はてなは、「はてなダイアリー」と「はてなグループ」において、アップロードした画像ファイル内に不正なコメントが挿入されることで、クロスサイトスクリプティング(XSS脆弱性)に繋がる危険性があったことに関して、システムを変更することで修正したと発表した。
XSS脆弱性とは、スクリプトを実行させることでcookieが漏洩し、なりすましなどが可能になる脆弱性。はてなでは従来より、XSS脆弱性を回避するために、はてな上で公開されるHTMLやスタイルシートを解析し、利用不可能なタグの変換や不適切な文字列の削除などを行なっていた。
今回明らかになったのは、はてなダイアリーとはてなグループに画像をアップロードした際、その画像ファイル内に不正なコメントが挿入されていると、XSS脆弱性に繋がるというもの。はてなでは対策として、画像ファイルに挿入された不正なコメントを削除するようシステムを変更した。また、スタイルシート内で特定の文字列「boudary」を使用禁止にしている。
関連情報
■URL
アップロード画像のXSS脆弱性について
http://d.hatena.ne.jp/hatenadiary/20040730
( 鷹木 創 )
2004/08/03 12:06
- ページの先頭へ-
|