Article delegate-en/1780 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1779@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.org のクロスサイトスクリプティング脆弱性
24 Jul 2002 15:55:40 GMT office <p6edabdyi-yavwm65envxr.ml@ml.delegate.org>


officeです

お返事ありがとうございます。

On Wed, 24 Jul 2002 18:45:39 +0900 (JST)
feedback@delegate.org (Yutaka Sato) wrote:

> On 07/24/02(15:22) you office <p6edabdyi-yavwm65envxr.ml@ml.delegate.org> wrote
> in <_A1777@delegate-en.ML_>
>  |>
>  |> http://www.delegate.org/<script>alert()</script>
>  |> 
>  |> といった、JavaScriptコードを含む存在しないページのURLを指定すること
>  |> により not found 画面を出したとき、Internet Explorer で閲覧
>  |> した場合には、JavaScriptが起動してしまいます。

> Content-Type: text/plain
> 
> Not found:
> SCRIPT_NAME=[]
> PATH_INFO=[/<script>alert()</script>]
> 
> となります。Content-Type:text/plain ですので、その中に含まれている文字列
> を解釈するブラウザがあるとしますと、それはブラウザ側の問題だと思います。

仰る通り、Content-Typeを無視するのは、常識的に考えればブラウザの問題でしょう。
しかし、現実にはInternet ExplorerとOperaという、一般ユーザが用いるメジャーな
ブラウザの2種がContent-Typeを無視するのが現状です。

このことにより、多くのWebアプリケーションのデバッグ表示に問題が発生してしま
い、多くの開発者を悩ませているようです。実際非常にメジャーなアプリケーション
で、かつ一部のホスティングサービスではその設定を弄ることすらできないものにつ
いて、開発者が「Content-Typeを無視するブラウザが悪いので、対応しない」と宣言
してしまった例を知っています。

しかし、良心的なネットワーク管理者、Web構築者中には、本質的にはブラウザが悪い
ことを知りつつも、その理由を持ってしてあだらユーザを危険に陥れたくないと考え、
この問題に対処する術を何とか模索し日夜格闘している人々がいます。

佐藤さんは開発者として、

1.悪いブラウザ開発者が悔い改めることを促すために、(一時的に?)ネットワー
ク管理者とユーザの屍を築こうともポリシーを貫ぬく

2.本来あるべきアプリケーションの姿を曲げて、管理者の便宜を図り、ユーザを守る

のどちらの選択肢をとられるでしょうか?

私は一介のユーザですから、できれば、2を選択して戴くことを強く希望しますが、
開発者のポリシーを曲げることまで強制することはできません。

しかし、最低限、佐藤さんが開発者として、どのような方針でこの問題に対処しよう
となさるのか、ここで宣言して戴くことは必要でしょう。そして、その宣言は、少な
くとも delegateを運用している人々、delegateを介したWebアクセスを頻繁に行って
いるような人々に広く知らされるべきだと私は考えます。

> 実際私の手元でも、MSIE6.0.2600.0000 でテストしてみましたが、これにより
> JavaScriptは起動しません。IEのエラーメッセージが表示されるだけです。IEの
> バージョンによるのでしょうか?

いいえ、そういうことではありません。Internet Explorerの場合、デフォルトでは
「HTTPエラーメッセージを簡易表示する」という設定がOnになっており、ブラウザ自
身が勝手にエラー表示をするために404エラー画面の脆弱性が顕わとはなりません。
インターネットオプションの詳細設定の中に、この設定項目があるので、チェック
ボックスの印をはずして設定を変える必要があります。

(私の周りの「コンピュータには全く詳しくないユーザ(メールと、Webブラウジング
とワープロと表計算だけぐらいしか利用しておらず、添付ファイルの.exeをうっかり
クリックしかねないような人々)」の1〜2割はこのブラウザによる表示を嫌ってこ
の設定をオフにしているようです。この割合がどの程度確からしいとか、この割合が
多いとかいうようなことを主張するつもりはありません。一応こういう事例もある、
ぐらいのことです。)

この設定をOFFにした場合、

Windows XP + IE6.0.2600.0000
Windows 2000 + IE6.0.2600.0000
Windows ME + IE5.50.4807.2300

で脆弱性が発現することを確認しました。またデフォルトの

Windows XP + Opera 6.0.3

で脆弱性が発現することを確認しました。

-- 
office <p6edabdyi-yavwm65envxr.ml@ml.delegate.org>
http://www.office.ac/

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V