kunitsuji
tsuji****@m-s*****
2010年 3月 18日 (木) 15:10:21 JST
kunitsujiです。
たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけです
よね?
<input type="text" name="hoge" value="<?php echo htmlspecialchars
(set_value('hoge')) ;?>"
この、set_value()そのものが、htmlspecialchars()をかけているので変換され
ますよ、
という仕様であれば、届出が必要だと思いますが、
どちらなんでしょう?
そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題ではない
かと思います。
たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うという
のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知識の問
題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるのでしょ
うか?
※ただし、1回目はかかって2回目はかからない、ということなので、明らかにお
かしいとは思います。
問題は1回目がかかり、2回目がかからない、という部分ですね。
このあたりのCI開発側の見解をしりたいですが。
仮に、あくまでもそういう仕様である、ということであれば、、、
2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。
その場合、報告の内容が変わってくると思いますが。
2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、
set_value()の扱い方の注意勧告としてでるべきではないかと思います。
>Kenji です。
>
>
>On Wed, 17 Mar 2010 14:29:36 +0900
>溝口 令雄 <mizog****@gmail*****> wrote:
>
>> ■脆弱性関連情報の届出
>> http://www.ipa.go.jp/security/vuln/report/
>>
>> には登録されてますでしょうか?
>
>してません。もともと私が見つけたときには、すでに本家 Forum に
>あがっている情報でしたし、届け出などはするつもりがなかったので
>勝手に公表してます。
>
>
>> JVNで周知されるべきレベルの問題のようにも思います。
>
>そうですね。そういうルートでやるのもいいかもしれませんね。
>
>JVN で周知されるべきだとの考えに賛同される方のどなたか
>お願いします。私はすでにガイドラインにしたがっていないので。
>
>
>// Kenji
>
>_______________________________________________
>Codeigniter-users mailing list
>Codei****@lists*****
>http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users