報告が遅くなりましたが、「ビビビッ」さんのブログで指摘していただいた脆弱性の問題は、対応済みです。
オンラインのブックマークサービス、ぶっくま!を触ってみた感想
XSSの脆弱性については、完全にこちらのミスです。
「ビビビッ」さんのブログにも書いてありますが、「これは結構ヤバいです」ね。
確認したら、一部の処理がゴッソリと抜け落ちていました。
年明けにいじくった部分なので、たぶん、そのとき見落としてしまったのではないかと・・・。
とにかく、指摘してもらってよかったです!
CSRF対策も追加しました。
ただし、ある特殊な環境でパソコンを利用している場合、ぶっくま!のサービスが利用できないことがあります。そんなことは滅多にないとは思いますが・・・。
CSRF対策は、ユーザーの利便性とセキュリティの両立が悩みどころです。
うまい方法が見つかれば、近いうちに変更するかもしれません。
とりあえず、脆弱性の問題は、メールをもらった当日のうちに修正しました。
「ビビビッ」さんのブログには書いてありませんが、他にもいろいろとテストしてもらったようです。
たぶん、正常に動作してしまった(?)ので、ブログ記事にするほどでもないという判断だったと思うのですが、「あー、なるほど!」と思うようなのもあって、それら細々した部分の修正も行いました。
「ビビビッ」さんには、他にもいろいろと指摘してもらったので、これから考えていきます!
オンラインのブックマークサービス、ぶっくま!を触ってみた感想
XSSの脆弱性については、完全にこちらのミスです。
「ビビビッ」さんのブログにも書いてありますが、「これは結構ヤバいです」ね。
確認したら、一部の処理がゴッソリと抜け落ちていました。
年明けにいじくった部分なので、たぶん、そのとき見落としてしまったのではないかと・・・。
とにかく、指摘してもらってよかったです!
CSRF対策も追加しました。
ただし、ある特殊な環境でパソコンを利用している場合、ぶっくま!のサービスが利用できないことがあります。そんなことは滅多にないとは思いますが・・・。
CSRF対策は、ユーザーの利便性とセキュリティの両立が悩みどころです。
うまい方法が見つかれば、近いうちに変更するかもしれません。
とりあえず、脆弱性の問題は、メールをもらった当日のうちに修正しました。
「ビビビッ」さんのブログには書いてありませんが、他にもいろいろとテストしてもらったようです。
たぶん、正常に動作してしまった(?)ので、ブログ記事にするほどでもないという判断だったと思うのですが、「あー、なるほど!」と思うようなのもあって、それら細々した部分の修正も行いました。
「ビビビッ」さんには、他にもいろいろと指摘してもらったので、これから考えていきます!