Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: クロスサイトスクリプティング脆弱性 (ver2.0.10)



On Tue, 26 Mar 2002 13:58:44 JST 
knok@xxxxxxxxxxxxx (NOKUBI Takatsugu) wrote:
>   おそらく read_headfoot() 等から nmz_warn_printf() を呼び出して出力さ
> れたものだと思います。これは stderr に出力する関数なのですが、Unix で 
> apache 等で利用している分には、stderr の出力は HTTP の出力には反映され
> ない(error.log 等に出力される)ので問題にならないようです。
>   IIS は違うようですが、apache 以外でも同様の挙動をする実装がないとは
> いいきれません... ということで確かに問題ですね。

なるほど。(他のものでも影響が出そうな話ですね。)

>   IIS はあまり使ったことがないのでよくわかりませんが、どなたか有効そう
> な workaround をご存知ないでしょうか?

>   それからどのように修正すべきかも問題ですが、
> 1. nmz_warn_printf の出力を抑制可能に
> 2. nmz_warn_printf の出力を escape
>   どちらが良いでしょうか? 前者は完全な対応とはいいがたいですが、escape
> を期待しない環境では後者だと困ることもありそうです。

error.logというプレインテキストのファイルに出力されるメッセージが、
HTMLのエスケープがされているというのは、技術的に変であるのが技術者とし
て耐え難いところですが、なんでもエスケープしておけば安全側に倒したこと
になる…のだろうか。

(別の話題ですが、Contenet-Type: text/plain な応答でも、内容にHTMLっぽ
いタグが含まれていると、IEが勝手にHTMLとして解釈してしまう(Operaもだっ
たかも)ため、クロスサイトスクリプティング問題を起こすというやっかいな
問題があったりして、頭が痛いです。)

やっぱり嫌なので、

  3. nmz_warn_printf の出力先を stderr ではなく用意したファイルにする

というのはどうでしょうか? 

もしかして、上のメッセージは namazu コマンドの部分が出しているのでしょ
うか。だとしたら上の仕様は気持ち悪いですから、namazu.cgi から namazu 
を呼び出すときに、stderr をファイルにリダイレクトする、とかできませんか?


高木 浩光@独立行政法人産業技術総合研究所
http://staff.aist.go.jp/takagi.hiromitsu/