トップ 差分 一覧 Farm ソース 検索 ヘルプ RSS ログイン

BBS-雑談掲示板/120

ページの作成や編集にはユーザ登録が必要です。

 ファイル添付機能にXSSな脆弱性 - tom (2005年05月19日 18時22分11秒)

...という話題がSlashdot Japan等にでてますが、FSWikiとかは大丈夫でしょうか?

参考:http://slashdot.jp/article.pl?sid=05/05/19/088246&topic=16&mode=thread

  • 任意のファイルが添付できる以上該当すると思います。(コメント中にもありますが、なにもWikiに限った話じゃないです) - にらたま (2005年05月19日 18時24分23秒)
  • 了解です。/.Jでも議論になっているようですが、wikiエンジン側での対策ってのもなかなか有効なものがないみたいですね。「管理者以外はread only」のwikiってのもうれしくなさそうだし... - tom (2005年05月19日 18時43分55秒)
  • 添付出来るファイルの種類を安全と思われるものだけに制限出来るようにしたら、この脆弱性を回避していると思いますか?>皆さん - typer (2005年05月19日 20時17分00秒)
  • AttachHandler.pm の 139行めあたりの Content-Disposition を inline 決め打ちではなく、attachment を指定できるようにして、添付ファイルはダウンロードさせるとか。。。気休めですけど - 髭。 (2005年05月19日 22時19分13秒)
  • あー、一個上の行の Content-Type も同時に変更しといた方がいいか - 髭。 (2005年05月19日 22時21分05秒)
  • Internet Explorer はファイルタイプ指定を無視して HTML を表示するので、ファイルの『内容』を判別しない限り対策になりません>種類制限 - おおいわ (2005年05月19日 23時15分15秒)
  • 昨夜(かな?)の更新で対応されているようですね。作者様乙です。 - tom (2005年05月20日 12時04分06秒)
お名前: コメント:

最終更新時間:2005年05月20日 12時04分06秒