YANO's digital garage

昨日書いたWebフォーラムの話し。眠気にかまけて理解が不十分だったようで、よ〜く読み進めると問題はクロスサイトスクリプティング(XSS)だけでなく(XSSも全てのページが対処されたわけでは無いらしいが…)セキュリティホールはまだあると言わざるを得ない状況だ。

で何がセキュリティホールか？というと、「nifty.com 配下のどこでもセッション Cookie が読める」という問題。「domain=.nifty.com」なんてレンジのCookieを発行している事から、@nifty会員ならばcgiを自由に配置できるhpcgi*.nifty.comからも簡単にCookieが読み取れるわけ。つまりアクセスカウンター等に仕込んでおけばユーザーには気付かれずに Cookie の値を盗み出すことが可能である、というわちゃ〜な大穴だ。

ここだけを取り上げると正気の沙汰とは思えない安易を通り越してずさんとも言えるやり方なのだが、サーバーを跨ったシングルサインインを実現するとなるとこれ以外には方法は無く、利便性に気を取られてCookie漏洩の危険性まで注意が及ばなかったんだろうと思われる。そういう根の深い問題なので、抜本的な対応となるとURLの変更が避けられないと思われ、かなり時間がかかりそうな気配だ。

ユーザーとしてはパスワード等を入力するメンバーズエリアにはログインしないのが一番なのだが、少なくともログアウトした後は全てのプラウザウィンドウを終了する事が必要。間違っても別のサイトへアクセスしたりしないようにご注意あそばせ。

【参照】
●えび日記
　-「XSS大王・さらなるホゥル」 2003年6月23日
　-「XSS大王Q&A」 2003年6月25日

今日はわしたショップで軟骨ソーキ煮付を調達。

福岡市博多区千代にて

とろぷるに煮込まれた軟骨が事のほか美味であった。というわけで昨日の「八重山そば」をさらに美味しく頂いて幸せかも。レトルトパックで325円というのはお手軽だが、独り身でソーキ肉4切れはちょっと多過ぎで、喰い過ぎの気配。

ブルーシールの期間限定オレンジシャーベットもウマかったし言う事なし。何となくゴーヤも買ってしまったので、明日はゴーヤチャンプルーでもいっときますかねぇ。f(^^;;

街角には水法被姿の男衆もチラホラ、夏の風物詩祇園山笠の気配が漂い始めた博多である。

あと「フォーサーズシステム」関係のリンクをぴらっと追加。

【参照】
●Olympus E-1 http://www.olympus-esystem.jp/
●フォー・サーズ・システム http://www.four-thirds.org/

apacheのアクセスログをIPアドレスからドメイン名に変換するawk処理。

awk '{"dnsname "$1 | getline nm; close("dnsname"); sub($1,nm,$0); print }' /var/log/httpd/access_log