Article delegate-en/1781 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1780@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.org のクロスサイトスクリプティング脆弱性
24 Jul 2002 17:26:40 GMT feedback@delegate.org (Yutaka Sato)


 |>  |> http://www.delegate.org/<script>alert()</script>
 |>  |> 
 |>  |> といった、JavaScriptコードを含む存在しないページのURLを指定すること
 |>  |> により not found 画面を出したとき、Internet Explorer で閲覧
 |>  |> した場合には、JavaScriptが起動してしまいます。
 |
 |> Content-Type: text/plain
 |> 
 |> Not found:
 |> SCRIPT_NAME=[]
 |> PATH_INFO=[/<script>alert()</script>]
 |> 
 |> となります。Content-Type:text/plain ですので、その中に含まれている文字列
 |> を解釈するブラウザがあるとしますと、それはブラウザ側の問題だと思います。
 |
 |仰る通り、Content-Typeを無視するのは、常識的に考えればブラウザの問題でしょう。
 |しかし、現実にはInternet ExplorerとOperaという、一般ユーザが用いるメジャーな
 |ブラウザの2種がContent-Typeを無視するのが現状です。

それらのブラウザの開発者は、それについてどう言っているのでしょう?
この問題が深刻であれば、修正の要求が殺到して、即刻対処されているのでは
ないかと思うのですが。。。

 |このことにより、多くのWebアプリケーションのデバッグ表示に問題が発生してしま
 |い、多くの開発者を悩ませているようです。実際非常にメジャーなアプリケーション

それは、潜在的なクロスサイトスクリプティング攻撃でなく、なにか実際の
問題が生じているということでしょうか?

 |しかし、良心的なネットワーク管理者、Web構築者中には、本質的にはブラウザが悪い
 |ことを知りつつも、その理由を持ってしてあだらユーザを危険に陥れたくないと考え、
 |この問題に対処する術を何とか模索し日夜格闘している人々がいます。

(まさかの時の安全のためにと)
text/html でないコンテンツに、text/html でしか通じないエンコーディング
を適用することの害はいろいろ有り得ます。たとえば「クライアントからの
リクエストをナマでエコーする必要があるアプリケーション」が不可能になって
しまうでしょう。偶然HTMLのタグと同じ文字列を含むテキストや、HTMLテキスト
のソースをブラウザに解釈させず生で表示したりダウンロードするために、
text/plain で送付するというようなこともできなくなります。
(例えばuuencodeされたデータとか、翻訳の結果とか。。。)

 |1.悪いブラウザ開発者が悔い改めることを促すために、(一時的に?)ネットワー
 |ク管理者とユーザの屍を築こうともポリシーを貫ぬく

この問題で実際に屍が築かれているでしょうか? 世の中には非常に深刻な
ウィルスが日常的に蔓延しており、実際に屍が累々となっています。そのような
ウィルスに対して、自分のブラウザやメールリーダが抱える問題に無頓着な
ユーザがいるでしょうか?ウィルス感染を放置しているブラウザやユーザは
誰かに守られるべきでしょうか?

 |2.本来あるべきアプリケーションの姿を曲げて、管理者の便宜を図り、ユーザを守る
 |のどちらの選択肢をとられるでしょうか?

この件に関してたぶん有効性の高いのは、
第一に、ブラウザの開発者に修正を要求する
第二に、ブラウザの利用者にJavaScriptやJava機能を無効にするよう教育する
第三に、スクリプトを署名付きにして現在アクセス中のサーバ起源であるもの
    以外は実行しないようにする(という仕様にして実装を普及させる)
というようなところかと思います。

クライアントのリクエストメッセージをそのままエコーするようなCGIは無数に
容易に生成され得ます。それを根絶するのは不可能ですよね。

 |しかし、最低限、佐藤さんが開発者として、どのような方針でこの問題に対処しよう
 |となさるのか、ここで宣言して戴くことは必要でしょう。そして、その宣言は、少な
 |くとも delegateを運用している人々、delegateを介したWebアクセスを頻繁に行って
 |いるような人々に広く知らされるべきだと私は考えます。

上記のエラーメッセージは、SCRIPT_NAMEとかPATH_INFOとかから推察される
こととおもいますが、(簡単な外部シェルスクリプトによる)CGIプログラム
の出力ですので、DeleGateとは無関係です。
また、1サイトとして www.delegate.org はCookieを発行していません。

また、これまでDeleGate自身が持つクロスサイトスクリプティング関連の問題
につきましては、指摘に応じて修正して来ました。

                   @ @  
┌─┐┬┌──┬┐ //\^^ ( - ); {Do the more with the less -- B. Fuller}
├─┤│└─┐│ / 877m\_<   >_ <URL:http://www.delegate.org/delegate/>
┴ └┴──┘┴──────────────────────────────
佐藤豊@情報処理研究部門.産業技術総合研究所(独立行政法人)

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V