アカウント名:
パスワード:
・・・これは深刻なバグであるにも関わらずパッチがリリースされておらず、2006年3月の時点で既に数ヶ月もの間脆弱なままの状態が続いている・・・
正論としては、パッチのリリースを要求するというのは誰だって分かってることです。 金床氏が違った意見を持つのも分かりますし、その為の有用な情報を提供してくれるのはありがたいことです。 しかしながら、他人の著作物にまでにまで修正を要求するのは行き過ぎでしょう。間違いの指摘部分については正しいのでしょうが・・・。
あらゆる議論には暗黙の前提がつきもので、議論の正否はその前提の上で正しいか間違いであるかで論ずるべきです。 前提が妥当でないならば、前提が妥当でないことを論ずるべきです。
MLのアーカイブは公開されています。
ブログでヤマガタ氏が指摘 [int21h.jp]
# 『誤った対策その1: セッションIDをトークンとして使う』を“誤った対策”と言い切ってしまうのはどうかなぁ。あくまでも、ブラウザの脆弱性(CSSXSS対策)も一緒に盛り込もうと思った時には意味を成さないということで、CSRF対策としては間違っていませんから。 # CSSXSS対策のようなブラウザの脆弱性への対策を盛り込むのは、例えば、趣味のサイトをこれから作る友人にアドバイスするという状況であれば、迷わず「こんなんあるよ~」と話に出しますが、IPA や何かから公開する文書に記述するのは難しいのだろうなとも思いますね。確かに、9割のユーザが助かるのなら、とも思いますが、自社開発でない商用のサイトで IE のバグが出るたびに予算を採って修正するわけにもいかないと思いますし、この文書で説明されてるCSSXSS対策が今後仇となるようなブラウザのバグが出てこないとも限らないですしね。
ヤマガタ氏がMLで追記 [freeml.com]
「セッションIDをトークンとして使う」方法を、CSRF対策としても 誤っているかのような見せ方をするのは・・・ 混乱を招いてしまうかも知れません。 いえ、下記の説明があるように、気を使って書いているのは、 よく分かるのですが、どうも今回の文書を読んだ方々のブログなどを 拝見すると、今までの方法が間違っていた!と誤解してるような エントリが多かったもので...
この辺りは個人の意見なので正解はないと思うのですが、私がこの文章を書くきっ かけになったのが「セッションIDをトークンとして使う」方式がウェブや書籍な どでどんどん伝染していくのを止めたかったからなので、ちょっとゆずれないと ころですね。私は「CSRF対策としても誤っている」と思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
高木さんは (スコア:1, 興味深い)
Re:高木さんは (スコア:3, 興味深い)
なので、ちょっとその姿勢を改めたほうが良いのでは?と提言しているわけです
Re:高木さんは (スコア:1, すばらしい洞察)
すべてのサービスが対応するなんてあり得ないし、対処したらしたで、「実質的な脅威は軽微」とか言い訳できてしまうでしょう。
一般人はそれで納得するでしょうから、あとでネットの片隅でピーチクパーチク薀蓄をたれたところで意味はないでしょう。
正論としては、パッチのリリースを要求するというのは誰だって分かってることです。
金床氏が違った意見を持つのも分かりますし、その為の有用な情報を提供してくれるのはありがたいことです。
しかしながら、他人の著作物にまでにまで修正を要求するのは行き過ぎでしょう。間違いの指摘部分については正しいのでしょうが・・・。
#Javascript+Cookieを強制するのと、IEを使うなというのではあんまり大差ない気もするが・・・。
「間違い」という指摘が間違い (スコア:3, すばらしい洞察)
あらゆる議論には暗黙の前提がつきもので、議論の正否はその前提の上で正しいか間違いであるかで論ずるべきです。
前提が妥当でないならば、前提が妥当でないことを論ずるべきです。
Re:「間違い」という指摘が間違い (スコア:0)
が、金床さんは馬耳東風のようでした。
Re:「間違い」という指摘が間違い (スコア:-1, 荒らし)
ソースは?
Re:「間違い」という指摘が間違い (スコア:3, 参考になる)
MLのアーカイブは公開されています。
ブログでヤマガタ氏が指摘 [int21h.jp]
金床氏がMLで反応 [freeml.com]ヤマガタ氏がMLで追記 [freeml.com]
金床氏の反論 [freeml.com]Re:「間違い」という指摘が間違い (スコア:0)
この点について _のみ_ 詳しく知りたいところですね。