アカウント名:
パスワード:
そりゃ問題は「手抜き」の方にある訳で、物自体が云々ってモンでは無いですよ。
まあ、その辺りを考えて作ってナンボのフレームワーク自体が、って点は確かに問題ですが、それだって「作った奴が問題」ってだけの事だし、内部使用しか考えて作られていないものであれば、それを「外部で使うと判断した者が問題」な訳だし。
#元々利便性の為に手抜きする為のモンみたいな物だしねぇ。それをトレンドだけで使うからイカンってだけだよなぁ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
だから… (スコア:1, 参考になる)
最近はいつのまにかSpywareやtrojanを突っ込まれたりとか「よくあること」になってしまっているのに、よくAjaxのように(よほどブラウザの弱点を熟知した上で上手に作らないと)リスキーな側面を孕んでいる技術を使うもんが無闇に使われてるよな…とか思っていましたが…(;´Д`)
一年…とまではいかないまでも半年はアドバイザリ出すのが遅かったような気がするんですが(;´Д`)
Re:だから… (スコア:0)
そりゃ問題は「手抜き」の方にある訳で、物自体が云々ってモンでは無いですよ。
まあ、その辺りを考えて作ってナンボのフレームワーク自体が、って点は確かに問題ですが、それだって「作った奴が問題」ってだけの事だし、内部使用しか考えて作られていないものであれば、それを「外部で使うと判断した者が問題」な訳だし。
#元々利便性の為に手抜きする為のモンみたいな物だしねぇ。それをトレンドだけで使うからイカンってだけだよなぁ。
Re:だから… (スコア:4, 参考になる)
どう注意すれば良いのかがすごく気になるのでタレコミからリンクされていたpdfを読んでみたんですが、 なんかものすごい泥縄のような・・・。
結局、
>The Web browser will send up the appropriate session cookie with the request.
ってことなんですね。cookieまで渡しちゃうとは思ってませんでした。
{"重要な", "秘密の", "データ"};
みたいなコードが実行されるだけなので(その配列はどこにも代入されない)、不正なHTML中から、その「重要な秘密のデータ」にアクセスする手段が無くて安全そう
で、対策は、(1)CookieだけじゃなくRefererも見る(いまいち安全ではない)、もしくは、 (2)正しいアクセスなら得られたJSON形式のソースコードを加工してから実行できるけど、 クロスサイトの側はただ実行することしかできないのを利用する(冒頭に"while(1);"を付けて、正しいアクセスの時はそれを削除する。不正アクセスは削除する機会が無く実行するのでハマる)。
Re:だから… (スコア:5, 参考になる)
# だいたい、HTTPXMLRequestって何だよorz
# 新たな技が出てくる度、話がややこしくなってきて付いていくのがやっと・・・。
Re:だから… (スコア:0)
googleもやってますね