2003/01/30
XSS脆弱性について5
先日より続けてまいりましたXSS脆弱性についての対策ですが、本日、日記文中、及びヘッダ、フッタでご利用いただけるHTMLタグを限定する措置を行いました。これまで入力頂いておりました一部のタグは表示されませんが、安全性の確認できる範囲で随時利用可能タグを増やしていきたいと思いますのでお問い合わせください。
また、独自整形ルールの導入も視野に入れておりましたが、ユーザーの皆様にこの日記にしかお使いいただけないルールを覚えて頂くよりは、どこでもつかえるHTMLタグのルールを覚えて頂く方が有益であると考えました。
日記文中、ヘッダ、フッタでご利用可能なタグははてなダイアリー利用可能タグにまとめたいと思います。
使えなくなるタグ
具体的に一番使えなくなっているケースが多いと思われるのが、<div>,<span> 内などでの style 属性かと思います。これまで style="..." というご指定をされていた方、大変ご迷惑をおかけします。
この場合は、設定画面の「スタイルシート」欄で div.hoge (hogeは適当な名称)を定義して頂き、<div class="hoge">文字列</div> として頂ければと思います。
XSS脆弱性について6
HTMLタグに続きまして、さきほど、スタイルシート内の対処を行いました。スタイルシート設定において、@importを用いて外部ファイルを取り込むことはできません。また、背景画像などで外部のファイルを参照する場合に、不適切なURLは(HTMLタグのhrefやsrcと同様に)入力できないように変更を行いました。
結果的に、ユーザーの皆様で設定いただきましたスタイルシート(HTMLタグもそうですが)を順番に解析することとなりましたので、あまり長い設定をスタイルシート欄に入力いただきますと、表示が少し遅くなるかもしれません。
スタイルシート亜種
みなさん色々とテーマを設定いただいているようですが、何処かでご指摘いただいておりました(だんだん分からなくなってきました)hatenaテーマのヘッダの色に合わせたバリエーションについては、こちらで近いうちに作成したいと思います。
スタイルシートの解析について
スタイルシートの解析に不備があり一部のページが表示できなかったようです。大変申し訳ありませんでした。さきほどから、設定画面で指定頂いているスタイルシートの扱いについて、何度か変更を行っておりますので、その都度見え方などが変化しているかと思います。すみません。今日はこの辺で落ち着きそうです。
あとで消します
2003/01/31 15:13
awacsさんの日記が、自動的にリロードを繰り返す設定になっているようです。脆弱性などの実験をなさっているのだと思うのですが、現状ちょっと危険な状態だと思うのでご報告しておきます。awacsさんの日記が元に戻ったらこの投稿は消します。
↑
2003/01/31 15:27
ログアウトした状態で書き込んでしまったので消せなくなってしまいました…。お手数おかけしますが、ご確認後に削除して頂けると助かります>はてなスタッフ様
awacs
2003/01/31 15:32
とりあえず該当個所を削除しました。スタイルシートのフィルタをなんとかして下さい>はてなダイアリー開発陣のみなさま
hoshikuzu
2003/01/31 20:09
上記の応用にて、cookieを盗む実証試験をしました。
hoshikuzu
2003/01/31 20:10
対策方法をメールにてご送付しました
- 今週のお題は「おすすめのレストラン」です
- ペットとつい“会話”してしまう?――前回のお題「私のクセ」ふりかえり
- はてなダイアリーからはてなブログへのインポート機能を追加しました
- 「たべぞう」に「ぐるなび」検索・紹介機能を追加しました
- 今週のお題は「私のクセ」です
- あなたの“最初のケータイ”は?――前回のお題「ケータイ・スマホと私」ふりかえり
- 今週のお題は「ケータイ・スマホと私」です
- やっぱり“お母さんが一番”――前回のお題「母の日に感謝を込めて」ふりかえり
- 今週のお題は「母の日に感謝を込めて」です
- ゴールデンウィークのイベントとして定着してほしい「東京ホタル」――前回のお題「ゴールデンウィーク」ふりかえり
- 2012-05-29 aroooy
- 2011-08-19 rosuto507
- 2011-08-19 rosuto507
- 2011-07-14 gikonekos
- 2011-07-14 ozanari3