アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
定量的評価頼む (スコア:0)
定性的な話だと、声の大きい方、小難しいクラック法より分かりやすい方が勝っちゃいます。そして反論は人格攻撃で却下される(つーか名誉毀損ちらつかされてる。なんて未熟な業界だ)。
特に金床氏はセッション鍵を hidden に入れる潜在的リスクを言いたいようだから、CSSXSS なんて出さずともそういう攻め方でできるはずなのに。
CSRF によるリスクは
Re:定量的評価頼む (スコア:0)
Cookieが漏洩する確率 (A)
hiddenパラメータが漏洩する確率 (B)
両者がほぼ同じか、A > B ならば、「hidden にセッション鍵を入れるような対策は間違っている」は間違いだと結論付けられます。
Re:定量的評価頼む (スコア:1)
A>Bになることなんてあるんでしょうか?
Re:定量的評価頼む (スコア:0)
Cookie も見られるのが当たり前な情報ですよ。ご存じないのでしょうか。そういう認識で Cookie を使うのは危険ですね。
> A>Bになることなんてあるんでしょうか?
Cookie は漏洩するが hidden は漏洩しないという脆弱性は過去に何度もありましたね。IE にもあったし、Netscape にもあった。