パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Web制作者の常識、開発エンジニアの常識」記事へのコメント

  • 「HTMLに詳しくないと理解できない脆弱性もある」って具体的になんだろう。「CSSXSS」とかはそうかも知れないけど、そういうサイトを作りたいわけじゃないなら関係無い気がする。
    『システム会社は「HTMLの知識が9年前のまま」』で必要充分だと思うんですが...
    • by sen (197) on 2006年07月26日 16時08分 (#985154)
      とりあえず、公開されているプレゼンテーションの資料をよんでみてください。
      親コメント
      • 読んだけどピンと来ませんでした。

        ・JavaScriptの知識が必要
        ・SSLの知識が必要
        当然そう思いますが、それってHTMLじゃないような...

        HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。
        が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。

        • by securecat (3946) on 2006年07月26日 19時37分 (#985268) ホームページ 日記
          タグが書ける掲示板の話でいうと、SCRIPT要素などが書ける事によりJavaScriptが発動することにより、たとえばXSS脆弱性に繋がることがある、という話で、とある事例では、

          ・SCRIPT要素は書けない。
          ・A要素のHREF属性に、javascriptスキームの値は書けない(というかscriptという文字列を含む値が書けない)。

          という実装仕様だったけど、実装者は数値文字参照のことを知らなかった(HTMLの仕様を知らなかった)。そのため、

          <a href="javascript:alert('XSS');">click me</a>

          はフィルタを貫通して書き込めた。その後、数値文字参照については対応されたようだが、実装者は数値文字参照の最後のセミコロンが省略できることを知らなかった(HTMLの仕様を知らなかった)。そのため、

          <a href="javascrip&#116:alert('XSS');">click me</a>

          はフィルタを貫通して書き込めた。

          …というような話です。
          HTMLの仕様をきちんと知っていないと、ブラックリスト方式なフィルタを実装するのは結構大変だという一例として挙げられていました。

          ということで、まあとりあえずは、セキュアなWebシステムだと思っていたものも、HTMLをよく知っていないことにより、何らかの穴があるかもしれない…ということはいえるのではないですかね。

          なお、SSLの話は第2部中では後半にあたるのですが、後半の話はHTMLを知っていないと、というオチではなくて、セミナーのテーマどおりに「ディレクターが知っておくべき」の文脈に焦点のあるものでした。
          親コメント
          • ひとつめの貫通した例の数値文字参照が、展開されてしまっているようなので、文章としてうまくないので訂正させてください。

            一つ目の貫通した例は、

            <a href="javascrip&#116;:alert('XSS')>click me</a>

            です。

            # 蛇足ながら、つまりslashcodeは数値文字参照の最後のセミコロンが省略できることを知らない(あるいは、省略したものは数値文字参照として扱われない)ということなのだな、と……。
            親コメント
        • > HTMLタグが書ける掲示板が例に挙がってましたが、
          > そんなシステムの方が少数派かなと思います。

          HTMLもJavaScriptも多少理解して無いと、
          単に「それらを想定してないシステム」にはなっても、
          「それらを万が一にも書かせないシステム」には仕上がらない罠。

          > 「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。

          HTMLも知らずにWebシステムがセキュアかどうかを検証する事などできようはずがない。
          もちろん、HTMLだけじゃ全然足りないんだけど、

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...