アカウント名:
パスワード:
・JavaScriptの知識が必要 ・SSLの知識が必要 当然そう思いますが、それってHTMLじゃないような...
HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。 が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
大袈裟に書いてあるけど (スコア:0)
『システム会社は「HTMLの知識が9年前のまま」』で必要充分だと思うんですが...
Re:大袈裟に書いてあるけど (スコア:1)
Re:大袈裟に書いてあるけど (スコア:0)
・JavaScriptの知識が必要
・SSLの知識が必要
当然そう思いますが、それってHTMLじゃないような...
HTMLタグが書ける掲示板が例に挙がってましたが、そんなシステムの方が少数派かなと思います。勿論、掲示板システムを作るのであれば、HTMLに詳しく無いといけないとは思いますけど。
が、それをもって「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。それは「Webシステムを作る為には対象の業務知識が必要」という事とほぼ同義で、その「業務知識」が掲示板システムにおいては「HTMLタグ」でしたという話かなと思います。
Re:大袈裟に書いてあるけど (スコア:5, 参考になる)
・SCRIPT要素は書けない。
・A要素のHREF属性に、javascriptスキームの値は書けない(というかscriptという文字列を含む値が書けない)。
という実装仕様だったけど、実装者は数値文字参照のことを知らなかった(HTMLの仕様を知らなかった)。そのため、
<a href="javascript:alert('XSS');">click me</a>
はフィルタを貫通して書き込めた。その後、数値文字参照については対応されたようだが、実装者は数値文字参照の最後のセミコロンが省略できることを知らなかった(HTMLの仕様を知らなかった)。そのため、
<a href="javascript:alert('XSS');">click me</a>
はフィルタを貫通して書き込めた。
…というような話です。
HTMLの仕様をきちんと知っていないと、ブラックリスト方式なフィルタを実装するのは結構大変だという一例として挙げられていました。
ということで、まあとりあえずは、セキュアなWebシステムだと思っていたものも、HTMLをよく知っていないことにより、何らかの穴があるかもしれない…ということはいえるのではないですかね。
なお、SSLの話は第2部中では後半にあたるのですが、後半の話はHTMLを知っていないと、というオチではなくて、セミナーのテーマどおりに「ディレクターが知っておくべき」の文脈に焦点のあるものでした。
Re:大袈裟に書いてあるけど (スコア:1)
一つ目の貫通した例は、
<a href="javascrip&#116;:alert('XSS')>click me</a>
です。
# 蛇足ながら、つまりslashcodeは数値文字参照の最後のセミコロンが省略できることを知らない(あるいは、省略したものは数値文字参照として扱われない)ということなのだな、と……。
Re:大袈裟に書いてあるけど (スコア:0)
> そんなシステムの方が少数派かなと思います。
HTMLもJavaScriptも多少理解して無いと、
単に「それらを想定してないシステム」にはなっても、
「それらを万が一にも書かせないシステム」には仕上がらない罠。
> 「HTMLを知らないとセキュアなWebシステムが作れない」とするのは乱暴な気がします。
HTMLも知らずにWebシステムがセキュアかどうかを検証する事などできようはずがない。
もちろん、HTMLだけじゃ全然足りないんだけど、