おさかなラボ - MixiとCookieドメイン
Mixiが、一時的にCookieのドメインを“mixi.jp”から“.mixi.jp”に変更して、一部ブラウザからアクセスできなくなるという現象が起こりました。これをmixi側は「古いブラウザを使っているのが原因。新しいブラウザに変えれば直る」と一蹴しましたが、この対策が妥当だったかはともかくとして、規格上、古いブラウザと新しいブラウザのどちらに問題があったのかを検証してみます。 “.mixi.jp”への変更が妥当だったかどうかについて。 Cookieについては当初Netscape社のテキトーなドキュメントのみが仕様として成り立っていた経緯があり、実装にかなり揺れがあります。特に Cookieの大元の仕様と、RFC上のCookieの仕様の2つの内容が相反していて、Netscapeの仕様の方はDOMAINの先頭にドットを入れることに言及がない(サンプルは先頭ドットなし)。一方、RF
おさかなラボ - サニタイズ言うなキャンペーン
書きかけだけどとりあえず公開。 要約版:「サニタイズいうなキャンペーン」とは from 高木浩光@自宅の日記 クエリ文字列を変換すれば「サニタイズ済み」つまり安全、と思ってる人、多いんですかね。便利な言葉はしばしば人を思考停止に陥れる。 脆弱性を突く文字列の汚染源としては、 クエリ文字列 DB問合せの結果や、ログファイルなどからの取得文字列 HTTPヘッダ(RefererやCookieを含む) セッションに格納されたデータ URLの一部 などなど色んなものがある。汚染を利用した攻撃の対象となる処理系も SQL処理系(e.g. SQLインジェクション) Webクライアント(Webブラウザ)(e.g. XSS) shell 処理言語自身(evalなど) と様々なケースが考えられる。3番目や4番目は普通やらないだろうと思うところだが、巷のスクリプトの脆弱性を見てると案
おさかなラボ - IT Proの記事が酷すぎる件
リモート・ファイル・インクルード攻撃@IT Pro を読んで、何が書いてあるのかさっぱり分からなかった。多分自分の頭が悪いせいだろうと思って精査してみたが、 PHPスクリプトを使ったWebアプリケーションで$includedir変数の処理に存在する。 いきなり意味不明だ。「PHPスクリプト」と書いてあるのに、例に挙がっているawstatsはPerlスクリプトだ。そしてPHPに$includedirなどという特殊変数などない。図1もよく分からない。「任意のコマンドが実行される!」と書いてあるが、これはリモート・ファイル・インクルードを使ってコマンド・インジェクションを行なっているだけだ。実際には任意のコマンドどころか被害サーバー上でPHPスクリプトに許されるあらゆる行動ができてしまうから、これは被害を過小評価しているように見えてしまう。 $includedirという謎の変数については
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
