Re:リダイレクトがルーピングするリスク有り (#4282221) | Firefox 102、追跡用クエリパラメーターの除去に対応

「Firefox 102、追跡用クエリパラメーターの除去に対応」記事へのコメント

記事ページを表示すべてのコメント取得

検索30コメント Log In/Create an Account

リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)

by Anonymous Coward

特定のパラメーターが無かったら、パラメーター付きのURLにリダイレクト（HTTPリダイレクトやJavaScriptでのリダイレクト）するというのは、よくある設計なんですね。
ところが、ブラウザー側でそれを排除されてしまったら、リダイレクトがルーピングしてしまうんです。
HTTPリダイレクトならばモダンなブラウザーはリダイレクトを10回ぐらい?ループさせるとルーピング検知で止まりますけど、JavaScriptだと止まりません。
そうなるとDoS状態になって、DoS対策をしていないサイトでデータベース処理が重いページだったりするとデータベースサーバーの同時接続数を使い果
- Re: (スコア:1)
  
  by Anonymous Coward
  
  特定パラメーターを除去する機能が搭載される
  だけなら、目的地に行けずにパラメーター不備時のリダイレクト先に飛ぶだけじゃないの？
  ループが発生するのは、そのリダイレクト先でもパラメーターチェックして
  パラメーター付与した状態でリダイレクトページに再度誘導した場合だけじゃない？
  それは閲覧者の責任じゃなくサイト設計者の責任なのでは
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    多言語化されたページで「lang」というパラメーターが無かったら、HTTPヘッダーのaccept-languageとかジオロケーションに基づいてパラメーターを付けたURLにリダイレクトする設計になっていて、仮にブラウザーが lang を除去し続けたら無限リダイレクトします。
    https://it.srad.jp/story/22/07/03/0344250/ [it.srad.jp] にアクセス
    　↓
    https://it.srad.jp/story/22/07/03/0344250/?lang=ja [it.srad.jp] にリダイレクト
    https://it.srad.jp/story/22/07/03/0344250/?lang=en [it.srad.jp] にアクセス
    　↓
    そのまま
    普通にユー
    - Re:リダイレクトがルーピングするリスク有り (スコア:0)
      
      by Anonymous Coward on 2022年07月04日 11時58分 (#4282221)
      
      今回のではそうならないように手が打たれているから問題ないね
      # 結局クエリ削れてないんだから追跡される点は問題だろと言えるんかもしれんけど閲覧上は問題にならない
      Firefoxみたいなアプリにこんな素人がすぐ思いつくような穴が残ってると思えるのがすごいわ
      自分が世界一賢いと素で思ってるんだろうな
      
      シェア
      
      親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Firefox 102、追跡用クエリパラメーターの除去に対応 More ログイン

「Firefox 102、追跡用クエリパラメーターの除去に対応」記事へのコメント

リダイレクトがルーピングするリスク有り (スコア:2, 参考になる)

Re: (スコア:1)

Re: (スコア:0)

Re:リダイレクトがルーピングするリスク有り (スコア:0)

スラド