著者:杉浦
【Vue】改行とv-htmlとXSS対策
Vue.js上で文字列を展開したい時があります。例えばそれは誰かが投稿したコメントをコンポーネント上に表示する時です。こういった時コメントの改行が反映されていない場合、見栄えが悪くなります。改行を行う必要があります。
HTML上の改行と言えばbrタグです。PHPにはnl2brという改行コードを改行タグに変換する組み込み関数があるぐらいです。
PHP: nl2br – Manual
改行の実現でありがちで危険なアンチパターンはこのnl2br関数を用いたコメントをそのまま表示しようと考えるものです。Vue.jsにはv-htmlというディレクティブがあり、これを用いると普段かかっている安全装置のHTMLエスケープを外し、HTMLとしてパース、実行します。brタグとv-htmlを用いることで改行コードを改行タグに変換して表示できます。
v-htmlはXSSをまあまあ容易に招く危険性を持ちます。まあまあ危険というのは単純な
<script>alert('XSS')</script>
ぐらいならVueの仕組み上実行されず済むからです。とはいえ
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
の様な多少の変化球(scriptタグをbase64形式でエンコード、埋め込んだコード中でデコードして実行)であっさり破られるのでやはり危険です。
XSS 脆弱性を容易に引き起こすので、ウェブサイトで動的に任意のHTMLを描画することは、非常に危険です。信頼できるコンテンツにだけ HTML 展開を利用してください。ユーザーから提供されたコンテンツに対しては決して使用してはいけません。
これの対策は実現したい機能に関しての実装を生のHTMLに頼るのでなく個々の別手法を用いるのが一番でしょう。
例えば改行に関してはCSSのwhite-space実現できます。white-spaceは要素内のホワイトスペースをどう扱うか決定するスタイルであり、ホワイトスペースの一種(少なくとも正規表現の\sグループでまとめられる)である改行文字の制御もこれでできます
white-space – CSS: カスケーディングスタイルシート | MDN
上記リンクから引用した次の表の’改行を残す’スタイルを用いれば
と生のHTML実行を用いるまでもありません。
| 改行 | 空白とタブ文字 | テキストの折り返し | 行末の空白 | |
|---|---|---|---|---|
normal |
まとめる | まとめる | 折り返す | 除去 |
nowrap |
まとめる | まとめる | 折り返さない | 除去 |
pre |
残す | 残す | 折り返さない | 残す |
pre-wrap |
残す | 残す | 折り返す | ぶら下げ |
pre-line |
残す | まとめる | 折り返す | 除去 |
break-spaces |
残す | まとめる | 折り返す | 折り返す |
著者:ym
7payの乗っ取りからID連携での対策
Yahoo! ID 連携の方法で、なにか情報がでた様なので引用します。
▼脆弱性のある実装方法
https://developer.yahoo.co.jp/changelog/2019-07-18-yconnect.html
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、 ユーザー識別子を送信しログインできてしまうため、不正にログインされる可能性があります。
そのため、上記のような実装は推奨しておりません。
▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、 サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し サーバーサイドでユーザー識別子などの属性情報を取得してください。
7pay を使用していなかったのですが、ログインする際の認証に使用する場合のところだと思います。
最近SNSを使用した認証が増えているので、注意してた実装が必要そうです。
著者:ym
ひかり電話・ホームゲートウェイ脆弱性
フレッツ光ネクスト回線で使用されているルータ「ホームゲートウェイ」に脆弱性がある様です。
この URL へ接続してみて管理画面でバージョン確認をして見てください。私のルータも型番的には対象でしたが、ファームウェアはすでに最新版に更新された状態でしたので、脆弱性はない状況でした。
フレッツ回線を使用している方は、いちどご確認を。
著者:ym
FirefoxでサードパーティCookieブロック
Firefox の新しいバージョン 67.0.2 付近から、表示しているページ URL 以外の場所のコンテンツから Cookie を書き込まれる場合に、拒否される様になりました。
URL欄に、盾マークが表示されている場合はブロックされています。
実際にブロック状態にあるトラッキングを見てみると。
すべてブロック中ですね。クッキーのスコープを同じドメイン名内で書き込んでいれば、サブドメイン名は大丈夫っぽいですが、別ドメイン名はことごとくブロックされてますね。
サービス提供側は大変ですが、インタレストマッチできなくなって嬉しい限り。
著者:takahashi
ついにHUAWEIがGoogleにAndroid関連のサポート停止を言い渡される
今朝、衝撃のニュースが飛び込んできました。
Google、Huawei端末へのサービス提供を一部停止 既存端末には影響なし – ITMedia
アメリカでHuaweiの締め出しが決まってから様々な動きがありましたが、とうとう今後発売されるHuawei製端末へのGoogleによるAndroid向けの基本サービス群(Google Playや開発者サービス、GmailなどのGoogle謹製サービス)の提供が停止されることになったようです。
よくよく考えてみれば、Googleはアメリカに本社のある企業なのでこういった規制もあり得る話ではあったのですが、プラットフォームの提供元による名指しでの提供停止というのはなかなか聞いたことがなかったので、とても驚きました。
ちなみにMicrosoftもアメリカに本社を置く企業ですが、万が一Microsoftもこの流れに追従することになった場合、Huaweiに対するWindows OSの提供が停止することも考えられるため、もしそうなった場合は事実上Huaweiが自社製のPCを製造できなくなることになります。(Linuxディストリや独自のOSを積むのであれば別ですが…)
もっともHuaweiは”自給自足”をして対抗するとのことで、今後どのような対策を打ってくるのかは非常に興味深いです。
Google公式サービスへのアクセスがブロックされたとはいえ、Android自体はオープンソースのOSであり、今回の規制に影響されることなく引き続きソースの入手は可能なので、Amazon KindleのようにAndroidベースの独自のエコシステムを構築する可能性も十分考えられます。
とりあえず、現在販売されている端末までは今まで通りGoogleの公式サービスを受けることができるようなので、既にHuawei製スマホを購入したユーザーは、心配する必要はなさそうです。
著者:ym
bind アップデート
bind の脆弱性情報が JPRS や JPCERT から出ていたので、アップデートを行いました。
長期のサポートバージョンを使用しているのですが、どうやら python を要求するようになったみたいで、./configure 実行時にエラーを吐き出しました。
ルーチン化した作業ではあるけど、つまずくと調査が必要になります。調査の結果としてはデフォルトが with-python に変わった様なので、without-python 指定でスルーしました。
–without-python
著者:asaba
海外からのワンギリ詐欺が横行している話
つい最近のお話です。お正月が終わるころだったと思いますが、ゲームを終えて寝ようかなと布団をかぶろうとしたときに海外から電話が
ありました。こんな真夜中に、しかも数回かかってきていずれも二・三回で切れてものすごく不気味だったので
折り返す勇気も出なかったのですが、電話番号を登録し忘れた知人だったらいけないのでしかたなくかけてみることにしました。
出てみると先方は無言。なんか小声で呟いていたように聞こえましたが全く聞き取れず。秒で切りましたw
すると、同じような事例の方が何人か見つかりました。かかってくる国はまちまちで、
特に中国やフィリピンが多いなぁって感じました。自分のは675から始まっていたので恐らくパプアニューギニアからでしょうか。中古の
携帯でないのにどこで漏れたんや・・・。
いらいらしながら探ってみるとやはりいいものではありませんでした。電話主の正体はパプアニューギニアの通信会社と手を組んだブローカーです。
闇ブローカーといえば先月タイで捕まった日本人集団が記憶に新しいですが、そのような連中と一緒だと思って良さそうです。
パプアニューギニアへの通話料金は30秒ごとに249円です。彼らは友達の話や世間話でできるだけ通話料金を多く貰えるように話を長引かせ、かかった時間分の通話料を報酬として受け取るというからくりになっているみたいです。
この電話に出てしまったときの対処法ですが、万が一請求が来ても携帯会社に説明なりスルーなりすれば特に問題はないみたいです。
ちなみにどこで情報が漏れたかは分からず、webのアンケートフォームや携帯会社など諸説ありますが、ばれた所で電話番号だけでは
悪用はできないのでさほど気にすることもなさそうです・・・。
これを機に非通知などでかかってきた電話には最初は出ず、後から頭数字を検索して用心しようと思いました。
p.s.脱線してすみません。
著者:ym
暗号化 WPA3と Wi-Fi
結構まえに WEP や WPA2 に脆弱性があり漏れるとなり WPA3 が出ていましたが、とうとう WPA3 も破られた様です。
その頃から、では無いですが結構前から会社 PC は 有線 LAN を使ってケーブルで LAN を使っていて超快適です。
みなさんも LTE と 有線LAN を使いましょう!
今の LTE の 100 倍でしたっけ、早く 5G になるといいですね。そうすれば Wi-Fi の脆弱性に悩まされずにすみます。
著者:ym
ウィルス対策ソフトの定期全ファイルチェック
みなさんのPCにはウィルス対策ソフトが入ってますよね?
定期的に、全ファイルのファイルチェックしてますか?
全ファイルチェックは、時間もかかるし、PCも遅くなるので調子悪いと勘違いしてPC再起動してキャンセルしてませんか。
ウィルス対策ソフトは、定期的に最新のウィルス定義ファイルをダウンロードし、その定義に従ってウィルスチェックします。
しかし、ゼロデイ(対策が無い状態・ウィルス定義が無い状態)なウィルス入りメールが届いた場合は、もちろんPCに保管されます。
世界中のホワイトハッカーが発見してくれれば、いずれウィルスとして「ウィルス定義ファイル」にはいりますが、すべてのファイルを再度チェックしなければウィルスは存在し続けます。(ただ、ウィルスの入ったファイルを触ろうとした時点で、リアルタイムチェックが動くので検知されるけどね。)
ウィルスがPCの中に残り続けるだけで、気持ち悪いですよね。ウィルス対策ソフトの「定期スケジュール」で「全ファイルウィルス検索」が入っていると思いますが、定期的に全ファイルのウィルスチェックを忘れずに。