Namazu-devel-ja(旧)


[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: security problem? (commit report: HTML tags)



笠原です。

* From: masao@xxxxxxxxxx (Masao Takaku)
* Date: Tue, 4 Apr 2000 17:47:28 +0900 (JST)

> 今回のバグ、セキュリティ上の影響があるかもしれません。
> 
> http://www.cert.org/advisories/CA-2000-02.html
> 
> にて示されている問題がそのまま当てはまるような気がします。

# 私も読み違えしているかも知れませんし、セキュリティに詳しいわけ
# でもないです。いずれにしても、修正したからと言って修正前より悪
# くなる要素は全然ない筈ですので、対策を済ませたのなら、それは良
# いことだと思いますが。

よく Web で構築した BBS システムなんかだと、ユーザが自分のコメン
トを載せる際に HTML のタグをそのまま書けちゃったりしますよね。そ
れを悪用して <APPLET> や <SCRIPT> を使った、悪意ある HTML が Web 
サーバ上のリソースとして載せることができてしまうと、他の人がそれ
をアクセスする可能性があり危険です。

けれども、namazu の場合はちょっと違うのではないでしょうか。namazu
では、ある人が送った結果を他の人が閲覧することは普通はあり得ませ
んよね。

同じ検索文字列、同じ検索条件を同時期に送れば同じ結果が得られます
けれど、悪意ある HTML タグを検索文字列の中に埋め込むなんてことを、
善意のユーザが行うというのは考えにくいです。

namazu に悪意を込めた検索要求を送るようなリンクを他の HTML ページ
から張っておけば可能ですが、それならその HTMLページ自体に <APPLET>
や <SCRIPT> を埋め込んでも一緒ですし。
________________________________________________________________
                                    笠原 基之(かさはら もとゆき)