Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security problem? (commit report: HTML tags)
笠原です。
* From: masao@xxxxxxxxxx (Masao Takaku)
* Date: Tue, 4 Apr 2000 17:47:28 +0900 (JST)
> 今回のバグ、セキュリティ上の影響があるかもしれません。
>
> http://www.cert.org/advisories/CA-2000-02.html
>
> にて示されている問題がそのまま当てはまるような気がします。
# 私も読み違えしているかも知れませんし、セキュリティに詳しいわけ
# でもないです。いずれにしても、修正したからと言って修正前より悪
# くなる要素は全然ない筈ですので、対策を済ませたのなら、それは良
# いことだと思いますが。
よく Web で構築した BBS システムなんかだと、ユーザが自分のコメン
トを載せる際に HTML のタグをそのまま書けちゃったりしますよね。そ
れを悪用して <APPLET> や <SCRIPT> を使った、悪意ある HTML が Web
サーバ上のリソースとして載せることができてしまうと、他の人がそれ
をアクセスする可能性があり危険です。
けれども、namazu の場合はちょっと違うのではないでしょうか。namazu
では、ある人が送った結果を他の人が閲覧することは普通はあり得ませ
んよね。
同じ検索文字列、同じ検索条件を同時期に送れば同じ結果が得られます
けれど、悪意ある HTML タグを検索文字列の中に埋め込むなんてことを、
善意のユーザが行うというのは考えにくいです。
namazu に悪意を込めた検索要求を送るようなリンクを他の HTML ページ
から張っておけば可能ですが、それならその HTMLページ自体に <APPLET>
や <SCRIPT> を埋め込んでも一緒ですし。
________________________________________________________________
笠原 基之(かさはら もとゆき)