アカウント名:
パスワード:
今に始まったことではないが、
> 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」
こんなこと言ってるようじゃ、もう終わりだな。セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。
それとも、先日のXSSの話題にあったように、セキュリティ問題について日本人は神経質すぎるのか?
Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。
どういう実装になってるかは知りませんが、わざと応答遅くするなど、総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・
今回の問題だと、画像は文書を削除しても残るようなので例えばどこかの掲示板にURL貼られちゃったら見られ放題なわけですが。危険なのはどちらかというと手違いを含めた人と人とのやり取りから漏れるケースだと思いますが。
>画像は文書を削除しても残る
削除機能が削除の用をなしていないって事ですね。脆弱性で無いにしても、いつまでもGoogleが意図に反して保持しているという事。重要な不具合には違いありませんね。
漏れる/悪用される時の状況や経路とシステムの潜在的リスクとは切り離して考えないと、なんでもかんでも「XSSは本当に危険なのでしょうかキリッ」ってことになっちゃう。
そういう状況が普通の利用ではありえないから、受容できるって苦しい言い訳が通用するのは、完全に社内インフラで使われるようなツールだから、ネットワーク的に切り離しているためそれが担保になっているとか言える場合においてくらいだろうと。
#外部からネットワークを乗り越えて正規クライアントを自由に出来る状況になってしまえば、#社内インフラアプリの些細な脆弱性など問題にならない
> いつまでもGoogleが意図に反して保持している意図に反しているならいい(よくないけど)のですが…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
Googleもうだめ (スコア:0)
今に始まったことではないが、
> 「指摘のあった問題はGoogleドキュメントに重大なセキュリティ上の危険をもたらすものではないと考えています」
こんなこと言ってるようじゃ、もう終わりだな。
セキュリティ上の問題が発見されること自体は、あるていど仕方がないけど。
それとも、先日のXSSの話題にあったように、
セキュリティ問題について日本人は神経質すぎるのか?
Re:Googleもうだめ (スコア:3, 興味深い)
Googleは、リンクの張られておらず、推測不能な十分長いURLは、アクセス制限として有効だと考えているようです。
実際、カレンダーには、ログインなしで予定がみれるURLが設定されています。
どういう実装になってるかは知りませんが、わざと応答遅くするなど、
総当たり攻撃対策やっててくれれば、個人的には十分だと思いますが・・・
Re: (スコア:0)
今回の問題だと、画像は文書を削除しても残るようなので
例えばどこかの掲示板にURL貼られちゃったら見られ放題なわけですが。
危険なのはどちらかというと手違いを含めた人と人とのやり取りから
漏れるケースだと思いますが。
Re:Googleもうだめ (スコア:2, すばらしい洞察)
>画像は文書を削除しても残る
削除機能が削除の用をなしていないって事ですね。
脆弱性で無いにしても、いつまでもGoogleが意図に反して保持しているという事。
重要な不具合には違いありませんね。
漏れる/悪用される時の状況や経路とシステムの潜在的リスクとは切り離して考えないと、
なんでもかんでも「XSSは本当に危険なのでしょうかキリッ」ってことになっちゃう。
そういう状況が普通の利用ではありえないから、受容できるって苦しい言い訳が通用するのは、
完全に社内インフラで使われるようなツールだから、ネットワーク的に切り離しているため
それが担保になっているとか言える場合においてくらいだろうと。
#外部からネットワークを乗り越えて正規クライアントを自由に出来る状況になってしまえば、
#社内インフラアプリの些細な脆弱性など問題にならない
Re: (スコア:0)
> いつまでもGoogleが意図に反して保持している
意図に反しているならいい(よくないけど)のですが…