So-net無料ブログ作成

XSSとCSRFの脆弱性への対応 [ぶっくま!]

報告が遅くなりましたが、「ビビビッ」さんのブログで指摘していただいた脆弱性の問題は、対応済みです。

オンラインのブックマークサービス、ぶっくま!を触ってみた感想


XSSの脆弱性については、完全にこちらのミスです。
ビビビッ」さんのブログにも書いてありますが、「これは結構ヤバいです」ね。
確認したら、一部の処理がゴッソリと抜け落ちていました。
年明けにいじくった部分なので、たぶん、そのとき見落としてしまったのではないかと・・・。
とにかく、指摘してもらってよかったです!

CSRF対策も追加しました。
ただし、ある特殊な環境でパソコンを利用している場合、ぶっくま!のサービスが利用できないことがあります。そんなことは滅多にないとは思いますが・・・。
CSRF対策は、ユーザーの利便性とセキュリティの両立が悩みどころです。
うまい方法が見つかれば、近いうちに変更するかもしれません。


とりあえず、脆弱性の問題は、メールをもらった当日のうちに修正しました。
ビビビッ」さんのブログには書いてありませんが、他にもいろいろとテストしてもらったようです。
たぶん、正常に動作してしまった(?)ので、ブログ記事にするほどでもないという判断だったと思うのですが、「あー、なるほど!」と思うようなのもあって、それら細々した部分の修正も行いました。


ビビビッ」さんには、他にもいろいろと指摘してもらったので、これから考えていきます!




タグ:XSS 脆弱性 CSRF
nice!(11)  コメント(0)  トラックバック(0) 
共通テーマ:パソコン・インターネット

nice! 11

コメント 0

コメントを書く

お名前:
URL:
コメント:
画像認証:
下の画像に表示されている文字を入力してください。

※ブログオーナーが承認したコメントのみ表示されます。

トラックバック 0

トラックバックの受付は締め切りました