Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security problem?



<20000405111442O.m-kasahr@xxxxxxxxxxxxxxxxxx>の記事において
m-kasahr@xxxxxxxxxさんは書きました。

>> 同じ検索文字列、同じ検索条件を同時期に送れば同じ結果が得られます
>> けれど、悪意ある HTML タグを検索文字列の中に埋め込むなんてことを、
>> 善意のユーザが行うというのは考えにくいです。

  はい、もちろん善意のユーザはそんなことをしないと思います。

>> namazu に悪意を込めた検索要求を送るようなリンクを他の HTML ページ
>> から張っておけば可能ですが、それならその HTMLページ自体に <APPLET>
>> や <SCRIPT> を埋め込んでも一緒ですし。

  可能性として、IE4/5 で設定されているセキュリティーゾーンを越える(と
いう言葉は不正確かも)ことが考えられます。
  IE は、信頼できる領域とできない領域とで、スクリプトを実行/抑制するよ
うな設定が可能です。クライアントが信頼できると思っている領域に Namazu
がある場合、そこへ誘導するような link を張ることでなんらかの攻撃が成立
するかもしれません。

  まあ、なんにせよ以前の問題に比べればあまり深刻でないのは確かです。
-- 
野首 貴嗣
E-mail: knok@xxxxxxxxxxxxx (private)
        nokubi@xxxxxxxxx (official)