アカウント名:
パスワード:
「JavaScript を有効にしてください。 また Cookie も有効にしてください。」
POSTメソッドを使う限りJavaScriptは不要
ここ [srad.jp]の[返事を書く]が全部 SUBMIT なボタンになっている様子
また JavaScript で自動POSTさせる方法を併用されると(いくつもの条件が必要ですが) CSSXSS 脆弱性の悪用の道が開けるので、POST を使えだけでは十分ではありません。
ここの[返事を書く]が全部 SUBMIT なボタンになっている様子
プレビュー必須にすれば、[返事を書く]がSubmitである必要はありません。
後半で説明していただいたとおり、GET から(通常の A タグやブックマークから)開かれて、そのページの中の Submit で処理が呼ばれるフォームは(適切な防衛をしなければ) CSSXSS 脆弱性により悪用される可能性があるので、掲示板・BLOGやショッピングカートなど、広範囲のウェブアプリケーションが CSSXSS を受けるわけです。
結局、リクエスト1がPOSTの場合、CSSXSSをCSRFに用いることはできないという理解 [slashdot.jp]で合っているのですよね?
基本的なシナリオは、この記事 IBM PROVISION No.48 IBMプロフェッショナル論文3 - Japan [ibm.com]
複数のドメイン上の既存Webサイトに新たな機能を追加する手法
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
JavaScript と Cookie 必須?! (スコア:3, 興味深い)
Re:JavaScript と Cookie 必須?! (スコア:1)
リクエスト1にGETメソッドを使いたい場合の対処法で、
POSTメソッドを使う限りJavaScriptは不要だと思います。
Re:JavaScript と Cookie 必須?! (スコア:2, すばらしい洞察)
新たにサイトを構築するような場合でも、これは困難を伴うと思います。
また JavaScript で自動POSTさせる方法を併用されると(いくつもの条件が必要ですが) CSSXSS 脆弱性の悪用の道が開けるので、POST を使えだけでは十分ではありません。
Re:JavaScript と Cookie 必須?! (スコア:0)
# 当時はモデレート期間中ログアウトしてたのでAC
Re:JavaScript と Cookie 必須?! (スコア:0)
プレビュー必須にすれば、[返事を書く]がSubmitである必要はありません。
POSTで生成されるプレビュー画面に含まれているワンタイムトークンはCSSXSSでは抜けません。
> また JavaScript で自動POSTさせる方法を併用されるとCSSXSS 脆弱性の悪用の道が開けるので、
自動的にプレビュー画面を出すことはできますが、その画面のワンタイムトークンが抜けないのでCSRFは仕掛けられません。
プレビュー強制がいやなら、(脆弱性のあるバージョンの)IEのみプレビュー必須と言うことにしましょう:-)
Re:JavaScript と Cookie 必須?! (スコア:1)
実際の /. には CSSXSS 脆弱性による影響は(このシナリオの範囲では)ありません。
(紛らわしい表現ですみませんでした)
後半で説明していただいたとおり、GET から(通常の A タグやブックマークから)開かれて、そのページの中の Submit で処理が呼ばれるフォームは(適切な防衛をしなければ) CSSXSS 脆弱性により悪用される可能性があるので、掲示板・BLOGやショッピングカートなど、広範囲のウェブアプリケーションが CSSXSS を受けるわけです。
Re:JavaScript と Cookie 必須?! (スコア:1, 参考になる)
> 掲示板・BLOGやショッピングカートなど、広範囲のウェブアプリケーションが CSSXSS を受けるわけです。
ですから必ずPOSTで生成されるプレビューや確認画面を挟めばいいわけです。
というか私の知る限りほとんどすべてのショッピングカートは確認画面を挟むようになっていていきなり買い物を実行したりはしませんから、それほど対策困難ではないと思われます。
(プレビュー機能のない)掲示板なら被害の程度と対策のコストを天秤に掛けて、あえて対策しないという判断もあり得るでしょう。
結局、リクエスト1がPOSTの場合、CSSXSSをCSRFに用いることはできないという理解 [srad.jp]で合っているのですよね?
Re:JavaScript と Cookie 必須?! (スコア:1)
自動POSTでCSRF脆弱性を悪用できると感じたシナリオは、よくよくかんがえると既にセッションの乗っ取りが完了しているケースでした。
基本的なシナリオは、この記事 IBM PROVISION No.48 IBMプロフェッショナル論文3 - Japan [ibm.com]
とよく似たものです。Re:JavaScript と Cookie 必須?! (スコア:1)
Cookieを使わないセッション管理は
"CSSXSSを前提とする場合"
セッションハイジャックされる可能性があるからそもそも(以下略
ってことになるのでは。
Re:JavaScript と Cookie 必須?! (スコア:0)
Re:JavaScript と Cookie 必須?! (スコア:0)
Re:JavaScript と Cookie 必須?! (スコア:0)
今時、「JavaScript と Cookie 必須?!」なタイトル付けて騒ぎ立ててる奴がいること自体、迷惑だよなぁ。
IE4の時代あたりで時間が止まってるんじゃないの?
Re:JavaScript と Cookie 必須?! (スコア:2, 参考になる)
なんかですねー、発注元(某お役所)の担当者様が、JavaScript必須の機能を付けてくれという追加要求があったんですよ。
はっきりいってマンドクセかったので対応したくなかったんですけど、実装したんですわ。
それで、全体通して完成したので動作確認してもらったら、「動かない」って言うんですわ。
エロエロ調べてもらったら、あちゃらさん IE 使っている上に、全所共通のお達しとかで ActiveScript は無効の設定にしていて、それを「一時的にせよ有効にすることは出来ない」のだとか。
そんなもんで、その機能については動作確認が取れないまま、こちら側で動いているハードコピーを FAX して了解を取り付けました。
(んなもん、自分のところでさえ動かすことが出来ない代物なんだから、そういう機能を使えない環境のユーザが居ることくらい念頭に置けよ=そんな機能要求するなって)
随分前に同じ所で納品した後に XSS 対策を言われたことがあって対処したんだけど、
今回はどうしようかなー?今のところ何にも言われて無いけどさ。
(え?JavaScript と Cookie なんて七面倒な機構、使わずに済めばそれに越したこと無いでしょ?)
# これ以上(余計な)仕事量増やしたくないのでAC
追加仕様対応マニュアル (スコア:1)
接待ってそういうものだったのか?
こそこそとIDで投稿
Copyright (c) 2001-2014 Parsley, All rights reserved.
Re:JavaScript と Cookie 必須?! (スコア:1)
JavaScriptが必須である事が分かった時点で、顧客に
運用上それで問題ないか確認するべきです。
制限が掛かってるのはありがちな話ですから。
--- (´-`)。oO(平和な日常は私を鈍くする) ---
Re:JavaScript と Cookie 必須?! (スコア:0)
JavaScript を停止しなければならないことが頻繁にあります。
どうしたらよいのでしょうか?
Re:JavaScript と Cookie 必須?! (スコア:0)
Re:JavaScript と Cookie 必須?! (スコア:0)