携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog

NTTドコモとソフトバンクモバイルは、フィーチャーフォン（いわゆるガラケー）にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている（しようとしている）挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip

[JULY]

キャリアのやる気の無さがすごい。

[glat_design]

ドコモとソフトバンクのXSS対策の仕方…

[beateimark1]

very useful info

[wisboot]

SoftbankはScriptOffを推奨ってアナウンス出してなかったっけ／これだった＞http://bakera.jp/ebi/topic/4180

[a2ikm]

alertはXSS以外にも利用されるだろうし潰しちゃ駄目/下手にキャリア側で弄るのは止めて欲しい、こっち側もXSS対策はキャリアに期待するものではないと思う/それよりXSS対策のガイドラインを作った方がいい

[rokujyouhitoma]

モバイルでのJavaScriptは未想定。

[mumincacao]

なにこの見られちゃいけないもの押入れに隠したけど本気で探されたらさくっとあうとな状況・・・ （つｘ；【みかん

[tofu-kun]

ほほー。ほぅほう。

[araishi]

xss

[o_hiroyuki]

携帯XSS対策

[deep_one]

XSS対策はページを作る側がすることであって、DoCoMoやSBがインフラとしてすることじゃない気がする。PCでもFirefoxやIEやプロバイダがXSSを阻止してくれるわけじゃない。何を期待しているのかわからない。

[stealthinu]

うげぇ、なにこのとってつけたような「対策」は…　これならやらないほうが絶対マシだろ。また高木先生に叩かれるとみたよ。

[kei_tanaka_des]

携帯電話事業者に学ぶ-モバイル向け「XSS対策」

[y-kawaz]

ガラケー界隈のセキュリティ対策は10年遅れてる…。

[orangevtr]

またひとつモバイル系エンジニアと名乗るのが恥ずかしくなる事象が追加された。もう「モバイル系」端折っていいかな…？

[k_gobo]

これはひどいタグを10個くらい並べてもいいレベル。

[qnighy]

ファインマンのストーリーを思いだした、と書こうと思ったが、この手の本末転倒な話はいくらでも思いついてしまう悲しさ…

[phista]

まだまだこれからだよなぁ。htmlの挙動からしてひどいからなｗ

[ymorimo]

あいかわらずこういうつまらんことして手間増やすよな。やっぱりモバイルからは逃げる。

[coppieee]

いらぬお節介すぎるｗ

[hitode909]

ひどい

[taqpan]

他のまともな対応は・・・してないのかな・・・

[ukky3]

RT 携帯電話事業者に学ぶ「XSS対策」 -

[bsheep]

結局対策されてない状態

[yocchi24]

面倒くさいなぁ。。。使えないままでもいいのに。機種ごとブラウザごとの違いとか検証しきれん。

[raimon49]

＞両事業者は、典型的なXSS試験パターンを「一見動作しなくなる」という対応をしています。

[raitu]

「そのような状況で、両事業者は、典型的なXSS試験パターンを「一見動作しなくなる」という対応をしています。」「しかし、これら「対策」は非常に表層的なもので、URLを少し変えるだけでXSS攻撃ができてしまいます。」

[kogawam]

「何もしない」という挙動は非常にマズイのでは。ユーザが押してもいないボタンを押したことにしてシステムは動くんでしょ。imode-awareなページ以外は危険。それはユーザには判別不可能。

[todesking]

ひどすぎてすごい

[Naruhodius]

フムン