トップ «前の日(05-19) 最新 次の日(05-21)» 追記

2005-05-20

_ Wiki のファイル添付機能に XSS 脆弱性

なんかどうも分かりにくいんだけど、要するに「ブラウザ上でスクリプトが実行可能なファイルをそのまま開けてしまう形でファイルを添付できること」が問題なわけですな。*1

例えば HTML が添付してあって、その添付ファイルへのリンクをクリックしたときに、ダウンロードではなくそのまま表示できるようになっている。もちろんいちいちダウンロードして開き直すよりその方が便利なんだけど、じゃあその HTML に悪意のコードが埋め込んであったらどないすんねん、ちゅーこと。対策としては

  • ブラウザにファイルのダウンロードを強要する

ということになる*2んだけど、これが

  • まともな実装のブラウザに対しては Content-Type で plain/text(これもやばいと思う)とか application/octet-stream を返すことで対処
  • IE に対しては拡張子のつけかえ(Content-Type なんか見てないから)、と思ったら拡張子も見ていない場合があったので本当に根本的な解決策はあるんだかないんだか?

ということになるわけだ。副作用としては

  • 画像をインラインで展開してくれないと添付機能のうまみが半減しないか?
  • PDF とかもインラインで展開してほしいなぁ

なーんてことを思うと、

  • ファイル添付機能の利用ユーザーを制限する

という、「運用で回避」な方法がいちばん現実的なのかなぁという気もする。でも今度は Wiki の良さを spoil しちゃうのね。

spoil ついでに、これが本格的な CMS なら添付そのものは誰でも ok にして、添付されたファイルはとりあえず保留にする。(公開しない。)で、特権ユーザーの手で安全性が確認されたら有効にする、なんて方法もありか。高機能な Wiki はますます CMS としての機能が増えていくってことかなぁ。

あるいは Wiki にそのファイルが安全かどうかをチェックする機能を埋め込むって手もなくはないのかな。添付したときにファイルをチェックする。重たそうだし、どこまでチェックできるのかはよく分かってないけど。

ところで IE 7 は Content-Type 周りの挙動は修正されるんですかね?

ちなみに PukiWiki では

とりあえずファイル添付を管理者だけに制限するのがよさげか。LAN 内のものは放置でいいとして、インターネット上で公開しててみんなで使っているところではかなり不便そうだ。

Tags: Web Tool

*1 これは概念レベルなので、Wiki の実装によってはもうちょっと込み入った脆弱性があるかもしれない。

*2 もちろんダウンロードしたところで悪意のコードを埋め込まれたファイルを開いたら危険という事実そのものは変わらない。ただ、サーバ上のファイルを開いたときとローカルのファイルを開いたときでは具体的な危険性は変わってくる。

_ KB の RSS と複数の RSS の一本化

KB に関する RSS フィード一覧

を見て「おぉこれはスバラシイ」と思ったんだけど、ぶっちゃけほしいものだけピックアップしてもかなりの数のフィードになるので、これを一つ一つ確認なんかしてらんない。

ということで、ほしい RSS を登録してったら全部フラットに1本のフィードとしてチェックできるものがほしいなと思ったんだけど、Bloglines ってそういう目的に使えるんですか?(> 誰)

とりあえず Bloglines デビューしてみるか。実はまだ使ったことがないのだな。

Tags: MS Tool

2010-05-20

_ QuickSilver ででかい文字を出す

以前 Sapporo.rb で kakutani がやっていたのを見て以来気になっていながら調べていなかった

QuickSilver ででかい文字を出す

方法。思い立って調べてみた。

quicksilver:text_mode [docs]

です。

single quote or period って書いてあるけど、自分の環境だと period しか受け付けないな。改行は入れることができないみたい。

というわけで自分の設定だと

shift + cmd + space -> .

でイケる。

Tags: OSX