金利0無利息キャッシング – キャッシングできます

 | 

2012-10-01

めんどうくさいWebセキュリティの献本をいただいていません

21:42 | めんどうくさいWebセキュリティの献本をいただいていません - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - めんどうくさいWebセキュリティの献本をいただいていません - 金利0無利息キャッシング – キャッシングできます

めんどうくさいWebセキュリティ献本は特にいただいていませんが、YAPCでパラパラ見た時に良さそうだと思ったので買ってみました。良書だと思います。

jQuery Mobileパーフェクトガイドの献本をいただきました

21:35 | jQuery Mobileパーフェクトガイドの献本をいただきました  - 金利0無利息キャッシング – キャッシングできます を含むブックマーク はてなブックマーク - jQuery Mobileパーフェクトガイドの献本をいただきました  - 金利0無利息キャッシング – キャッシングできます

jQuery Mobileパーフェクトガイド

冗談半分で献本くださいって書いたら http://twitter.com/bulkneets/status/235239162268233728

ほんとに送ってくれることになって送ってもらいました。サンプルコードにバグがあったので報告などしました。

くわしくはこちら http://d.hatena.ne.jp/pikotea/20120827/1346046022

何回か繰り返し書いているような気がしますが、jQuery Mobileは安全に使うのが難しいプロダクトだと思います。location.hashで指定されたパラメータをキーにして、同一ドメイン上の任意のファイルを読み込んで表示するというのがデフォルトの挙動だからです。jQuery Mobileを使っているドメイン上にHTMLとして表示した際に危ないファイルが一つでもあるとアウトです。なので著者の吉川さんが書いたような、読み込み可能なパスを制限するというのはとても良いアプローチだと思いました。(というかまともな感性持ってるエンジニアだったらそれやらないと危ないって感じると思う)

海外の著名なサービスで実際に見かけた事例として

1. http://example.com/jsonp_api?callback=<body><img src=/ onerror=alert(1)></body>
2. http://example.com/mobile/#/jsonp_api?callback=<body><img src=/ onerror=alert(1)></body>

といったものがありました。1はJSONP APIのcallback関数部分に、任意文字列が指定できて、HTMLタグが出力できるというものです。ただ、適切にContent-Typeが設定されていれば、古いIEでしかXSSを引き起こしません。2のように、同一ドメインjQuery Mobileが動いていると、こういった出力を読み込むことで、古いIE限定のXSSが全ブラウザ対応に昇格します。DOM Based XSSなのでXSSフィルタも検知しません。

あー、これそもそもイケてないよね、とは思いつつも、自分はjQuery Mobileに積極的にコミットしてきたわけではなく、そうこうしているうちにいつの間にかXSS残ってるまますごいたくさんのサイトに使われるようになってしまい、どうしたものかなーと思うところです。特にキャンペーンサイトとか単体で使われてるようなケースではそんなに悪用しようがないと思いますが、ログイン機能あるようなサービスでがっつり使われているような事例もあり、そういったものがjQuery Mobile採用事例みたいな感じでXSS脆弱性残ったままの状態で堂々と紹介されていたりして、割と深刻な状況であるように思います。なのでjQuery Mobileを使ってる人や、紹介する人や、関連するプロダクトを作ってる人はそこらへんのフォローをして欲しいなーと思うのと、これから選択を検討している場合や、既に稼働しているプロダクトにつきましては既存のXSSの問題や、あるいは上記のような潜在的な問題について安全かどうか再度確認してほしいなーと思いました。

こちらからは以上です。

DarioDario2012/10/26 20:25That's way the bestest aenwsr so far!

uvvofjanuvvofjan2012/10/27 15:54CHf7AB <a href="http://kuqrxpuoaweh.com/">kuqrxpuoaweh</a>

lawfupbklawfupbk2012/10/28 02:45xd3Mnz , [url=http://saqeqnozdmru.com/]saqeqnozdmru[/url], [link=http://pgjrzvybvjmi.com/]pgjrzvybvjmi[/link], http://xtegzwiubpep.com/

swpiajgebswpiajgeb2012/10/29 07:18CG97bP <a href="http://eisitybjhxem.com/">eisitybjhxem</a>

sktbhjbsktbhjb2012/10/29 12:01vQf8eF , [url=http://sbacentiyrcg.com/]sbacentiyrcg[/url], [link=http://sozjlzwiedom.com/]sozjlzwiedom[/link], http://grfvmromruji.com/

トラックバック - http://subtech.g.hatena.ne.jp/mala/20121001
 |