アカウント名:
パスワード:
セキュリティリスク的なものは、特に感じてはいないのだけど、アプリケーションのようなリッチすぎるサイトの開発は自重してほしいですね。
最低限、コンテンツはjavascriptとiframe無効にしても閲覧できるように設計してほしいです。せっかくcssでいろんな事できるようになっているのにjavascript頼りすぎ。
もうJS無効を連呼する時代では無いでしょう
> もうJS無効を連呼する時代では無いでしょう
提供側の意識とユーザー側の意識によるんじゃない?何も知らないユーザーに「JSは安全」と言ったり「JSのリスクを語らない」のは、提供側の怠慢だと私は思う。
「JSは安全と言う」と書いてて、「原発安全」を思い出した。「原発安全」なら、「JS」なんてもう安全すぎて話にならないなぁ(笑)。JSの安全性だのにかかずりあってるIT業界の人間って、原発村の人と違って、みんなまじめなのね。
例えばXSSは本質的にJSの問題でも無駄遣いした結果でもありません。コードが埋め込まれることが問題で、別にJSじゃなくてもかなり危険な穴なのです。代わりにSVG(画像)が埋め込まれた場合でも、accesskey属性を使ってキー入力を盗んだりも技術的に可能です。
そのような驚くべきテクニックはいくつもあります。けして「JSのリスク」と考えてはいけません。サイト設計のリスクです。JSやその他の仕様に欠陥があるのではなく、拙いサイトを作った時にできる穴なのです。こういったサイトの脆弱性は「JSのリスク」と多くのユーザーと提供者に誤解されていることが一番の問題なんですよ。
そのようなリスクを緩和するためにいくつかの方法がありますが、その中でも強力なのがCSPです。これを適切に設定することで、穴ができてしまうことを防げます。多くのブラウザでv1.0が使用出来るようになってきました。これからはサイト設計者、ユーザーが正しいセキュリティの高め方を知るべきだと思います。10年前のイメージを引きずって、JS云々言ってるようじゃいけません。
動作時に当てにする値がブラウザ側**のみ**に存在するタイミングが有る場合、ページの脆弱性チェックでAランクの問題となると思います。
CSPもそれなのでは無いでしょうか?もちろん趣旨としてはポリシーなので積極的に脆弱性とはならないでしょうけど。
CSPは制限をかけて、ページの想定外の振る舞いを規制することで、XSS等の陥りやすい脆弱性を緩和するためのものです。
CSPを使うのであれば、自分もそれに違反する書き方はできませんから、必然的にコードもクリーンになります。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
アプリケーションとコンテンツ (スコア:0)
セキュリティリスク的なものは、特に感じてはいないのだけど、アプリケーションのようなリッチすぎるサイトの開発は自重してほしいですね。
最低限、コンテンツはjavascriptとiframe無効にしても閲覧できるように設計してほしいです。
せっかくcssでいろんな事できるようになっているのにjavascript頼りすぎ。
Re: (スコア:0)
もうJS無効を連呼する時代では無いでしょう
Re: (スコア:0)
> もうJS無効を連呼する時代では無いでしょう
提供側の意識とユーザー側の意識によるんじゃない?
何も知らないユーザーに「JSは安全」と言ったり「JSのリスクを語らない」のは、提供側の怠慢だと私は思う。
「JSは安全と言う」と書いてて、「原発安全」を思い出した。
「原発安全」なら、「JS」なんてもう安全すぎて話にならないなぁ(笑)。JSの安全性だのにかかずりあってるIT業界の人間って、原発村の人と違って、みんなまじめなのね。
Re:アプリケーションとコンテンツ (スコア:1)
例えばXSSは本質的にJSの問題でも無駄遣いした結果でもありません。
コードが埋め込まれることが問題で、別にJSじゃなくてもかなり危険な穴なのです。
代わりにSVG(画像)が埋め込まれた場合でも、accesskey属性を使ってキー入力を盗んだりも技術的に可能です。
そのような驚くべきテクニックはいくつもあります。
けして「JSのリスク」と考えてはいけません。サイト設計のリスクです。
JSやその他の仕様に欠陥があるのではなく、拙いサイトを作った時にできる穴なのです。
こういったサイトの脆弱性は「JSのリスク」と多くのユーザーと提供者に誤解されていることが一番の問題なんですよ。
そのようなリスクを緩和するためにいくつかの方法がありますが、その中でも強力なのがCSPです。
これを適切に設定することで、穴ができてしまうことを防げます。
多くのブラウザでv1.0が使用出来るようになってきました。
これからはサイト設計者、ユーザーが正しいセキュリティの高め方を知るべきだと思います。
10年前のイメージを引きずって、JS云々言ってるようじゃいけません。
Re: (スコア:0)
動作時に当てにする値がブラウザ側**のみ**に存在するタイミングが有る場合、
ページの脆弱性チェックでAランクの問題となると思います。
CSPもそれなのでは無いでしょうか?もちろん趣旨としてはポリシーなので積極的に
脆弱性とはならないでしょうけど。
Re: (スコア:0)
CSPは制限をかけて、ページの想定外の振る舞いを規制することで、
XSS等の陥りやすい脆弱性を緩和するためのものです。
CSPを使うのであれば、自分もそれに違反する書き方はできませんから、
必然的にコードもクリーンになります。