Article delegate-en/1783 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1782@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.org のクロスサイトスクリプティング脆弱性
25 Jul 2002 04:38:58 GMT feedback@delegate.org (Yutaka Sato)


 |> 第二に、ブラウザの利用者にJavaScriptやJava機能を無効にするよう教育する
 |
 |クロスサイトスクリプティング脆弱性の危険性について誤解がおありのようです。
 |
 |見栄えとしては少々粗っぽい画面で、かつ www.delegate.orgのコンテンツとして
 |はかなり脈略のないものになりますが、Internet Explorer で(JavascriptとJava
 |の機能を無効にして)以下のURLにアクセスしてみてください。
...
 |このようなことも可能です。偽の delegate ダウンロード用ページを作ることも
 |可能です。偽 delegate の Hash値 なども表示可能です。

誤解してるかも知れません。怪しげなサイトから張られた重要なサイトへのリン
クを信用するユーザがいるという、ことでしょうか。

いずれにしろ、クロスサイトスクリプティングへの恐れは、やはりそれがユーザ
に何も気付かれずに自動的に実行されてしまったり、Cookieが洩れてしまったり
することでしょう。それに対応するにははまず、スクリプト言語の処理系を無効
にすることが、まずは第一だと思います。

<URL:http://www.cert.org/advisories/CA-2000-02.html>

 |> 第三に、スクリプトを署名付きにして現在アクセス中のサーバ起源であるもの
 |>     以外は実行しないようにする(という仕様にして実装を普及させる)
 |> というようなところかと思います。
 |
 |仰ってることがよくわかりません。署名はどのように発行されるのでしょうか?
 |HTMLコンテンツ中にその署名がある、あるいはHTMLコンテンツからその署名が
 |呼び出されるというのなら、無意味に思えますが。

署名は人間がするのが普通だと思いますが、スタティックなコンテンツに
対してはサーバがしても良いと思います。PGPでやっているみたいにクリア
署名でやるのが自然かと思います。
サーバの公開鍵の配り方は色々あると思います。まあ一番素朴には /robots.txt
みたいに配ることでしょうか。
ちょっと調べてみると署名付きスクリプトというのはやはり皆考えるようで、

<URL:http://www.cert.org/archive/pdf/cross_site_scripting.pdf>
>Another solution is to have “signed scripting” such that any script
>with an invalid or untrusted signature would not be run automatically.
>Suggestions of this nature, however, would require changes to the current
>Internet standards and specifications. Such changes would have to be
>submitted for consideration to the World Wide Web Consortium
>(www.w3c.org) or the Internet Engineering Task Force (www.ietf.org).

まあ、ぜひその方向でやってほしいものですが。。。どうなってるのかな?
スクリプトやページへの署名というのは、スクリプト言語やマークアップ言語
によるクロスサイトスクリプティングをはじめ、改竄防止とか、SSLでやって
いるようなより詳細な認証/許可とか、関連する問題をまとめて解決できる点
で望ましい解決法だと思います。

                   @ @  
┌─┐┬┌──┬┐ //\^^ ( - ); {Do the more with the less -- B. Fuller}
├─┤│└─┐│ / 877m\_<   >_ <URL:http://www.delegate.org/delegate/>
┴ └┴──┘┴──────────────────────────────
佐藤豊@情報処理研究部門.産業技術総合研究所(独立行政法人)

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V