| SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで |
2007-06-05 はてなダイアリーから転載
●Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題
Firefox2.0.0.4でも直ってないですね。
ockeghem(徳丸浩)の日記 - Firefoxのパスワード・マネージャの脆弱性その後
Firefoxユーザーがクロスサイト・スクリプティング(XSS)脆弱性のあるWebサイトでパスワードを記憶させている場合には,細工が施されたリンクをクリックするだけでそのパスワードを盗まれる恐れがある
直す方法はあると思うんだがなぁ。勝手に全自動でパスワード補完しないで、Operaみたいに一回キーを叩かせるだけでも、インパクトはかなり緩和されると思います。
まぁ、サイト側にXSS脆弱性がなければ上記は発動しないので、「けっ、サイト側の問題ジャン。XSSくらい直せよ」と思っているんだろうね>Mozillaの中の人
だけど、XSSのあるサイトなんて山のようにあるよ。それも、はせがわさん(id:hasegawayosuke)の指摘するようなマニアックなやつでなくて、ごく単純なXSS。
とりあえずは、
ということで自衛しましょう。
[ツッコミを入れる]
[TrackBack URL: http://www.tokumaru.org/d/tb.rb/20070605]
本日のリンク元
その他のリンク元
- http://www.tokumaru.org/d/20070605.html ×3
- http://www.yahoogle.jp/redirect.php?url=http://www... ×1
- http://209.85.175.104/search?q=cache:fU3nFJ38z3QJ:... ×1
検索
- tdiary html_anchor ×1 / 徳丸 はてな ×1 / Tokumaru ×1
| SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで |
