マークアップエンジニアが知っておきたい3つの脆弱性:補足
2009年10月1日(木曜日)
マークアップエンジニアが知っておきたい3つの脆弱性:補足
公開: 2009年10月2日0時30分頃
先月「マークアップエンジニアが知っておきたい3つの脆弱性」という資料を公開しました。これは実際に話を聞いた参加者の方が後で話を思い出したりするために……という意図しかなかったのですが、特に深く考えずに公開したところ、予想以上に反響や反応をいただきました。ありがとうございます。
せっかくなので、この場でいくつか補足しておきます。
&の扱いについて
うう。#PCDATAの場合には、 & もまた、文字参照にするべきでは?
以上、ばけらさんの『W2Cマークアップエンジニア・ワーキンググループ 「マークアップエンジニアが知っておきたい3つの脆弱性」』を拝読して より
これはそのとおりですね。私のミスで、単純に抜けていました。ごめんなさい。
#PCDATAに限らず、属性値の中でも & は文字参照に (&や&などに) 変換する必要があります。そうしないと不正な実体参照が挿入されてinvalidになってしまうおそれがありますし、HTMLの話やプログラミングの話を書き込みたいときなどに "&" という文字列がうまく表現できなくなったりして困ります。
※もっとも、セキュリティ上の問題はあまりない気がするので、それを忘れたから脆弱、ということにはならないだろうと思います。また、たいていのテンプレート言語は一発で < も & も変換してくれると思うので、< だけ変換して & を忘れるということは滅多に起きないでしょう。イマドキ自力で変換したりしないですよね?
128bit最強伝説について
128bit最強伝説って何、というお話しがちらほらありましたが、画像が削除されているので分かりにくいですよね。
とりあえず「最強の128bitSSL」で検索してみてください。銀行のサイトの説明が大量にヒットするはずです。128bitRC4を臆面もなく「最強」と称しているわけですが、現在では256bitAESに対応しているケースが珍しくありません。
まあ、128bitRC4はいちおう電子政府推奨暗号リスト (www.cryptrec.go.jp)にも載っていますし (SSL/TLSで使われているので当面認める、という注釈付きですが)、現時点で危険ということは無いと思いますが、「最強」は違うだろう、いつの話だよ、とツッコミを入れたくなるわけです。そういう文言がチェックなしに使い回されていることは問題ではないか、というお話です。
お仕事のご依頼について
聞きたかった、というコメントもいただいています(ありがとうございます)。
講演のご依頼はウェルカムですので、スケジュール等の条件が合えばまたお話しさせていただきます。よろしければご検討ください。もちろん、他の話題が良いという場合もご相談させていただければと思います。ちなみに、このお話は1時間半くらいでしゃべっています。
※ウェルカム感(?)を出すために、「お仕事のご依頼」というページを作ってメニューにも追加してみました。
- 「マークアップエンジニアが知っておきたい3つの脆弱性:補足」にコメントを書く
- 前(古い): mixiアプリ「サンシャイン牧場」
- 次(新しい): Wii Fit Plus