スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月7日のtwitterセキュリティクラスタ

休みが終わったと思ったらまた3連休です。個人的には休み明けから忙しくなりそうなので、このままずっと休みが続けばいいなあと思ってますが。

一昨日から話題のIEの仕様によるXSSに関連して、X-ほにゃららのレスポンスヘッダについて早速まとめられています。
hasegawayosuke: 「1分でわかる「X-ナントカ」HTTPレスポンスヘッダ」 http://d.hatena.ne.jp/hasegawayosuke/20110107/p1 昨日話題にしてたのをちょっとだけまとめました。



次のXSSのネタは偽装pdf埋め込みのXSSについてです。勉強になります。
ockeghem: えーっと、Content-Typeがapplication/pdfなんだけど、閲覧ユーザがAdobe Readerインストールしていないという前提で、偽装pdf埋め込みのXSS防ぐ方法あったっけ? IE7以前という前提で。Content-Disposition以外で。

hasegawayosuke: @ockeghem 正攻法はないですね。「HTMLと解釈されても無害なようにPDF内をサニタイズ」「PDF置くドメインを分ける」くらいしか。

hasegawayosuke: ていうか、Content-Type 無視のXSSって、ぼくも手探りなんだけど、ぼく以上に詳しい人他にいないの?

ockeghem: @hasegawayosuke あるべき論から言えば、MSの中の人なんでしょうが…

hasegawayosuke: @ockeghem 書き忘れてましたが、攻撃者に推測されないような使い捨てURL、というのもアリだと思います。

ockeghem: @hasegawayosuke やはりそうですか。『当サイトはIE7以前だと、IEのバグのためXSSの危険があります。IE8にアップグレードしてから閲覧ください』と告知するとか…やらなさそうですね ^^;

ockeghem: @hasegawayosuke 別ドメインが一番現実解のような気がしてきました。安上がりで安全という意味で

ockeghem: @hasegawayosuke ありがとうございます。URLはワンタイム使い捨てということでしょうか?

hasegawayosuke: @ockeghem 攻撃者に漏れないのであればワンタイムでなくてもいいとは思いますが…。こういう、運用に近い部分に関しては、徳丸さんのほうが知見ありますよねw

ockeghem: @hasegawayosuke ワンタイムにする必要はないけど、セッション毎にURLを変化させる必要はありそうですね。攻撃者は自分のURLは分かるけど、第三者のURLは分からない、という意味ですね



そして、これの対策を@ockeghem氏がが提案されています。これでうまくいくのでしょうか。
ockeghem: ブラウザが直接表示できないコンテンツのXSS対策を考えていた。UIの工夫で対処できるような気がしてきた…がまだ検証していない

flano_yuki: @ockeghem ちょっとXSSとUIが関係するという、イメージが沸かないのですが、どういうものでしょうか?

ockeghem: @flano_yuki 前提が複雑なのですが、(1)PDFダウンロードの際にContent-Typeをapplication/pdfにすると通常はPDFとしてダウンロードします。しかし、(続く)

ockeghem: @flano_yuki (続き)しかし、IEでかつAdobe ReaderをインストールしていないPCの場合、HTMLとして読ませるワザがありPDFに偽装したファイルにJavaScriptを仕込むとXSS攻撃が可能になります。このシナリオに対して適当な対策がないという(続く)

ockeghem: @flano_yuki (続き)適当な対策がないという問題があります。しかし、PDFダウンロード時にRefererをチェックするというアイデアを思いつき、かつ適当なUIにより、HTML表示時にダウンロードするタイミングを制御することで(続く)

ockeghem: @flano_yuki (続き)タイミングを制御することでXSS攻撃を防止できないか考えていました(終わり)

ockeghem: まぁ、Refererをチェックすること自体があまり良くないわけですけどね

flano_yuki: @ockeghem 解説ありがとうございます!!そんな攻撃があるんですね初めて知りました.完全に理解してないのですが、悪意のあるユーザがpdfをアップロードして,そのpdfにアクセスさせるのをRefererを見て抑制するイメージで大丈夫ですか?正しいRefererはどうなんですか



ループかよ…
ymzkei5: ちょw→“ホストコンピューターから端末に接続される構内情報通信網(LAN)ケーブルの両端が、誤って同じ接続機器につなげられていた。” >■119番不具合は回線誤接続…想定外の人為ミス http://bit.ly/hhYbbP



新年早々またまたWindowsに脆弱性ですね。Macにしたくなります。
lac_security: 気になるニュース(^む)パッチはまだのようです。 Windowsに新たな脆弱性が発覚、Webやファイルを開くだけで被害の恐れ http://itpro.nikkeibp.co.jp/article/NEWS/20110106/355843/?ST=security


とりあえずPCたくさんあるとタダがいいです。
Murashima: マルウェアの感染を防ぐ--無償のセキュリティ対策ツールお勧め10選 - ZDNet Japan http://goo.gl/ccJIk

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。