えむけい

Firefoxですごいの発見しました。詳細はまだ書けませんが、「危険な」タグのみを殺しているようなWebアプリケーションでXSSが超簡単に成立します(ホワイトリスト方式なら問題ないはずですが)。2000年頃からのGeckoエンジンブラウザすべてが同様に影響を受けます。』 (2006/04/29 01:23)

hoshikuzu

...ふひぃ。

私がFxで追いかけているのは、従来のブラックリストでは殺しきれない不正なstyle要素やstyle属性の内容によるものです。但し、一部のWebアプリケーションでは、たまさかでしょうけれども、大丈夫です。例えば、【はてな】とかは大丈夫です。

　

えむけいさんの実証コードのほうが想定被害規模が大きいようですね。』 (2006/04/29 08:47)

えむけい

MFSA 2006-42として公開されました。

http://www.mozilla-japan.org/security/announce/2006/mfsa2006-42.html (2006/06/02 12:21)

…バイトオーダーマーク (BOM) を無視して解釈していたのですか…確かに。この１文だけでどうしたら良いのかわかってしまうほど簡明ですね。ブラックリスト方式でヤバイのを消す方式には限界がありますよねぇ。ため息。