HAYASHI, 'Lef' Tatsuya
lef****@st*****
2003年 7月 15日 (火) 14:01:49 JST
Lefです。 気づいたらお返事がもう流れてた…。 On Tue, 15 Jul 2003 11:34:26 +0900 Naoki Takezoe <ADS28****@nifty*****> wrote: >引数をサニタイズしなくてはいけないのは普通にCGIを書く場合でも >同じだと思うので、あまり気にしていません。 ええと、常道といった話になってしまうので、一般論的な的外れさは あるかもしれませんが、サニタイズは出力時に行うべきものなので、 実装漏れという以外の点でも、分散してるのは好ましくないと思います。 二重にサニタイズしてしまう危険性もありますし。 もちろん、ガイドラインをきちんと決めて、プラグインで徹底するように 注意するというやりかたもあると思います。 >初心者にはこのほうが取りかかりやすいと思いますし、HTMLならでは >のプラグインも考えられますしね。将来的にプラグインからWiki形式 >のテキストを返すようにしたり、APIを叩くような方法が可能になった >としても現在のHTMLベースでの実装方法も残そうと思っています。 ただ、初心者の人にXSSに関して考えてもらうってのは かなり酷かと思うのですが…。 >ただ、各プラグインから出力されるHTMLの整合性などの面を考えると >問題だなと思いますね。 ですよね。 >> こういうのとか、cookieのwiki_id認証の件とかは、bugtrackに(にも?) >> あげたほうが管理しやすいですか? >> #個人的には、動作してるサイトの数を考えると、 >> #cookieの件はなにかしらのアナウンスはしたほうがいいように思うのですが… >そのほうがよいでしょうね。認証の件は暗号化したものをクッキーに >セットするようにしようと思ってます。 余計なお世話だとは思ったのですが、一応文面を考えてみました。 もしよければ使ってやってください。 (あ、修正あっているかは一応ご確認をお願いします…) いまのところ、僕が知っているのはこれだけなんですが、他にもありますか? ------ !!セキュリティ情報 FreeStyle Wiki 3.4.1以前(3.4.1を含む)のバージョンには、 クロスサイトスクリプティング脆弱性が存在します。 対策としては、3.4.1に更新した上で、/lib/Wiki.pmの461行目 return "<font class=\"error\">{{$name}}プラグインは存在しません。</font>"; を return "<font class=\"error\">{{".Util::escapeHTML($name)."}}プラグインは存在しません。</font>"; に修正するか、差し替え用のファイル(wiki_pm3_4_1fix.zip)に入れ換えてください。 次のバージョンで正式に対策される予定です。 FreeStyle Wiki 3.4.1以前(3.4.1を含む)のバージョンの認証方法は、 とても簡易な実装となっています。 そのため、管理者のIDがわかる場合に、管理者権限を利用されてしまう 恐れがあります。 対策方法としては、管理者権限のIDを推測しづらいものに変更して、 既存のadminというIDを削除してください。 本質的な改善は、次のバージョンで行われる予定です。 FreeStyle Wiki 3.4.0以前(3.4.0を含む)のバージョンには、 クロスサイトスクリプティング脆弱性が存在します。 FreeStyle Wiki 3.4.1で対応済みですので、該当するバージョンを お使いの方は更新をお願いします。 ------ --- ----- HAYASHI, "Lef" Tatsuya / mailto:lef****@st***** -------------- next part -------------- テキスト形式以外の添付ファイルを保管しました... ファイル名: wiki_pm3_4_1fix.zip 型: application/x-zip-compressed サイズ: 3964 バイト 説明: 無しDownload
Fork