アカウント名:
パスワード:
あえて脆弱性を入れ込むとかでなければメモリ以外のセキュリティ問題って滅多にない気がする・仕様に由来するセキュリティ(WebGL 問題みたいなの)・API のパラメータの取り違えなどぐらい?
結局重大度の高い問題って「任意コードの実行」「メモリの読み取り」が大半だと思うので、メモリ起因がほとんどだよね# とはいえ、「安全な」言語の使用って今以上にメモリ喰いしそうで嫌だな
30%あることを滅多にないと表現するのは、とても違和感があります
ご指摘ごもっとで、感覚と違いすぎるなと思い残りの 3 割について調べてみましたSeverity Guidelines for Security Issues [googlesource.com]
・A bug that allows full circumvention of the same origin policy. Universal XSS bugs fall into this category, as they allow script execution in the context of an arbitrary origin (534923).・Site Isolation bypasses:
細かい内訳はないのでこれがどの程度の比率かは不明ですが、XSS などポリシー外で情報を読めてしまうものも重大度が高いとして扱われていました確かに読まれたくない情報もあるし、クレジット番号など機密度の高い情報もあるのでこれも重大度の高い問題ですね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
メモリ以外のセキュリティ問題 (スコア:0)
あえて脆弱性を入れ込むとかでなければメモリ以外のセキュリティ問題って滅多にない気がする
・仕様に由来するセキュリティ(WebGL 問題みたいなの)
・API のパラメータの取り違えなど
ぐらい?
結局重大度の高い問題って「任意コードの実行」「メモリの読み取り」が大半だと思うので、メモリ起因がほとんどだよね
# とはいえ、「安全な」言語の使用って今以上にメモリ喰いしそうで嫌だな
Re:メモリ以外のセキュリティ問題 (スコア:0)
30%あることを滅多にないと表現するのは、とても違和感があります
Re:メモリ以外のセキュリティ問題 (スコア:1, 参考になる)
ご指摘ごもっとで、感覚と違いすぎるなと思い残りの 3 割について調べてみました
Severity Guidelines for Security Issues [googlesource.com]
細かい内訳はないのでこれがどの程度の比率かは不明ですが、XSS などポリシー外で情報を読めてしまうものも重大度が高いとして扱われていました
確かに読まれたくない情報もあるし、クレジット番号など機密度の高い情報もあるのでこれも重大度の高い問題ですね