UA偽装に関して
[
1
]
更科
SonySOL24
01/27 20:59
こんにちは。
さて、最近はUAを任意に編集できるブラウザも一般的となっており、端末名を偽装されてしまうのは致し方ない部分はあるかと存じます。
ただし、タグを含めた文字列を含んだUAにて投稿し、それが反映されてしまうのは大きなsecurity holeではないかと思われます。
release当時には想定していない部分と思われ、瑕疵とはいえませんが、改修が必要かとご報告させていただいた次第です。
私自身、御社様提供の掲示板に書き込みをしたのは初めてであり、細かな仕様を把握しておりませんので、書き込みをした掲示板がたまたま(本文を含め)タグ許可の設定であったのかは判然としません。
ただ、本文ではない部分に、しかもxmpなどという強力なタグで試みて反映されてしまうのは、いずれにしても問題かと。
ご担当者様であれば、改修は容易かと存じます。
また、対策済みの某サービスでは、文字数制限(20bytes)も設けられていました。
parlなど門外で、何よりも差し出がましいとは思いましたが、ご報告させていただきます。
編集
削除
コピー
書く
更新
検索
↓
返信数:2件
[
1
]
更科
SonySOL24
01/27 20:59
こんにちは。
さて、最近はUAを任意に編集できるブラウザも一般的となっており、端末名を偽装されてしまうのは致し方ない部分はあるかと存じます。
ただし、タグを含めた文字列を含んだUAにて投稿し、それが反映されてしまうのは大きなsecurity holeではないかと思われます。
release当時には想定していない部分と思われ、瑕疵とはいえませんが、改修が必要かとご報告させていただいた次第です。
私自身、御社様提供の掲示板に書き込みをしたのは初めてであり、細かな仕様を把握しておりませんので、書き込みをした掲示板がたまたま(本文を含め)タグ許可の設定であったのかは判然としません。
ただ、本文ではない部分に、しかもxmpなどという強力なタグで試みて反映されてしまうのは、いずれにしても問題かと。
ご担当者様であれば、改修は容易かと存じます。
また、対策済みの某サービスでは、文字数制限(20bytes)も設けられていました。
parlなど門外で、何よりも差し出がましいとは思いましたが、ご報告させていただきます。
編集
削除
コピー
この記事があるページへ
/1
書く
更新
検索
↑
スレッド一覧
日間
週間
月間
さて、最近はUAを任意に編集できるブラウザも一般的となっており、端末名を偽装されてしまうのは致し方ない部分はあるかと存じます。
ただし、タグを含めた文字列を含んだUAにて投稿し、それが反映されてしまうのは大きなsecurity holeではないかと思われます。
release当時には想定していない部分と思われ、瑕疵とはいえませんが、改修が必要かとご報告させていただいた次第です。
私自身、御社様提供の掲示板に書き込みをしたのは初めてであり、細かな仕様を把握しておりませんので、書き込みをした掲示板がたまたま(本文を含め)タグ許可の設定であったのかは判然としません。
ただ、本文ではない部分に、しかもxmpなどという強力なタグで試みて反映されてしまうのは、いずれにしても問題かと。
ご担当者様であれば、改修は容易かと存じます。
また、対策済みの某サービスでは、文字数制限(20bytes)も設けられていました。
parlなど門外で、何よりも差し出がましいとは思いましたが、ご報告させていただきます。