Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Namazu v2.0.7 にクロスサイトスクリプティング脆弱性



寺西です。

"TAKAGI, Hiromitsu" wrote:
> 
> Namazu Project セキュリティご担当様:

そんな人、いましたっけ?

> cookieを発行しているサイトが、同じドメイン上でnamazu.cgiを運用すると、
> この脆弱性によって、そのcookieが漏洩する危険にさらされることになります。

これ自体は確かに問題ですが
 
> cookieがセッション管理に用いられている場合には、cookieを盗まれることで
> セッションを乗っ取られてしまい、個人情報が漏洩するなどの結果を招く場合
> があります。

これはどちらかといえば、cookie をセッション管理に用いているサイトも
悪いってことなんではないかと思いますが。
(少なくとも個人情報にアクセスする時には、SSL 付でパスワードチェック
ぐらいして欲しいと思う。)

もちろん Namazu の修正を反対しているわけでもなく、修正はすべきだとは
思います。
--
寺西