アカウント名:
パスワード:
■根本的解決 1)-1 SQL文の組み立てにバインド機構を利用する
被害にあった可能性のある対象者 8/3 02:18~03:55に予告inトップにPCでアクセスした利用者。 更に、IE系の描画エンジンを実装したブラウザ(InternetExploler、Sleipnir等)を利用していたユーザ。 FireFox等では発動しないことを確認済みです。
客観的評価指標がない。
裏を返すと、Geek は Geek を知る、ということかもしれませんねえ。Google の面接みたく。
ド玄人は「俺なら2時間で作れる」と言うだけで、結局何も生み出さない訳ですね、分かります。
たれ込みを採用してもコメントしなければ自分には何の落ち度もない。 たれ込みを採用した編集者って、こういう感覚で編集やってんだw
この場合での採用の落ち度ってよく分からんです。編集が自分の主義主張で採用を決めていたとしたらそっちの方が困る。
#多少の個性はいいスパイスだけどね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
サニタイズ言うな (スコア:4, 参考になる)
○出力データの適切なエスケープ
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
夏だし。
Re:サニタイズ言うな (スコア:1, おもしろおかしい)
「安全なウェブサイトの作り方」読めって (スコア:1)
「RDBMSに」「SQLを」「出力するとき」の話だよ。
Re:「安全なウェブサイトの作り方」読めって (スコア:1, すばらしい洞察)
Re:「安全なウェブサイトの作り方」読めって (スコア:1, 興味深い)
Re:サニタイズ言うな (スコア:1, すばらしい洞察)
何が誤った解釈を引き起こさせるかなんて入力時に分かる性質のものではありません。
SQL インジェクションを起こす「危険な文字列」と XSS を起こす「危険な文字列」は全く違いますから。
各脆弱性が起きる条件を少し調べて考えれば、出力時以外にはエスケープを行っても意味が無いことが分かるはずです。
変なデータを入力されてシステムの動作がおかしくなるなら、「変なデータ」を扱う部分でエスケープ相当の無害化が行われていないか不十分ということです。SQL インジェクションや XSS と本質はそう違いません。
データを利用する部分が適切に処理されていればそのような問題は発生しません。
# 仕様バグで仕様に脆弱性があってエスケープに相当するものが無い場合はちょっと困ったことになりますが…。
今回はXSSであると申告されたからよかったものの (スコア:3, すばらしい洞察)
サイト管理者が申告しなかったり,そもそも放置されたまま動いているような
掲示板経由だったりすると濡れ衣を着せられた人はそれを証明する手段がないですよね・・・
屍体メモ [windy.cx]
Refererヘッダ (スコア:2)
そのチェックルーチンにバグがあったのでしょうかね?
それとも攻撃者の指定したRefererが送信されたのでしょうかね?
以前のFlash PlayerはActionScriptで任意のRefererを送信できたようですが
それを悪用した攻撃だったのでしょうかね?
また とあるのも気になります。
IEのレンダリングエンジンのスクリプトやアプレットの実行部分に、任意のRefererを送信させる穴があるならば、
RefererをチェックするというCSRFの対策法は意味がなくなってしまいますし・・・
単なる臆病者の Anonymous Cat です。略してACです。
Re:Refererヘッダ (スコア:1)
Flash Playerに任意のRefererヘッダが送信できる脆弱性 [itmedia.co.jp]
掲示板側としては、セッション付きの書き込みの確認ページを挟むのが効果的でしょうね。
Re:Refererヘッダ (スコア:1)
IEのレンダリングエンジンを利用しているブラウザのみが被害を受けた可能性があるというのは
埋め込まれたHTMLタグが不正確なものだったみたいですし、それを無理やり解釈するIEの機能のおかげなのでしょうかね。
単なる臆病者の Anonymous Cat です。略してACです。
2chのリファラチェックは修正されたみたいです (スコア:1)
ミスなのか一部の2chブラウザのためにあえて緩くしてあったのかはわかりませんが
とりあえず一安心といったところでしょうかね。
但し他にもチェックの甘い掲示板等もあるでしょうし、任意のRefererを送信させれるアプリやプラグインが無いとも言い切れないですから
完全に安心できないのも事実ですけど・・・
# 今回の騒ぎは、犯罪予告や人権侵害の書き込み者の個人情報の提供を義務付けるべきとかいうことの危険性がよくわかる事例ですね。
単なる臆病者の Anonymous Cat です。略してACです。
何の罪になる? (スコア:2, 興味深い)
何の罪になるんでしょうか?
不正アクセスじゃあないですよね?
犯罪でも犯罪でなくても、この際、「予告.in」が犯罪予告の通報だけ
じゃなくてサイバー攻撃のハニーポット役になって、クラッカーを
捕まえるきっかけになって欲しいもんです。
-- う~ん、バッドノウハウ?
Re:何の罪になる? (スコア:1)
スラッシュドット・ジャパン | ACCS事件でoffice氏に有罪判決 [srad.jp] ← 有罪確定 [srad.jp]
これによると、「アクセスはプログラムの脆弱(ぜいじゃく)性を利用したもので、管理者は想定もしていなかった。アクセス制御機能による『特定利用の制限』がかかっていたといえ、被告の行為は不正アクセスに当たる」とのことです。
どちらにしても、「XSSの脆弱性に対処してないほうが悪い。だから罪にはならないよー」とは日本人の倫理観では言えないと思う。カギが開いてたから空き巣に入りました、と同レベルに感じる。
Re:何の罪になる? (スコア:1)
ひょっとして、予告.inのトップに「サイバー攻撃もばんばん通報します」とか
書いて挑発してハニーポット化しようとした場合、サイバー攻撃の通報も
業務になったとみなされて、サイバー攻撃されても業務妨害にはならない?
# ややこしい
-- う~ん、バッドノウハウ?
えー (スコア:1)
見逃している時点でエンジニアとしての力量が知れてしまいそうなものですが。
// 流石にこれはなぁ・・・(:>^
Re:えー (スコア:4, すばらしい洞察)
同情が先に来ます。
#お金をつぎ込んでバグが無くなれば世の中もっと平和でしょうね
Re:えー (スコア:5, おもしろおかしい)
Re:えー (スコア:1)
海原雄山しかいない美味しんぼの世界
Re:えー (スコア:1, すばらしい洞察)
毎日新聞より、まずはニュー速+に教えてあげるべきだろう
石を投げつけられる立場に回ったとき、どうするんだろうねww
Re:えー (スコア:1)
裏を返すと、Geek は Geek を知る、ということかもしれませんねえ。Google の面接みたく。
Re:えー (スコア:1)
データフローとか使えばできそうなものだと思うけど。
Re: (スコア:0)
Re:えー (スコア:4, おもしろおかしい)
Re:えー (スコア:1)
別にいいんじゃね? (スコア:0)
それより、セキュリティホールが見つかってすぐに対応したのは評価できると思うね。
最近は知らぬ存ぜぬで無視したり、不正アクセス防止法とやらで居直る奴ばっかりだから。
Re:別にいいんじゃね? (スコア:1, すばらしい洞察)
これが仕事で俺が客だったらこんなミスする所には二度と発注しないよ。
そういうレベル。
こんなのはあくまで個人サイトで個人のプログラムがこけたレベルの話でしか無いんだが、
そもそも公共性を前面に押し出して、既に何人もの人間の人生を「自らの手で」左右してる時点で、
もはやこれは公共物で、不備は叩かれてもしょうがないレベルだと思ってる。
センセーショナルに煽るだけではなく、もっと現実的な運用を目指せばここまで叩かれる事は無かったと思う。
Re:別にいいんじゃね? (スコア:1)
こういってはなんですが、こんな初歩的なミスをする奴とは一緒に仕事したくないです。
ミスを踏み台にしてステップアップ、が許されるのは一年目までです。
// 過去に何回の自称エンジニアの尻拭いさせられたことか。(:>^
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
#それが事前に示されただけで儲けもの。
Re:予告.inの性質にもよる (スコア:2, すばらしい洞察)
その内容を確認して逮捕に踏み切るのかどうか判断するのは警察の仕事であり、
そこに誤認逮捕などがあれば、責任は警察にあると思います。
そうじゃないと、警察に情報協力する一般人はいなくなっちゃうよ。
Re: (スコア:0)
単なるヒューマンエラーじゃん
レビューなどのチェック体制の問題だね
Re:えー (スコア:3, すばらしい洞察)
責任の所在の不明瞭化を図るために
2億円ほどかかるんじゃないでしょうか
Re:えー (スコア:1)
// そこに突っ込むのは無粋かな、と思っただけなんですけどね(;>^
Re:えー (スコア:1)
力量が足らないっつーのは「物の作り手」として力量が足らないと言う意味でして、
決して「プログラミングの技術力」の力量が足らないと言う意味では無いです。
xssが発生したといえど、この件においては「対策を忘れた」と報じられたことが最大の汚点です。
バグが存在したかどうかは問題じゃない。むしろ存在して当たり前。
// オフトピばっか(:>^
Re:えー (スコア:1, 興味深い)
ソースはこちら。
http://byokan.net/images/2008/yokoku/01.jpg
犯行予告の限界 (スコア:1)
っていう思考がもう限界なんじゃないだろうか。
それこそ便所の落書きとかチラシの裏に犯行予告が書いてあっても防ぎようもないし誰も咎めないでしょう。
(まぁ、家族が見れる状態なら家族が非難されるかもしれんけど)
犯行予告があっても放置、その後実際に犯罪があっても未然に防げなかったと騒ぐ必要無し、でいいんじゃないかと思いつつ、
実際に犯罪に遭遇するとそうとも言えないんだろうなぁ。
# 犯行予告スレに慰めるコメントを書き込むスクリプト作る方が効果あったりして
Re:犯行予告の限界 (スコア:1)
>限界の来るポイントは違ったと思うよ。
今回のXSSのような技術的問題についてなら限界の来るポイントは違ったかもしれないが、元コメントがあげてるようなスキームそのものが持つと思われる限界については「ちゃんとしたシステム」だからといってそう変わらないと思うよ。
うじゃうじゃ
Re:犯行予告の限界 (スコア:1)
私はこの手の話には詳しくないので「~と思う」以上のことは言えません。
でも素人なりに「ちゃんとしたシステムなら限界を先に延ばせる」とは思えなかったのでああいう書き方になりました。
それはれとして、どうせコメント書くならもっと内容のあるものにして欲しかったです。勝手な希望ですが。
これじゃ私が間違っているのかどうかすらわからないので寂しいです。
うじゃうじゃ
2時間の時点で (スコア:1)
どう考えても2時間じゃテスト適当しか不可能だし。
まあ2時間自体が大分誇張でもあるだろうし。
この分だと他にも・・・・
と作者も考えて今頃チェックしてるんだろうなきっと。
Re:2時間の時点で (スコア:1, すばらしい洞察)
ま、即興プログラマに多い落とし穴ではないでしょうか。
Re:2時間の時点で (スコア:1, おもしろおかしい)
ド玄人は「俺なら2時間で作れる」と言うだけで、結局何も生み出さない訳ですね、分かります。
Re:2時間の時点で (スコア:1)
とりあえず二億はもらっておきますよ
新手のDOS攻撃ですか? (スコア:1)
2.犯罪予告が掲示板に書き込まれる。
3.犯罪予告を掲示板で見た人が予告.inにアクセスする。
4.2.に戻る。
#やがてみんな逮捕されて収束する:-
TBSが担ぎ出してたみたいですけど (スコア:0)
Re: (スコア:0)
で、2chに投稿された警視庁爆破の同文面の犯罪予告は (スコア:0)
Re:で、2chに投稿された警視庁爆破の同文面の犯罪予告は (スコア:1)
Re:で、 (スコア:1)
大変申し訳ございませんが、おっしゃっていることがよくわかりません。
当該ストーリーで、私が「総務省を馬鹿にする」ようなコメントをしておりましたでしょうか。
# そもそも当該ストーリーでコメントした記憶もないのですが
混沌の中にこそ真実がある・・・かもしれないけど探すのめんどい
Re:で、 (スコア:1)
この場合での採用の落ち度ってよく分からんです。編集が自分の主義主張で採用を決めていたとしたらそっちの方が困る。
#多少の個性はいいスパイスだけどね。
LIVE-GON(リベゴン)