アカウント名:
パスワード:
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
投稿者: GIJOE 投稿日時: 2006-08-01 06:13:28 (1177 ヒット) これ、実際に経験してみれば判ることですが、ほとんど成功しない攻撃です。しかも、 session.use_only_cookies 1 は推奨設定です。 こんなのを今さら「XOOPSの脆弱性」として連絡してくるあたり、JPCERTという組織のレベルの低さを証明しているわけですが、ちゃんと対応するコアチームは素直に偉いと思いま
; This option enables administrators to make their users invulnerable to ; attacks which involve passing session ids in URLs; defaults to 0. ; session.use_only_cookies = 1
違いますよ。session.use_only_cookies=1 にしても脆弱です。 ウェブブラウザは何使ってますか?
タレコミの IPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
ウェブアプリケーション側で対処しない場合は、「Cookie Monster」と呼ばれるドメインをまたがったCookie のセットができてしまう問題を抱えたブラウザ(Mozilla、Firefox などが該当)をそのウェブ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
XOOPSはやばい (スコア:1, 興味深い)
そういのは使わないほうがよさそうです。
セキュmemo [ryukoku.ac.jp]で知ったのですが、関係者?がこんなと言ってるんですね。
Re:XOOPSはやばい (スコア:1, 参考になる)
Re:XOOPSはやばい (スコア:1, 参考になる)
違いますよ。session.use_only_cookies=1 にしても脆弱です。
ウェブブラウザは何使ってますか?
タレコミの IPAの資料 [ipa.go.jp]の脚注に書かれている通りです。
Re:XOOPSはやばい (スコア:0)
そして、それぞれが、何かのミスによる物でもない。
相性が悪いという程度の事。
なのに、なぜ、XOOPSだけが責められているのだろう?
見方を変えれば、Cookie Monsterの脆弱性と言えるのでは?
Re:XOOPSはやばい (スコア:0)
で、どうすればいいの?
Re:XOOPSはやばい (スコア:0)
そして、Xoopsはそういう対応をした。
以上。
Re:XOOPSはやばい (スコア:0)