もずはっく日記(2005年12月)
2005年12月31日
Bug 4882 Bug 4868をWebサイト側で予防するための方法
初回投稿日時: 2005年12月31日16時16分16秒
カテゴリ: HTML Software XHTML
SNS:
Tweet (list)
例の文字コード間の齟齬によるXSS関連問題、結局のところ、UAの開発サイドとしては、改善案の決定打を出せずにいる。もともとWebアプリケーション側の脆弱性と、ユーザ本人の行動に脆弱性がある訳で、UAのセキュリティ問題ではないので、当然のことなのかもしれないが、歯がゆいものがある。
とりあえず、私は、<>&のみをサニタイジングするだけではWebアプリケーションとしては失格、という結論に至っている。結局被害を被るのはXSS攻撃を受けたサーバのユーザ、つまり、そのWebアプリケーションの(間接的かもしれないが)顧客である。顧客を守るために、Webアプリケーションの制作サイドにがんばってもらうために、Mozilla Japanからになるか、もじら組からになるかは分からないが、何らかのまとまった資料を提供予定。
そのための案を募集しているのがこのバグなので、何か情報があればよろしく。 ただし、Mozilla Japanやもじら組がその情報を利用して情報を公開することになるので、この体制に納得できないなら、書き込まないで頂きたい。ここに書き込まれた情報は一般的な情報として、利用させてもらうので、予めご了承いただきたい。