パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは」記事へのコメント

  • by Anonymous Coward on 2017年09月10日 20時30分 (#3276924)

    「バグではなく仕様です」なんてのはAppleもGoogleもさんざん振りかざしてきたことだし、
    AppleやGoogleも含めて標準仕様に完全準拠しているものでもない
    というより今のMSと比べるとAppleやGoogleのほうが勝手に標準仕様を拡張して変えてくのが大好きなところだからね

    逆にMSは過去との互換性を確保するために「バグではなく仕様です」を使うことが多いところ

    また、

    > 'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、
    > どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する

    とあるとおり、そもそも今回の話は一方的にMSが悪いというものですらない

    • by Anonymous Coward on 2017年09月10日 20時37分 (#3276930)

      今のHTMLの方針はベンダーがガンガン実装して仕様確定は後からというスタイルなので、
      ブラウザベンダに対して「標準仕様に完全準拠しているものでもない」とか
      「勝手に標準仕様を拡張して変えてくのが大好き」というのはナンセンス。

      今回MSが悪いわけではないという点と、メジャーなブラウザベンダの中で今のMSが保守的というか大人しいという点には同意。

      親コメント
    • by Anonymous Coward

      'unsafe-inline'は攻撃者の都合で設定できるんじゃないの?

      • by Anonymous Coward

        中間攻撃者がいる前提ではそもそもHTTP使ってる時点で何やっても無駄
        HTTPSを使えば改ざんされないからまともなサイト(unsafe-inlineをそもそも使わない)なら問題ない

        つまるところ攻撃される前提ならunsafe-inlineを使わないことが重要で、
        それをあえて使うような性善説社内イントラシステムとかではMSの対処のほうが過去互換性などの面でメリットとなる点がある

        だから今回の件でMSを攻撃している人はほとんどいない
        アンチMSが必死に大声で暴れているだけ

    • by Anonymous Coward

      仕様的に存在認めちゃってる問題と、ブラウザの立ち位置の問題かなぁ。

      セキュリティ的には不安要素排除優先で使えなくしても良いと思うけど、ブラウザの使われ方がなぁ。。。

      • by Anonymous Coward

        Edgeがw3の仕様に違反してるのは事実なので、直さないと決めた理由がわからないんだけど、なんか理由があるんだろうね。CSPを継承したらマズい場所が他にあるんだわ。

        • by Anonymous Coward

          明確に継承すべきって書いてあるのはCSP3みたいだけど、そもそもEdgeってCSP3に準拠しているの?
          検索したら CSP2をサポートしたよ。今後はCSP3やってくよ [microsoft.com]みたいな記事が出てきたけどCSP3全体をサポートしたとは書いてなさ気。
          そもそもCSP3はまだドラフトっぽいし・・・CSP2でも継承必須なんだろうか?

          > CSPを継承したらマズい場所が他にあるんだわ。
          単に変更箇所が大きいってだけのような気もします。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...