[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: dsa-1374 訳

From: Kobayashi Noritada <nori1@xxxxxxxxxxxxxxxxxxxxxxx>
Subject: Re: dsa-1374 訳
Date: Mon, 17 Sep 2007 02:23:41 +0900
List-help: <mailto:debian-www-ctl@debian.or.jp?body=help>
List-id: debian-www.debian.or.jp
List-owner: <mailto:debian-www-admin@debian.or.jp>
List-post: <mailto:debian-www@debian.or.jp>
List-software: fml [fml 4.0.3 release (20011202/4.0.3)]
List-unsubscribe: <mailto:debian-www-ctl@debian.or.jp?body=unsubscribe>
X-ml-info: If you have a question, send e-mail with the body "help" (without quotes) to the address debian-www-ctl@debian.or.jp; help=<mailto:debian-www-ctl@debian.or.jp?body=help>
X-ml-name: debian-www
X-mlserver: fml [fml 4.0.3 release (20011202/4.0.3)]; post only (only members can post)
X-original-to: debian-www@debian.or.jp
References: <20070913010030.c1387394.henrich@xxxxxxxxxxxxxx> <46E923FB.1020000@xxxxxxxxxxxx> <20070913213940.4055cd3c.henrich@xxxxxxxxxxxxxx>
Message-id: <20070917.022340.74739208.nori1@xxxxxxxxxxxxxxxxxxxxxxx>
X-mail-count: 11587
X-mailer: Mew version 2.2 on Emacs 21.2 / Mule 5.0 (SAKAKI)

小林です。

そういえばコメントし忘れていました。

From: Hideki Yamane
Subject: Re: dsa-1374 訳
Date: Thu, 13 Sep 2007 21:39:45 +0900

> > パラメータ名なので、user や password をカタカナにしてはだめでは。
> 
> 　username と password か $user と $pass になると思うのですが、
> 　表記としてはどちらがいいでしょうか？

user および pass にしました。
CVE やそのリンク先を眺めてみたら user や pass という表記が多かったのと、
http://192.168.1.1/auth.php?user='%20union%20select%202,'admin','$1$RxS1ROtX$IzA1S3fcCfyVfA9rwKBMi.','Administrator'/*&pass=
や
http://192.168.1.1/auth.php?user='<html><body><script>alert('xss')</script></body></html>
といった例にあるように、ユーザ側から HTML ソースなり URL なりで見える
のは user や pass である、というのが根拠です。

-- 
|:  Noritada KOBAYASHI
|:  Dept. of General Systems Studies,
|:  Graduate School of Arts and Sciences, Univ. of Tokyo
|:  E-mail: nori1@xxxxxxxxxxxxxxxxxxxxxxx (preferable)
|:          nori@xxxxxxxxxxxxxxxxxxx
|:  Key fingerprint = AB26 9533 81DA 997B 3C06  4380 19BB ADA0 695C 9F53

References:
- dsa-1374 訳
  - From: Hideki Yamane
- Re: dsa-1374 訳
  - From: Seiji Kaneko
- Re: dsa-1374 訳
  - From: Hideki Yamane

Prev by Date: webwml コーディネートページの .src 対応
Next by Date: Debian Web site Translation Update
Previous by thread: Re: dsa-1374 訳
Next by thread: dsa-1373 訳
Index(es):
- Date
- Thread