Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: security problem?
- From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
- Date: Wed, 5 Apr 2000 13:00:08 JST
- X-ml-name: namazu-devel-ja
- X-mail-count: 00300
<20000405111442O.m-kasahr@xxxxxxxxxxxxxxxxxx>の記事において
m-kasahr@xxxxxxxxxさんは書きました。
>> 同じ検索文字列、同じ検索条件を同時期に送れば同じ結果が得られます
>> けれど、悪意ある HTML タグを検索文字列の中に埋め込むなんてことを、
>> 善意のユーザが行うというのは考えにくいです。
はい、もちろん善意のユーザはそんなことをしないと思います。
>> namazu に悪意を込めた検索要求を送るようなリンクを他の HTML ページ
>> から張っておけば可能ですが、それならその HTMLページ自体に <APPLET>
>> や <SCRIPT> を埋め込んでも一緒ですし。
可能性として、IE4/5 で設定されているセキュリティーゾーンを越える(と
いう言葉は不正確かも)ことが考えられます。
IE は、信頼できる領域とできない領域とで、スクリプトを実行/抑制するよ
うな設定が可能です。クライアントが信頼できると思っている領域に Namazu
がある場合、そこへ誘導するような link を張ることでなんらかの攻撃が成立
するかもしれません。
まあ、なんにせよ以前の問題に比べればあまり深刻でないのは確かです。
--
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
nokubi@xxxxxxxxx (official)