Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security problem?



  ちょうど昨日、東海インターネットワーク協議会の勉強会に出席して、セキュ
リティの話を聞いてきたところでした。

# たかぎとしみつさんの Microsoft VM for Java セキュリティーホールに関
# する話でした。

<200004040847.RAA39001@xxxxxxxxxxxxxxxx>の記事において
masao@xxxxxxxxxxさんは書きました。

>> 今回のバグ、セキュリティ上の影響があるかもしれません。
>> 
>> http://www.cert.org/advisories/CA-2000-02.html
>> 
>> にて示されている問題がそのまま当てはまるような気がします。
>> # 読み違えていたら、ご指摘下さい。

  そうですね... 掲示板などの要に他の client から攻撃されるようなことは
ないですが、悪意をもった人のページから誘導される危険はあると思います。

  Advisory に "None of the solutions that web users can take are
compete solutions." とあるように、本質的解決方法はないですね... 強いて
いえば、

* ブラウザのスクリプト言語(JavaScript 等)を off にする
  もしくは、スクリプト言語を持たないブラウザを用いる
* 信頼できないページからのリンクを安易に辿らない

 ぐらいでしょうか。

>> 2.0以降全てのバージョンで再現します。(たぶん)
>> # 1.3系列では起らなかったはず…。

  1.2.0.7 も問題ないようです。
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)