リダイレクタの設置ですが

リダイレクタの存在は脆弱性か?

検索エンジンとかソーシャルブックマークとかについては考えてませんが、通常のサイトでは、

  • リダイレクトさせたいのはユーザーじゃなくてサイト
  • サイト側でユーザーの動向を把握したい URL は、自分のサイトと直接的に何らかの関係のあるサイトのはず
  • したがって任意の URL へジャンプできるリダイレクタではなく、サイト内で確認済みの URL へのリダイレクトだけを許可

するようにしたらダメなんでしょうか? つまり、リダイレクタに URL が与えられたら、それが内部に登録済みのものかどうかを検証してからリダイレクトする。(つかそうなってないと集計とかしにくいでしょ?)

もちろんユーザーが自分で URL を登録できる場合は危険な URL を登録されるかもしれないのでこれだけではダメなんですが、ちょっとそれを考え始めるとややこしいんで今回は除外します。

個人的にはリダイレクタは脆弱性だ!なんてことを言う気はないけど、問答無用で任意の URL にリダイレクトできるということであれば、それはちょっとアレだと思うなぁ。

[2007-01-30 追記]自サイト内で生成したリダイレクト用の URL かどうかは HMAC を利用して検証する のが性能面ではよさげ。DB にアクセスしなくても妥当かどうか判定できる。もちろん内部でのカウントなどの処理のためには、実際にリダイレクトする際には DB アクセスは必要(あるいはログを吐くだけという手もあるか?)なんだけど、パラメータの妥当性はその前段階で検証できるので、DB の負荷が減るということですな。しかしそうなるとリンクの際の URL はどんどんかっこ悪くなっちゃうんだな。そこはアプリというかサイト側の工夫の見せどころか。

More

Recent Posts

Categories

Tool 日々 Web Biz Net Apple MS ことば News Unix howto Food PHP Movie Edu Community Book Security Text TV Perl Ruby Music Pdoc 生き方 RDoc ViewCVS CVS Rsync Disk Mail FreeBSD Cygwin PDF Photo Zebedee Debian OSX Comic Cron Sysadmin Font Analog iCal Sunbird DNS Linux Wiki Emacs Thunderbird Sitecopy Terminal Drawing tDiary AppleScript Life Money Omni PukiWiki Xen XREA Zsh Screen CASL Firefox Fink zsh haXe Ecmascript PATH_INFO SQLite PEAR Lighttpd FastCGI Subversion au prototype.js jsUnit Apache Trac Template Java Rhino Mochikit Feed Bloglines CSS del.icio.us SBS qwikWeb gettext Ajax JSDoc Rails HTML CHM EPWING NDTP EB IE CLI ck ThinkPad Toy WSH RFC readline rlwrap ImageMagick epeg Frenzy sysprep Ubuntu MeCab DTP ERD DBMS eclipse Eclipse Awk RD Diigo XAMPP RubyGems PHPDoc iCab DOM YAML Camino Geekmonkey w3m Scheme Gauche Lisp JSAN Google VMware DSL SLAX Safari Markdown Textile IRC Jabber Fastladder MacPorts LLSpirit CPAN Mozilla Twitter OpenFL Rswatch ITS NTP GUI Pragger Yapra XML Mobile Git Study JSON VirtualBox Samba Pear Growl Mercurial Rack Capistrano Rake Win RSS Mechanize Sitemaps Android JavaScript Python RTM OOo iPod Yahoo Unicode Github iTunes God SBM friendfeed Friendfeed HokuUn Sinatra TDD Test Project Evernote iPad Geohash Location Map Search Simplenote Image WebKit RSpec Phone CSV WiMAX USB Chrome RubyKaigi RubyKaigi2011 Space CoffeeScript Nokogiri Hpricot Rubygems jQuery Node GTD CI UX Design VCS Kanazawa.rb Kindle Amazon Agile Vagrant Chef Windows Composer Dotenv PaaS Itamae SaaS Docker Swagger Grape WebAPI Microservices OmniAuth HTTP 分析基盤 CDN Terraform IaaS HCL Webpack Vue.js BigQuery Middleman CMS AWS PNG Laravel Selenium OAuth OpenAPI GitHub UML GCP TypeScript SQL Hanami Document SVG AsciiDoc Pandoc DocBook Develop Jekyll macOS Node.js Vite Heroku Transformer AI Data Cloud Wasm