがあるので
##新しいCMNはHTMLモード専用なので移行できません^^;
##ttp://www.nifty.com/forum/fmidi/bbs/tool/cmn/
[93] Re: えび日記 : 「XSS大王」
しばてん (2003年6月21日 22時45分)
タグがそのまま見えるようになりました(笑)
現在、「発言」は、できないようですが、
クッキーを盗まれる可能性のある脆弱性については、
修正されていないように見えます。
しばらくは、「善意ある方」にお任せして、
成り行きを見守ろうかと思います。
[92] Re: えび日記 : 「リンクできなかった」
えむけい (2003年6月20日 22時37分)
いつの間にかindex.htm付加義務【謎】はなくなっていたのですね。
そうコロコロとリンクポリシーを変えられると一見【謎】迷惑なのですが【謎】。