アカウント名:
パスワード:
「バグではなく仕様です」なんてのはAppleもGoogleもさんざん振りかざしてきたことだし、AppleやGoogleも含めて標準仕様に完全準拠しているものでもないというより今のMSと比べるとAppleやGoogleのほうが勝手に標準仕様を拡張して変えてくのが大好きなところだからね
逆にMSは過去との互換性を確保するために「バグではなく仕様です」を使うことが多いところ
また、
> 'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、> どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する
とあるとおり、そもそも今回の話は一方的にMSが悪いというものですらない
仕様的に存在認めちゃってる問題と、ブラウザの立ち位置の問題かなぁ。
セキュリティ的には不安要素排除優先で使えなくしても良いと思うけど、ブラウザの使われ方がなぁ。。。
Edgeがw3の仕様に違反してるのは事実なので、直さないと決めた理由がわからないんだけど、なんか理由があるんだろうね。CSPを継承したらマズい場所が他にあるんだわ。
明確に継承すべきって書いてあるのはCSP3みたいだけど、そもそもEdgeってCSP3に準拠しているの?検索したらCSP2をサポートしたよ。今後はCSP3やってくよ [microsoft.com]みたいな記事が出てきたけどCSP3全体をサポートしたとは書いてなさ気。そもそもCSP3はまだドラフトっぽいし・・・CSP2でも継承必須なんだろうか?
> CSPを継承したらマズい場所が他にあるんだわ。単に変更箇所が大きいってだけのような気もします。ウィンドウ単位で継承しなきゃ駄目って事はウィンドウの生成管理の段階でCSPを継承する仕組みを入れなきゃ作れない。前提としてXSS食らって溺れつつあるサイトに藁を投げ込むだけのパッチとしてはリスクもコストも高いんじゃない?どうせそのうち実装する機能だしこれだけを理由に性急に事を進めてバグを作り込んだら目も当てられん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
MSを悪者にしたい意図はよくわかったが (スコア:1)
「バグではなく仕様です」なんてのはAppleもGoogleもさんざん振りかざしてきたことだし、
AppleやGoogleも含めて標準仕様に完全準拠しているものでもない
というより今のMSと比べるとAppleやGoogleのほうが勝手に標準仕様を拡張して変えてくのが大好きなところだからね
逆にMSは過去との互換性を確保するために「バグではなく仕様です」を使うことが多いところ
また、
> 'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、
> どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する
とあるとおり、そもそも今回の話は一方的にMSが悪いというものですらない
Re: (スコア:0)
仕様的に存在認めちゃってる問題と、ブラウザの立ち位置の問題かなぁ。
セキュリティ的には不安要素排除優先で使えなくしても良いと思うけど、ブラウザの使われ方がなぁ。。。
Re: (スコア:0)
Edgeがw3の仕様に違反してるのは事実なので、直さないと決めた理由がわからないんだけど、なんか理由があるんだろうね。CSPを継承したらマズい場所が他にあるんだわ。
Re:MSを悪者にしたい意図はよくわかったが (スコア:0)
明確に継承すべきって書いてあるのはCSP3みたいだけど、そもそもEdgeってCSP3に準拠しているの?
検索したらCSP2をサポートしたよ。今後はCSP3やってくよ [microsoft.com]みたいな記事が出てきたけどCSP3全体をサポートしたとは書いてなさ気。
そもそもCSP3はまだドラフトっぽいし・・・CSP2でも継承必須なんだろうか?
> CSPを継承したらマズい場所が他にあるんだわ。
単に変更箇所が大きいってだけのような気もします。
ウィンドウ単位で継承しなきゃ駄目って事はウィンドウの生成管理の段階でCSPを継承する仕組みを入れなきゃ作れない。
前提としてXSS食らって溺れつつあるサイトに藁を投げ込むだけのパッチとしてはリスクもコストも高いんじゃない?
どうせそのうち実装する機能だしこれだけを理由に性急に事を進めてバグを作り込んだら目も当てられん。