Namazu-devel-ja(旧)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性
寺西です。
"TAKAGI, Hiromitsu" wrote:
>
> Namazu Project セキュリティご担当様:
そんな人、いましたっけ?
> cookieを発行しているサイトが、同じドメイン上でnamazu.cgiを運用すると、
> この脆弱性によって、そのcookieが漏洩する危険にさらされることになります。
これ自体は確かに問題ですが
> cookieがセッション管理に用いられている場合には、cookieを盗まれることで
> セッションを乗っ取られてしまい、個人情報が漏洩するなどの結果を招く場合
> があります。
これはどちらかといえば、cookie をセッション管理に用いているサイトも
悪いってことなんではないかと思いますが。
(少なくとも個人情報にアクセスする時には、SSL 付でパスワードチェック
ぐらいして欲しいと思う。)
もちろん Namazu の修正を反対しているわけでもなく、修正はすべきだとは
思います。
--
寺西