Namazu-devel-ja(旧)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security problem?

From: knok@xxxxxxxxxxxxx (NOKUBI Takatsugu)
Date: Wed, 5 Apr 2000 13:00:08 JST
X-ml-name: namazu-devel-ja
X-mail-count: 00300

<20000405111442O.m-kasahr@xxxxxxxxxxxxxxxxxx>の記事において
m-kasahr@xxxxxxxxxさんは書きました。

>> 同じ検索文字列、同じ検索条件を同時期に送れば同じ結果が得られます
>> けれど、悪意ある HTML タグを検索文字列の中に埋め込むなんてことを、
>> 善意のユーザが行うというのは考えにくいです。

  はい、もちろん善意のユーザはそんなことをしないと思います。

>> namazu に悪意を込めた検索要求を送るようなリンクを他の HTML ページ
>> から張っておけば可能ですが、それならその HTMLページ自体に <APPLET>
>> や <SCRIPT> を埋め込んでも一緒ですし。

  可能性として、IE4/5 で設定されているセキュリティーゾーンを越える(と
いう言葉は不正確かも)ことが考えられます。
  IE は、信頼できる領域とできない領域とで、スクリプトを実行/抑制するよ
うな設定が可能です。クライアントが信頼できると思っている領域に Namazu
がある場合、そこへ誘導するような link を張ることでなんらかの攻撃が成立
するかもしれません。

  まあ、なんにせよ以前の問題に比べればあまり深刻でないのは確かです。
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)

References:
- Re: security problem? (commit report: HTML tags)
  - From: Motoyuki Kasahara

Prev by Date: Re: security problem? (commit report: HTML tags)
Next by Date: mknmz-wwwoffle
Previous by thread: Re: security problem? (commit report: HTML tags)
Next by thread: Re: security problem? (commit report: HTML tags)
Index(es):
- Date
- Thread