アカウント名:
パスワード:
「バグではなく仕様です」なんてのはAppleもGoogleもさんざん振りかざしてきたことだし、AppleやGoogleも含めて標準仕様に完全準拠しているものでもないというより今のMSと比べるとAppleやGoogleのほうが勝手に標準仕様を拡張して変えてくのが大好きなところだからね
逆にMSは過去との互換性を確保するために「バグではなく仕様です」を使うことが多いところ
また、
> 'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、> どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する
とあるとおり、そもそも今回の話は一方的にMSが悪いというものですらない
'unsafe-inline'は攻撃者の都合で設定できるんじゃないの?
中間攻撃者がいる前提ではそもそもHTTP使ってる時点で何やっても無駄HTTPSを使えば改ざんされないからまともなサイト(unsafe-inlineをそもそも使わない)なら問題ない
つまるところ攻撃される前提ならunsafe-inlineを使わないことが重要で、それをあえて使うような性善説社内イントラシステムとかではMSの対処のほうが過去互換性などの面でメリットとなる点がある
だから今回の件でMSを攻撃している人はほとんどいないアンチMSが必死に大声で暴れているだけ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
MSを悪者にしたい意図はよくわかったが (スコア:1)
「バグではなく仕様です」なんてのはAppleもGoogleもさんざん振りかざしてきたことだし、
AppleやGoogleも含めて標準仕様に完全準拠しているものでもない
というより今のMSと比べるとAppleやGoogleのほうが勝手に標準仕様を拡張して変えてくのが大好きなところだからね
逆にMSは過去との互換性を確保するために「バグではなく仕様です」を使うことが多いところ
また、
> 'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、
> どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する
とあるとおり、そもそも今回の話は一方的にMSが悪いというものですらない
Re: (スコア:0)
'unsafe-inline'は攻撃者の都合で設定できるんじゃないの?
Re:MSを悪者にしたい意図はよくわかったが (スコア:0)
中間攻撃者がいる前提ではそもそもHTTP使ってる時点で何やっても無駄
HTTPSを使えば改ざんされないからまともなサイト(unsafe-inlineをそもそも使わない)なら問題ない
つまるところ攻撃される前提ならunsafe-inlineを使わないことが重要で、
それをあえて使うような性善説社内イントラシステムとかではMSの対処のほうが過去互換性などの面でメリットとなる点がある
だから今回の件でMSを攻撃している人はほとんどいない
アンチMSが必死に大声で暴れているだけ