H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 | 水無月ばけらのえび日記

【講演1】 脆弱性の届出情報の深刻度評価についてCVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事例は出ませんでした。 もっとも、それは私の期待が大きすぎただけで、話としては普通に面白かったと思います。 【講演2】 安全なWebアプリケーションの作り方（番外編）極楽せきゅあ日記 (d.hatena.ne.jp)などで有名な園田さんの講演。中心はフレームワークのお話で、あとは書籍の脆弱性のお話など。 書籍の話ですが、個人が批判する分には問題ないと思うものの、何をもって誤りとするのかが難しいですね。「のけぞる本!」なんてコンテンツがありますが、これは HTML の仕様に照らして間違いだと言っているので、間違いだと断じるだけの論拠があります

[raimon49]

＞だいたい、XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できるのです。ユーザが入力した < を文字参照に変換する処理は、誇りを守るための処理であっ

[nanto_vi]

「だいたい、XSS なんてのは『何が起きても常に valid な HTML を出力する』という誇りがありさえすれば、それだけで 9割方回避できるのです」妥当なHTML。

[ockeghem]

御意。『何が起きても常に valid な HTML を出力する』はWeb屋的な表現ですが、プログラマー的に言えば「何が起きても仕様通り処理してみせる」というような矜持ですかね。あぁ、仕様が明確でないのが難か

[hasegawayosuke]

「XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できる」同意。強いて言えば「validな」というか自分が想定しているDOM構造を崩さないHTML、かな。

[mhrs]

「だいたい、XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できるのです。」

[hideAki]

ウェブアプリケーション開発者向けセキュリティ実装講座の資料公開

[nozom]

“だいたい、XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できるのです。”

[kits]

$foo =~ s/script//g; だと scripscriptt を削除した時に script が残るから、と気づいた。/ 常にvalidなHTMLを出力する誇りを持とう。