Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security problem?
- From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
- Date: Wed, 5 Apr 2000 09:20:07 JST
- X-ml-name: namazu-devel-ja
- X-mail-count: 00298
ちょうど昨日、東海インターネットワーク協議会の勉強会に出席して、セキュ
リティの話を聞いてきたところでした。
# たかぎとしみつさんの Microsoft VM for Java セキュリティーホールに関
# する話でした。
<200004040847.RAA39001@xxxxxxxxxxxxxxxx>の記事において
masao@xxxxxxxxxxさんは書きました。
>> 今回のバグ、セキュリティ上の影響があるかもしれません。
>>
>> http://www.cert.org/advisories/CA-2000-02.html
>>
>> にて示されている問題がそのまま当てはまるような気がします。
>> # 読み違えていたら、ご指摘下さい。
そうですね... 掲示板などの要に他の client から攻撃されるようなことは
ないですが、悪意をもった人のページから誘導される危険はあると思います。
Advisory に "None of the solutions that web users can take are
compete solutions." とあるように、本質的解決方法はないですね... 強いて
いえば、
* ブラウザのスクリプト言語(JavaScript 等)を off にする
もしくは、スクリプト言語を持たないブラウザを用いる
* 信頼できないページからのリンクを安易に辿らない
ぐらいでしょうか。
>> 2.0以降全てのバージョンで再現します。(たぶん)
>> # 1.3系列では起らなかったはず…。
1.2.0.7 も問題ないようです。
--
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
nokubi@xxxxxxxxx (official)