[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139:01388] Re: ASP 開発者がしてはいけない TOP20
- To: port139@xxxxxxxxxx
- Subject: [port139:01388] Re: ASP 開発者がしてはいけない TOP20
- From: Tomoki Sanaki <sanaki@xxxxxxxxxxxx>
- Date: Tue, 09 Jul 2002 14:48:29 +0900
佐名木という者です。
Cert の CA2000-02 にある、文字コードうんぬんと関係があるのかもしれません。
(ないのかも知れません。...すいません、いいかげんで...)
CA2000-02 和訳
http://www.lac.co.jp/security/intelligence/CERT/CA-2000_02.html
の「一般的でない文字コード使用によるリスク」には、
------------------------------
Webサーバから返されるページに文字コードが特別指定されていない
場合、ユーザが選択した文字コードでブラウザは情報を解釈します。
しかし、ほとんどのWebサイトでは文字コードを特別指定していない
ので(ISO-8859-1でエンコードした場合でさえ)代わりの文字コード
を使用するユーザを危険にさせます。
------------------------------
ただ、いまいち文字コードがどのような影響を及ぼすのかが不明ですが....
Tanaka Souji wrote on 2002-7/7(日) 13:1:19
>>Twenty Don'ts for ASP Developers
>>http://online.securityfocus.com/infocus/1603
>
>この文書の中には、
>
>3. Do Not Forget to Specify a Specific Character Set
>
>という項目があります。
>
>XSS への対策として利用する文字コードを定義せよ、ということ
>かと思うのですが、これは
>
> ・フィルタ処理が入力文字列の文字コードによっては
> 回避される危険がある
>
>という理解でよいのでしょうか?それとももっと別のことを指
>しているのでしょうか?
>
>私が知らないだけかもしれませんが、XSS で文字コードの話を
>見かけたことがないもので、興味深く感じております。
以上、よろしくお願いします
2002-7/9(火) 14:44:39 作成開始
-----------------------------------------------------
佐名木 智貴(Tomoki Sanaki)
E-mail=active@xxxxxxxxxxxxxxxxxx
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6