YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-03-20 (水)


[一語一絵/IT系]

攻性防壁 / 2004-03-16 (火)

ボチボチ出て来ましたな。でも攻撃側は「なりすまし」や「乗っ取り」するのがセオリーなので、踏み台にされた人が困るだけで、わざわざ反攻するだけの効果は無いと思うんだけどなぁ。

【参照】
●Enterprise Watch http://enterprise.watch.impress.co.jp/
逆襲型セキュリティソフト、ベンチャーが開発 2004年3月11日
●Hotwired News http://www.hotwired.co.jp/news/
スパム発信元にDoS攻撃する「攻性防壁」 2003年11月4日


[一語一絵/IT系]

【危険】Internet Explorerにcookie漏洩の欠陥 / 2004-03-16 (火)

Internet Explorer"Cookie Path Traversal"と呼ばれるcookie漏洩の問題がある。

懐かしのキン肉マン人形
3/14 大分県豊後高田市にて

[External]楽天に代表される一つのドメイン空間に複数のテナントが出店しているオンラインショッピングモールではcookie漏洩によりクレジットカード情報などが盗まれる危険性がある。

具体的に言うとhttp://www.example.com/foo/%2e%2e/bar/とURLを書く事により、http://www.example.com/foo/でしか読めないcookieを http://www.example.com/bar/から読み出す事ができるらしい。http://www.example.com/foo/../bar/では大丈夫だが、http://www.example.com/foo/%2e%2e/bar/だとマズイというは、バグと言い切って差し支えないだろう。

Internet Explorerはまだ修正されて無いので、修正されているMozilla 1.4.1 以降、Opera 7.20 beta 以降、KDE/Konqueror 3.1.4 以降に(一時的にでも)乗換えるか、cookieを使用しないようにすべき。

【参照】
●SecurityFocus http://www.securityfocus.com/
9841:Multiple Vendor Internet Browser Cookie Path Argument Restriction Bypass Vulnerability
●個人的なメモと備忘録 http://www.asahi-net.or.jp/~wv7y-kmr/
Multiple Browser Cookie Path Directory Traversal Vulnerability 2004年3月14日