[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0272] Re: IE5(MacClassic) で Cookie に関する ( 長文 )

To: harden-mac@xxxxxxxxxx
Subject: [harden-mac:0272] Re: IE5(MacClassic) で Cookie に関する ( 長文 )
From: Junnama Noda <junnama.noda@xxxxxxxxxxx>
Date: Sat, 21 Dec 2002 03:59:14 +0900

Junnama@仕事終わって帰ってきたです。まとめレスになりますが。自動ダウンロードの件や、自動マウントの件は知ってました。私はScripter(あくまでも趣味の、ですが)ですから、このあたりの脆弱性を突く方法はすぐに思い当たります。今回はどちらかといえばXSS脆弱性に関することを考えていてこの問題に当たったので、まず誰に言えばいいのか少し迷ったのです。私は、今回のようなことがありますから、Webアプリケーションの開発時にとにかく Cookieだけに依存したSession管理をしないで欲しい、という立場なのです。ただ、これが中々理解されない(開発者にもサイト管理者にも)。で、しれったさを感じています。 Microsoftにいうのが先か、プログラマを教育するのが先か...てなところで疲弊してますね。あと、Appleも。自社製品をデフォルトの設定で使っている段階で穴があるわけですから。 # MicrosoftってMacにおいては微妙な立場でしょうから、Appleにも何とか考えさせな # ければいけないと思います。 (これは個人の事情ですが) 私は広告屋ですが、最近は広告屋もWebを無視できませんから、私は外注先から上がってくるモノのチェックと修正指示で手いっぱいです。 # 昨日の事例では、最近よくある「友だちにURLを転送！」とかいうCGIが、オイ！こ # れ踏み台にされるやんけってな問題があって... 少し話がそれましたが。 At 2:25 AM +0900 02.12.21, Toshiyuki Mori wrote: > でも、Junnamaさんがちょっと気後れぎみだったので、 > わたしを含め誰かが代わりに報告する可能性も考えて > いました。今回は、私、気後れしてるわけではありません。なんとかの法則ではないですが... 「セキュリティホールは、忙しい時に限ってみつかる」のですよ。何もこんな年の瀬に見つけなくっても...ですね。 At 1:53 AM +0900 02.12.21, ISHIKAWA Yasuhisa wrote: > はい。 > あの様な例でも強制ダウンロードが可能であるというのは、Junnamaさんが > ご存知でも良いだろうと思ったものですから。 > 報告する内容に付加するかどうかは別としても。 > > > って、すっかり報告係が決まったようで:) > > ん？　真面目に解ってないんですが誰のことをおっしゃってます？＜報告係 > > 今回の件は、Junnamaさんの発見されたものですので、Junnamaさんが > 報告されるのが妥当だとばっかり思っておりましたが... > それで森さんと私の理解は合ってますか？ ↑私の理解も一応あってますよ。ただ、今回はちょっとまとめて報告(指摘)すべきかな、と考えてます。複数の問題の組み合わせが深刻な問題につながるってなもので。結論：誰が言ってもいいですが、今回私は自分でやろうと思っています。ただ、英語表現も含めて、協力はしていただけると嬉しいです。 Moriさんの、Cookieの件も、一応自分でも検証しようと思います。なんて言うか、自動ダウンロードとCookieで、本当にいろんな攻撃パターンが思いつきますから。Microsoftのフレーム付きページを書き換えたようにみせかける例を作って投げようかしら... あと、ローカルファイルの外部スクリプトをオンラインに置いて実験しようと思っています。これができれば、攻撃者は自分のやったことの証拠を隠しやすくなりますから。さて、これはどうでしょうかね。えぇっと、引用が難しいので、その他の引用は省略させていただきます :-) --[PR]------------------------------------------------------------------ ‥…━━今年最後の大チャンス！豪華商品があなたに当たるかも！？━━…‥ 　┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓┏━┓ 　┃Ｖ┃┃Ａ┃┃Ｉ┃┃Ｏ┃┃＆┃┃ホ┃┃テ┃┃ル┃┃宿┃┃泊┃┃券┃ 　┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛┗━┛ 締切り間近！⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=b4A4e ------------------------------------------------------------------[PR]-- <GMO GROUP> Global Media Online www.gmo.jp

Follow-Ups:
- [harden-mac:0273] Re: IE5(MacClassic) で Cookie に関す
  - From: Toshiyuki Mori
- [harden-mac:0276] Re: IE5(MacClassic) で Cookie に関す
  - From: SHIROYAMA Takayuki

References:
- [harden-mac:0267] Re: IE5(MacClassic) で Cookie に関する
  - From: Toshiyuki Mori
- [harden-mac:0268] Re: IE5(MacClassic) で Cookie に関する
  - From: ISHIKAWA Yasuhisa

Prev by Date: [harden-mac:0271] Softwareupdate Infinity loop ( 10.2.3 )
Next by Date: [harden-mac:0273] Re: IE5(MacClassic) で Cookie に関す
Previous by thread: [harden-mac:0270] Re: IE5(MacClassic) で Cookie に関する
Next by thread: [harden-mac:0273] Re: IE5(MacClassic) で Cookie に関す
Index(es):
- Date
- Thread