GEEKy Script Writer [perl and more!]
You should permit the JavaScript!!
スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
【AMIGO】またまたID/PWD流出の危険性【BLOG】
前の記事に書いたのと同じようなことが、AMIGO BLOGでも起こりうる。

詳細は追記のほうで。
まず、前記事の後日談を。
お題掲示板のほうの、<がエスケープされていないという脆弱性については回避されたようですが、まだ改行コードが名前のところなどから除去されてないので、ログファイル破損等の危険性は回避されてないようです。仕事しろよまったく。しかもリファラはじきが完全じゃないみたいだし。やる気あんのか?


で、今度はBLOGのほうですが、ID/PWD付きで、つまりアバターを出してコメントすると、ID/PWD情報がCOOKIEに入ってしまうため、その情報をJavaScriptで読み出すことができてしまいます。
ユーザの安全を考えるなら、任意のスクリプトを埋め込めるサイトでのパスワードのCOOKIE保存はやめるべきだと考えます。

テーマ:インターネット - ジャンル:コンピュータ

コメント
この記事へのコメント
コメントを投稿する
URL:
Comment:
Pass:
秘密: 管理者にだけ表示を許可する
 
トラックバック
この記事のトラックバックURL
この記事へのトラックバック
copyright © 2005 GEEKy Script Writer [perl and more!] all rights reserved.
Powered by FC2ブログ.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。