[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: dsa-1374 訳



小林です。

そういえばコメントし忘れていました。

From: Hideki Yamane
Subject: Re: dsa-1374 訳
Date: Thu, 13 Sep 2007 21:39:45 +0900

> > パラメータ名なので、user や password をカタカナにしてはだめでは。
> 
>  username と password か $user と $pass になると思うのですが、
>  表記としてはどちらがいいでしょうか?

user および pass にしました。
CVE やそのリンク先を眺めてみたら user や pass という表記が多かったのと、
http://192.168.1.1/auth.php?user='%20union%20select%202,'admin','$1$RxS1ROtX$IzA1S3fcCfyVfA9rwKBMi.','Administrator'/*&pass=
や
http://192.168.1.1/auth.php?user='<html><body><script>alert('xss')</script></body></html>
といった例にあるように、ユーザ側から HTML ソースなり URL なりで見える
のは user や pass である、というのが根拠です。

-- 
|:  Noritada KOBAYASHI
|:  Dept. of General Systems Studies,
|:  Graduate School of Arts and Sciences, Univ. of Tokyo
|:  E-mail: nori1@xxxxxxxxxxxxxxxxxxxxxxx (preferable)
|:          nori@xxxxxxxxxxxxxxxxxxx
|:  Key fingerprint = AB26 9533 81DA 997B 3C06  4380 19BB ADA0 695C 9F53