■ブログサービスの XSS 脆弱性対策はいらない−のか? − hoshikuzu | star_dust の書斎
いろいろと考えさせられますね。XSS の脅威としては単純に Cookie の漏洩だけではないですし。以下、とあるブログサービスの XSS について IPA とやり取りした実例。(もちろん部分的に伏せたり書き換えたりしてます。)
IPAセキュリティセンターです。 XXXXの件について、ご相談させていただきたい点があります。 本件について、ウェブサイト運営者に届出内容を連絡した結果、以下の内容の 回答がありました。 =============================================================== Cookie 漏えいによるなりすましは生じないため、対応はしない =============================================================== 上記の点につきまして、IPA でも Cookie 漏えいによるなりすましが発生しない 場合、スクリプトが実行されたとしても、通常ブログのユーザが可能な程度のこ としかできないため、本件による脅威はないと判断しておりますが、いかがで しょうか。
(はせがわの返事) Cookie 漏洩が発生しないことは確認できましたが、 通常はスクリプトが埋め込まれていない箇所へスクリプトが 埋め込み可能になるため、通常の一般的なXSSの脅威として、 - 有害なサイトへの強制リダイレクト - フレームなどの埋め込みによるドメイン詐称 - スクリプトによるコメント等の強制書き込み などが発生する可能性もあります。 これらはウェブサイト運営者の運営方針に拠るところが 大きいため、脆弱性として取り扱うかどうかの判断は 運営者にお任せいたします。
IPAセキュリティセンターです。 本件について上記の脅威が発生する可能性があるとのことですが、IPA では 以下の理由により問題ではないと考えております。 - スクリプトを埋め込み可能であるのはブログの管理者のみである - ブログの管理者がXXXXによるスクリプト実行で可能なことは XXXXを使用しなくても可能なことである ウェブサイト運営者からも脆弱性としてとして取扱わない旨の連絡を受けて おりますので、本件の取扱いを終了したいと考えておりますが、いかがで しょうか?
(はせがわの返事) 悪意あるブログ管理者がスクリプトを含むXXXXXXXX XXした場合、不特定多数の「ブログ閲覧者」のブラウザ上で スクリプトが動作することになりますが、そのスクリプトにより操作 可能な範囲というのが、XXXXXXを使用しなくても可能なことに 限定される、という意味でしょうか? そうであるならば、本件を脆弱性として取り扱わない旨、 了解いたします。
IPAセキュリティセンターです。 はい。元々ウェブサイトを閲覧した際に一般的に考えられる範囲の影響に 限定されると考えております。 上記より、本件の取扱いを終了しようと考えておりますが、いかがでしょう か?
というわけで終了。とはいえ、これがどこのサービスのことなのかや、実際にスクリプトを埋め込む方法といった具体的な情報については小心者なので書くことができません…。本当に悪影響がないとは自信が持てないというのがひとつと、スクリプトを埋め込む方法そのものが、他のWebサービスなどにも与える影響が大きいのではないかという懸念があるからです。