葉っぱ日記 - レジストリの HKCR￥MIME￥Database￥charset 以下に定義されています。

UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付加されていても、IEが認識できない文字エンコーディング名である場合にはXSSが発生します。 例えば、次のような HTML は(HTTPレスポンスヘッダで charset が明示されていない場合)IEが文字エンコーディング名を正しく認識できないため、その内容からUTF-7と解釈されるためにスクリプトが動作します。"utf8"という表記はUTF-8の慣用的な表現ではありますが、ハイフンが抜けており正しい表記ではありません。 <html> <head> <meta http-equiv="Co

[xrekkusu]

@toriimiyukki

[webmarksjp]

セキュリティ

[nitoyon]

UTF-7 関連の XSS。間違った文字コードと認識させることにより、JSが実行される。 「+ADw-」が「<」、「+AD4-」が「>」。

[aufheben]

IEが認識できない文字エンコーディング名である場合にはXSSが発生します。

[cloned]

mlang.dllにハードコーディング

[t-murachi]

文字セット名は厳密に。

[vkgtaro]

「Internet Explorer が認識できる charset が指定されていない場合 UTF-7 と解釈される」"utf8"は気をつけた方がいいなぁ。

[rna]

「MicrosoftがIEのこのような挙動に対して脆弱性として判断するとは思っていなかったので実に意外でした。」

[hirose31]

>IE が正しく判別できる文字エンコーディング名の一覧は、レジストリの HKCR\MIME\Database\charset 以下に定義されています。

[shidho]

そういう考えをしてみたいが。

[nobody]

やまがたさめ経由.

[monjudoh]

『UTF-7を利用したXSSは、』(中略)『正しくは、Internet Explorer が認識できる charset が指定されていない場合』発生する。

[yugui]

なんと。

[TAKESAKO]

「IE が正しく判別できる文字エンコーディング名の一覧は、レジストリの HKCR\MIME\Database\charset 以下に定義されています」

[nsta]

"utf8","CP932"のようなcharsetはレジストリ(HKCR\MIME\Database\charset)に登録されていないのでIEでは正しく認識しない。これをついたXSSができるという話。

[t-tanaka]

「Windows-31J/これが認識できないのはどう考えてもIEが悪いと思います」 (ーー；) げげっ！ まずい。かなり使いまくってるきが・・・

[nilab]

葉っぱ日記 - そろそろ UTF-7 について一言いっとくか:"utf8"のような、ここに列挙されていない文字エンコーディング名は、IEでは正しいエンコーディング名を認識できない

[NOV1975]

MSが対応する意思を見せたのが意外