アカウント名:
パスワード:
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
それは私も思いました。IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、そもそも二重デコードが発生している時点で何かおかしいのでは。リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
URLは攻撃の口にしやすいところですし二重デコード等が起こることをあらかじめ想定してもよさそうですがgoogleもたいしたことないんですね
まあ、TBもソースコードがあるとテストする気にならないんですかね
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
なんで面白がられてるの (スコア:1)
IEがクラッシュした時は鬼の首でも取ったかのように大騒ぎするくせに
Re: (スコア:1)
それは私も思いました。
IEと比べてどうかという話は別としても、一般論としては、二重デコードはセキュリティ脆弱性に直結するところなので、笑いごとではないですよね。
今回の件は「URLの有効性チェックに失敗して」とあるところから、二重デコード後にURLの有効性チェックがあるために脆弱性にならないと判断されているようですが、
そもそも二重デコードが発生している時点で何かおかしいのでは。
リンク先を読んでも、なぜ二重デコードしてるのかよくわかりませんでした。
Re:なんで面白がられてるの (スコア:0)
URLは攻撃の口にしやすいところですし
二重デコード等が起こることをあらかじめ想定してもよさそうですが
googleもたいしたことないんですね
まあ、TBもソースコードがあるとテストする気にならないんですかね