アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
定量的評価頼む (スコア:0)
定性的な話だと、声の大きい方、小難しいクラック法より分かりやすい方が勝っちゃいます。そして反論は人格攻撃で却下される(つーか名誉毀損ちらつかされてる。なんて未熟な業界だ)。
特に金床氏はセッション鍵を hidden に入れる潜在的リスクを言いたいようだから、CSSXSS なんて出さずともそういう攻め方でできるはずなのに。
CSRF によるリスクは
Re:定量的評価頼む (スコア:0)
Cookieが漏洩する確率 (A)
hiddenパラメータが漏洩する確率 (B)
両者がほぼ同じか、A > B ならば、「hidden にセッション鍵を入れるような対策は間違っている」は間違いだと結論付けられます。
Re:定量的評価頼む (スコア:1)
A>Bになることなんてあるんでしょうか?
Re:定量的評価頼む (スコア:0)
Cookieの場合、HTMLというわけではないので、違う処理に分離しやすいので、対処も管理も比較的楽なのかもしれませんね。
反面、hiddenはHTMLの中にありますので、なんらかの原因で読み取ることも、比較的起き易いと言えるのかもしれません。実装もかなり注意しないと。実際、今回のも仕様に絡むバグですし、せめてこの機能だけでもオフできるようになっていれば・・・。
よく、Cookieだって漏洩するだろうという反論を見かけますが、漏洩を前提に考えるならば、hiddenに入れることも危険です。その場合どっちも危険ですから、議論の余地はありません。
脆弱性が存在しないのならば、Cookieのみでセッション管理をした方が、まあ、スマートというか便利というか・・・。
まあ、脆弱性がなくても、重要なところはパスの再入力を要求するのはやっておくべきでしょうね。
ですから、今回の脆弱性に対処するためにというならば、「正しい」処理と言えるのでしょうが、対処療法であって、脆弱性が修正されてもこの処理でいいのかと難しいところ。その時はまた変更すればと言うのでしょうがね。
要するに、バグの修正を待つか自分で対処するかの違いに過ぎないので、どちらが正しいとか言える次元の話ではないのです。
今回の文書の公開停止は、名誉毀損などと言ってますが、そんなことよりも、不用意に正しいとか誤ったとか書いてしまったのを反省しているんでしょう。注目されなければ、あるいは、元ネタをぼかしておけば問題なかったのでしょう。
「今は脆弱性があるからこう対処しておいたほうがいいですよ」という感じで書いておけばどこにも問題がなかったのに。
コミュニケーションというか物の書き方というか、技術屋さんですからその辺の微妙な配慮が文面に表れなかったんでしょうね。
で、結局何が言いたいのかというと定量的な評価などできないということです。ある時点での評価と脆弱性が発覚した時点での評価は180度違うでしょう。
しかも、天文学的なリスクでも、被害者にとっては確実な被害ですから、誰にとってのリスクかを区別しなくてはなりませんし、被害者が少ないから無視するとか、情報の内容を考慮せずに見られるだけならたいしたことがないなどと言うもの無意味です。
速やかに脆弱性を修正してもらうべく騒ぐというのがベストでしょう。
#そもそも、みんなJavascriptを普段オフにしておいて、必要なドメインのみオンにするっていうMS推奨の閲覧方法にすればいいんですがね(^^;
つーか、その間はFirefoxだ!今こそ宣伝の時でしょう!IEはやばいぞとあちこちでFirefoxの宣伝をすればMSも重い腰を上げるかも。