Jane Style Part6 (1000レス)
上下前次1-新
抽出解除 必死チェッカー(簡易版) 自ID レス栞 あぼーん
このスレッドは1000を超えました。
次スレ検索 歴削→次スレ 栞削→次スレ
939: 858 2010/07/16(金) 18:43:07 ID:bublD3/o0(1)調 AAS
> 危険性そのものを説明した該当部分を抜き出してほしいもんだね
>>193,207,707,727と複数回IEの話が出ていたので括弧書きでその補足をしたつもりでしたが
Additionally, the “Include local directory path when uploading files” URLAction has been set to "Disable" for the Internet Zone.
This change prevents leakage of potentially sensitive local file-system information to the Internet.
とあるくらいで危険性そのものの解説はありませんし例示されているパスもWindowsログオン名を含むものです
ただ少なくとも個人的には>>858のとおり「機密性のある情報はWindowsログオン名に限らない」という考えです
> デフォでインストール場所決まってるすべてのアプリケーションに言える不具合じゃね
> 最後の2行は危険性を訴えるにはいまいちかもな
これはWindowsログオン名のように単純な文字列としての危険性だけではない
という一例で他との位置関係が固定されたローカルパスとしての危険性を挙げました
この例ではインストール先を変更すれば本来わからないはずのものがわかり
それが攻撃に有利になるわけでやはりこれは脆弱性だと思います
これはkakikomi.txt等のパスが送信されているのとほぼ同義なのですが
Jane2ch.exeを例に挙げたのはやや伝わりにくかったかもしれません
>>823にも書きましたが私自身現時点ではほぼ実害がないと思っていますし
脆弱性を修正してよりよいものにして欲しいという思いからレスしました
まあこういった細かい脆弱性の議論は理解されづらい上に言いがかりなどと評されることも多く
スレが荒れている現状では作者や第三者機関への連絡のほうがよかったかもしれませんね
どうもお騒がせしました
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ
ぬこの手 ぬこTOP 3.194s*