コンテンツ開始

2012年01月01日


クロスサイトスクリプティングは少なくともプログラマにしか理解できないと思います

どうも、言葉だけが独り歩きしていて、一般の人からすると

『とんでもないすごい技術』

と思われているフシがありますが、まともなエンジニアならば、というか
今時そんな穴を作ってお金もらっているような『マヌケ』なシステムがそ
うそうあるとは思え無いのが、現時点の常識です。

まず、たとえ存在していたとしても、パスワードがそのまま漏れる事はあ
りません。漏れるとしたら、一時的なパスワードがクッキーの中に入って
いるので、それが漏れる可能性はあります。しかし、現在ではそれさえも
防御する事をエンジニアは普通に考えていますし、ブラウザ側でもそれは
封鎖されつつあります(設定変更でもしないかぎりXSSは起こりません)。

というか、お金を扱うサイトでログインを継続できるとしたら、普通自信
を持って対策を講じているはすです。例えば Google とか。

今はそんなに甘く無いのです。

そりゃあ、数年前に実際にお金は扱わないですが、クッキーの中にパスワ
ードが裸で置かれていたシステムを知っていますが( その時忠告しました )
世の中の WEB サービスは、広告収入で成り立っている場合、システムは
それほど優れたものではない可能性が多いです。

個人とか、小さな会社である事もあるので。

ですから、カード情報がどこに保存されるか・・・という事には神経尖ら
せたほうがいいと思います。

カード情報は、可逆のデータで保存されますから。


★ クロスサイトスクリプティングで盗まれるのはクッキー情報
★ クッキー情報は、間接的または一時的なもの(情報)である
★ 盗まれても使え無いように考慮されてある
★ 最新のブラウザでは、自分のサイトに自分で埋め込んでも XSS は動作しない


関連する記事

SQLインジェクションなんて普通起きないはずなんです
『会員IDやパスワードが第三者によって不正に抜き取られた』とはどういう事か


posted by at 2012-01-01 17:27 | Comment(0) | 知恵メモ : ネットセキュリティ | このブログの読者になる | 更新情報をチェックする
SQLの窓全体の検索
Custom Search
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。
コンテンツ終了
右サイド開始
コンテナ終了 base 終了
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX