新生鳩丸掲示板♯

「オブジェクト参照がオブジェクト　インスタンスに設定されていません。

」というメッセージが出て、困っています。

どなたか、教えてください。

ゆうべ検索したらヒットしました。解決したと見て良いかと思います。

アプリケーションのコンポーネントで、ハンドルされていない例外が発生しました。[継続]をクリックすると、アプリケーションはこのエラーを無視し、続行しようとします。

オブジェクト参照がオブジェクト　インスタンスに設定されていません。

　このようなメッセージが表示されます。

　どなたか、この処理の方法がご存知の方がいらっしゃれば助けていただけませんか？

短期間に極めて多数の言及があったようなので(「水からの伝言」を信じないでください とかで検索するとページ自体は出てきませんがその言及がわらわら)、リンクspamと誤認された可能性はありますね。

>>ていうかスクリプトで任意のRefererを追加できるのですか?

>

>　そこは勢いだけです。ActiveX だけ無効で良いですね。

対策案がIE向けに最適化されているのが気になりますが、Netscapeプラグイン版のFlash Playerも、少なくともWindowsのFirefox上で動作している場合にはしっかり攻略可能なようです。

>http://www.tdiary.org/20050720.html

>>・HTTPのPOSTメソッドが使われていることをチェック

>>・Refererが正当なURLであることをチェック

>>・フォームに埋め込まれた(攻撃者が知りえない)CSRF防止キーをチェック

>

>　と、いくつかの対策を併用しつつ Refererチェックを行っているようなケースが実際にあるわけですが、こういうケースが不可であると言っているように読めます。

Refererチェックが対策になってないのだから対策として挙げることがあまり意味がないのではないかなぁ。まあ、論点ずれますけども。

>脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか？

　攻撃者が知りえない値を送信させる、というタイプの対策は HTTP要求ヘッダの改竄では突破できないので、問題の Flash の脆弱性の影響は受けないはずです。セッション追跡パラメータを hidden で渡す方法 (いわゆる高木方式)や、旧パスワードを入力させる方法などですね。

　もちろん、今挙げられている問題以外に脆弱性があるという話であれば、そういった対策が突破される可能性もあります。

脆弱な Flash を使っているユーザに配慮する場合に、どうすればCSRF 対策が可能ですか？

>http://www.rapid7.com/advisories/R7-0026.jsp

>(セキュリティホールmemo経由)

>Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。

　情報どうもです。

　であれば、ウェブアプリケーション側の処理として Refererチェックが 根本的に駄目という話ではなくて、

・脆弱性がある Flash を使っていると危険なので(当たり前)、アップデートか提供され次第アップデートすることが望ましい。

・ウェブアプリケーション側で脆弱な Flash を使っているユーザに配慮するのであれば、Refererチェックのみに依存した CSRF 対策は望ましくない。

　……という感じになりますね。

元の advisory とはこれでしょうか?

http://www.rapid7.com/advisories/R7-0026.jsp

(セキュリティホールmemo経由)

Adobeは脆弱性と認識していてBETA version 9.0.18d60では修正済みだそうです。

脆弱性でしょう。referrer に限らず、これができるならもっと危険なことができるわけですから。元の advisory にそう書いてありますよね?

>IEBlog : All your <base> are belong to us

>http://blogs.msdn.com/ie/archive/2005/08/29/457667.aspx

>というわけでIE6以前はbase要素が空要素ではないという謎仕様だったようです。

　情報ありがとうございます。

　IE7 で変更されたわけですね。