この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2005年12月)

2005年12月31日

Bug 4882 Bug 4868をWebサイト側で予防するための方法
初回投稿日時: 2005年12月31日16時16分16秒
カテゴリ: HTML Software XHTML
SNS: (list)

例の文字コード間の齟齬によるXSS関連問題、結局のところ、UAの開発サイドとしては、改善案の決定打を出せずにいる。もともとWebアプリケーション側の脆弱性と、ユーザ本人の行動に脆弱性がある訳で、UAのセキュリティ問題ではないので、当然のことなのかもしれないが、歯がゆいものがある。

とりあえず、私は、<>&のみをサニタイジングするだけではWebアプリケーションとしては失格、という結論に至っている。結局被害を被るのはXSS攻撃を受けたサーバのユーザ、つまり、そのWebアプリケーションの(間接的かもしれないが)顧客である。顧客を守るために、Webアプリケーションの制作サイドにがんばってもらうために、Mozilla Japanからになるか、もじら組からになるかは分からないが、何らかのまとまった資料を提供予定。

そのための案を募集しているのがこのバグなので、何か情報があればよろしく。 ただし、Mozilla Japanやもじら組がその情報を利用して情報を公開することになるので、この体制に納得できないなら、書き込まないで頂きたい。ここに書き込まれた情報は一般的な情報として、利用させてもらうので、予めご了承いただきたい。

関連するかもしれないエントリ

bug 4882を含むエントリ