Article delegate-en/1787 of [1-5169] on the server localhost:119
  upper oldest olders older1 this newer1 newers latest
search
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
[Reference:<_A1777@delegate-en.ML_>]
Newsgroups: mail-lists.delegate-en

[DeleGate-En] Re: Delegate.orgのクロスサイトスクリプティング脆弱性
25 Jul 2002 18:09:01 GMT feedback@delegate.org (Yutaka Sato)


On 07/25/02(10:27) in <_A1782@delegate-en.ML_>
 |> text/html でないコンテンツに、text/html でしか通じないエンコーディング
 |> を適用することの害はいろいろ有り得ます。たとえば「クライアントからの
 |> リクエストをナマでエコーする必要があるアプリケーション」が不可能になって
 |> しまうでしょう。偶然HTMLのタグと同じ文字列を含むテキストや、HTMLテキスト
 |> のソースをブラウザに解釈させず生で表示したりダウンロードするために、
 |> text/plain で送付するというようなこともできなくなります。
 |> (例えばuuencodeされたデータとか、翻訳の結果とか。。。)
 |
 |しかし、少なくとも www.delegate.org の 404 エラー画面として、text/plain で
 |なければならない理由は見いだせませんが?

まあこれはこじつけかも知れませんが、HTMLに関する既知既存の問題だけで
なく、未知の危険性を回避するために、クライアントに対するエコーは
ブラウザには解釈されず安全であるはずの text/plain にしておく、という
考え方があっても良いと思います。

 |> この問題で実際に屍が築かれているでしょうか?
...
 |また、もう一点。「実際に問題が発生しなければ」対応しないというのは、安全
 |管理の姿勢ではないでしょう。

わたし自身は結構迅速に対応して来たつもりです。まあ少くともマイクロ
ソフトさんよりは(^^)

 |> 世の中には非常に深刻な
 |> ウィルスが日常的に蔓延しており、実際に屍が累々となっています。そのような
 |> ウィルスに対して、自分のブラウザやメールリーダが抱える問題に無頓着な
 |> ユーザがいるでしょうか?ウィルス感染を放置しているブラウザやユーザは
 |> 誰かに守られるべきでしょうか?

この文脈はもともと

 |1.悪いブラウザ開発者が悔い改めることを促すために、(一時的に?)ネット
 |ワーク管理者とユーザの屍を築こうともポリシーを貫ぬく
 |2.本来あるべきアプリケーションの姿を曲げて、管理者の便宜を図り、ユーザ
 |を守るのどちらの選択肢をとられるでしょうか?

ということで「ユーザは無頓着なままに居てもらって、それを守るために
誰かが必死に努力するべき」ような状況に思えましたので、それは違うん
じゃないかなという意味でこのように書きました。実際には最近のかなりの
ユーザはそれほど無頓着では無いでしょうし、ウィルスの危険性をほとん
どのユーザが知っているでしょう。それは実際に屍になったケースが沢山
あるからだと思います。(が、十分に危険性があると共通に理解される
問題ならば、実際の被害が知られていなくてもユーザは動くと思います)

結局ユーザを守るにはユーザ自身の十分な認識が欠かせないと思います。
JavaScriptの悪用問題については「危険なブラウザは使わない」
「Java/JavaScriptは必要な時以外は無効にする(CERT推奨)」という極めて
有効な手段があるので、その認識をユーザに広めることが、最も効果的な
対処策だと思います。
うーん「実際にひどい被害が出た」という噂メールででも流せば、あっと
いう間に認識されるかも?

開発者側として「屍(の山)を築こうともポリシーを貫く」はずなどない
ことも明らかですが、確かに、屍を見るまではアドレナリンが急速注入
されないというところもあるでしょうね。噂でも反応しそう。。。

 |問題をすり替えてはいけません。他に大きな危険があるからといって、自分の関
 |与しているリスク問題に目をつぶってよい理由にはなりません。

ということで、もちろんそのように問題をすりかえてはいませんし、目も
つぶっていません。今回のいくつかの問題についても、対応策を考えて
いるところです。
ただ確かに、優先度の問題ではあると思います。開発者としては、無限に
近くやらなければならないことがある時に、どれから先にやるかという
問題でもあり、また他にもっと大きな問題点があったり、あるいはより
効率的な解決策や解決点があるなら、そちらに対して資源や人力がより
多く傾注されるべきだと思います。攻撃する側としては、おそらく、より
容易に大きな効果を得られる方法を取るでしょうから、より大きな危険に
より大きく目を向ける必要はあると思います。

そして、実際に問題になったかどうかは、一般にこの優先度を判断する
大きな材料だと思います。マイクロソフトも実際にやられた時の反応は
素早いですよね。最近は。

 |> 上記のエラーメッセージは、SCRIPT_NAMEとかPATH_INFOとかから推察される
 |> こととおもいますが、(簡単な外部シェルスクリプトによる)CGIプログラム
 |> の出力ですので、DeleGateとは無関係です。
 |> また、1サイトとして www.delegate.org はCookieを発行していません。
 |
 |了解しました。
 |もちろん、そのCGIプログラムは配布されているdelegateに(オプションやサンプ
 |ルとして含まれたりはしていませんね?

ええ、とりたてて配るような物ではありませんし。。。そもそもサンプル
のCGI等は、DeleGateとしては何も配布していません。


再びブラウザとJavaScriptに関してですが。。。

最近はクロスサイトスクリプティングとの組み合わせとして問題とされて
いるようですが、JavaScript(やJava)には、他にもまだまだ気付かれて
いない/公表されていない問題がある/起こる可能性があると思います。
ですからJavaScript や Java は必要な時にだけ有効にするようにするのが
クロスサイトスクリプティング以前からも以後も、当面は妥当だと思います。
少くとも危険を恐れるユーザにとっては、これはまったくリーズナブルな
選択だ思います。実際私は、Netscape6 とMozilla1.0 のユーザですが、
そのように設定しています。

私自身のブラウザに対する希望としては、もっと簡便にJavaをon/offでき
るようにできると良いなと思います。たとえば右クリックでメニューに出
るとか。もっと言えば、メニューやボタンを色々カスタマイズできるよう
にして欲しい。。。オープンソースのMozilla1.0に手を加えてみるという
のが私として貢献できる可能性がある方法かも知れません。

                   @ @  
┌─┐┬┌──┬┐ //\^^ ( - ); {Do the more with the less -- B. Fuller}
├─┤│└─┐│ / 877m\_<   >_ <URL:http://www.delegate.org/delegate/>
┴ └┴──┘┴──────────────────────────────
佐藤豊@情報処理研究部門.産業技術総合研究所(独立行政法人)

  admin search upper oldest olders older1 this newer1 newers latest
[Top/Up] [oldest] - [Older+chunk] - [Newer+chunk] - [newest + Check]
@_@V