From kenji.uui @ gmail.com Mon Mar 15 10:41:25 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Mon, 15 Mar 2010 10:41:25 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCQmgbKEI1MRskQjJzGyhCUEhQ?= =?iso-2022-jp?b?GyRCSlk2LzJxGyhCQBskQjRYRWwbKEI=?= Message-ID: <20100315104125.a97ca01c.kenji.uui@gmail.com> Kenji です。 2010年3月27日(土) 14:00〜17:00 に開催される 第51回PHP勉強会@関東で CodeIgniter 関連の発表が あります。 http://events.php.gr.jp/events/show/93 まだ、発表枠があるようなので、さらに誰か CI に ついて発表されるといいかもしれません。 // Kenji From kenji.uui @ gmail.com Tue Mar 16 10:07:28 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Tue, 16 Mar 2010 10:07:28 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE5ASDxlQC0bKEI=?= Message-ID: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> Kenji です。 CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを 2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる 可能性があります。 詳細 http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 これ、なかなか修正されないのでバグでないのかも知れませんが。 このバグに当たるような実装をすることは少ないと思いますが、知らずに やってしまうと危険ですので、注意喚起しておきます。 本家では、以下に書き込みがあります。バグだと思われる方は、「バグなので 直してくれ」みたいなことを書き込んでもらえるといいかもしれません。 * http://codeigniter.com/bug_tracker/bug/11284/ * http://codeigniter.com/forums/viewthread/139112/ // Kenji From mizoguchi.reo @ gmail.com Wed Mar 17 14:29:36 2010 From: mizoguchi.reo @ gmail.com (=?ISO-2022-JP?B?GyRCOUI4fRsoQiAbJEJOYU06GyhC?=) Date: Wed, 17 Mar 2010 14:29:36 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> Message-ID: Kenji 様 お世話になっております。 いつも貴重な情報を提供して頂きまして、ありがとうございます。 Kenji Suzuki さんwrote: > CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを > 2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる > 可能性があります。 まさにこのような実装をするところでした…大変助かりました。 ■脆弱性関連情報の届出 http://www.ipa.go.jp/security/vuln/report/ には登録されてますでしょうか? JVNで周知されるべきレベルの問題のようにも思います。 よろしくお願いいたします。 __________________________ _________________________________________/ Original Message Subj: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパーの 脆弱性 From: Kenji Suzuki To : codeigniter-users @ lists.sourceforge.jp Cc : -- Date: 2010/03/16 10:07:28 > Kenji です。 > > > CodeIgniter 1.7.2 の Formヘルパー の set_value() で同じフィールドを > 2回目以上表示すると 2回目以降は文字参照に変換されず XSS脆弱性になる > 可能性があります。 > > 詳細 > http://d.hatena.ne.jp/Kenji_s/20100316/1268701194 > > これ、なかなか修正されないのでバグでないのかも知れませんが。 > このバグに当たるような実装をすることは少ないと思いますが、知らずに > やってしまうと危険ですので、注意喚起しておきます。 > > > 本家では、以下に書き込みがあります。バグだと思われる方は、「バグなの > で > 直してくれ」みたいなことを書き込んでもらえるといいかもしれません。 > > * http://codeigniter.com/bug_tracker/bug/11284/ > * http://codeigniter.com/forums/viewthread/139112/ > > > // Kenji > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users ____________________________________________________________________ From kenji.uui @ gmail.com Thu Mar 18 09:45:34 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Thu, 18 Mar 2010 09:45:34 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE5ASDxlQC0bKEI=?= In-Reply-To: References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> Message-ID: <20100318094534.381e7bd9.kenji.uui@gmail.com> Kenji です。 On Wed, 17 Mar 2010 14:29:36 +0900 溝口 令雄 wrote: > ■脆弱性関連情報の届出 > http://www.ipa.go.jp/security/vuln/report/ > > には登録されてますでしょうか? してません。もともと私が見つけたときには、すでに本家 Forum に あがっている情報でしたし、届け出などはするつもりがなかったので 勝手に公表してます。 > JVNで周知されるべきレベルの問題のようにも思います。 そうですね。そういうルートでやるのもいいかもしれませんね。 JVN で周知されるべきだとの考えに賛同される方のどなたか お願いします。私はすでにガイドラインにしたがっていないので。 // Kenji From tsujioka @ m-s.co.jp Thu Mar 18 15:10:21 2010 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Thu, 18 Mar 2010 15:10:21 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: <20100318094534.381e7bd9.kenji.uui@gmail.com> References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> Message-ID: <8CCAC661B0F6A7tsujioka@m-s.co.jp>  kunitsujiです。 たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけです よね? Kenji です。 > > >On Wed, 17 Mar 2010 14:29:36 +0900 >溝口 令雄 wrote: > >> ■脆弱性関連情報の届出 >> http://www.ipa.go.jp/security/vuln/report/ >> >> には登録されてますでしょうか? > >してません。もともと私が見つけたときには、すでに本家 Forum に >あがっている情報でしたし、届け出などはするつもりがなかったので >勝手に公表してます。 > > >> JVNで周知されるべきレベルの問題のようにも思います。 > >そうですね。そういうルートでやるのもいいかもしれませんね。 > >JVN で周知されるべきだとの考えに賛同される方のどなたか >お願いします。私はすでにガイドラインにしたがっていないので。 > > >// Kenji > >_______________________________________________ >Codeigniter-users mailing list >Codeigniter-users @ lists.sourceforge.jp >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users From kenji.uui @ gmail.com Thu Mar 18 16:46:37 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Thu, 18 Mar 2010 16:46:37 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE5ASDxlQC0bKEI=?= In-Reply-To: <8CCAC661B0F6A7tsujioka@m-s.co.jp> References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> Message-ID: <20100318164637.a33a8572.kenji.uui@gmail.com> Kenji です。 On Thu, 18 Mar 2010 15:10:21 +0900 kunitsuji wrote: >  kunitsujiです。 > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけです > よね? > この、set_value()そのものが、htmlspecialchars()をかけているので変換され > ますよ、 > という仕様であれば、届出が必要だと思いますが、 > どちらなんでしょう? http://codeigniter.jp/user_guide_ja/helpers/form_helper.html には、 Note: このページにリストアップされたいずれのFormヘルパ関数を使うときも、値は自動的に整形処理されるので、この関数を呼び出す必要はありません。自分で書いたForm要素の中でだけ、この関数を使用してください。 とあります。 なので、Formヘルパーの関数を使う限り、htmlspecialchars() がかかると 理解するのが通常だと思います。 > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題ではない > かと思います。 > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うという > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知識の問 > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるのでしょ > うか? > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明らかにお > かしいとは思います。 > > 問題は1回目がかかり、2回目がかからない、という部分ですね。 > このあたりのCI開発側の見解をしりたいですが。 見解は今のところわかりません。バグトラッカーにみんなで「どうなんだ?」 と書くといいかも知れませんが。 バグ報告が Not a bug になってないので、即座にバグでないとは判断されて ないということは言えると思います。また、修正されているわけでもないので、 何かややこしい問題があるのかもしれません。 > 仮に、あくまでもそういう仕様である、ということであれば、、、 > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。 いくらなんでも、それは、バッドノウハウすぎると思います。 仕様がおかしすぎます。 純粋に仕様だけ考えると、フレームワークとしては、ヘルパーが全部 htmlspecialchars() を適用するというのが、いいんじゃないかと思います。 適用漏れの可能性も減りますし。 // Kenji > その場合、報告の内容が変わってくると思いますが。 > > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、 > set_value()の扱い方の注意勧告としてでるべきではないかと思います。 > > > > >Kenji です。 > > > > > >On Wed, 17 Mar 2010 14:29:36 +0900 > >溝口 令雄 wrote: > > > >> ■脆弱性関連情報の届出 > >> http://www.ipa.go.jp/security/vuln/report/ > >> > >> には登録されてますでしょうか? > > > >してません。もともと私が見つけたときには、すでに本家 Forum に > >あがっている情報でしたし、届け出などはするつもりがなかったので > >勝手に公表してます。 > > > > > >> JVNで周知されるべきレベルの問題のようにも思います。 > > > >そうですね。そういうルートでやるのもいいかもしれませんね。 > > > >JVN で周知されるべきだとの考えに賛同される方のどなたか > >お願いします。私はすでにガイドラインにしたがっていないので。 > > > > > >// Kenji > > > >_______________________________________________ > >Codeigniter-users mailing list > >Codeigniter-users @ lists.sourceforge.jp > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users From tsujioka @ m-s.co.jp Thu Mar 18 16:53:27 2010 From: tsujioka @ m-s.co.jp (kunitsuji) Date: Thu, 18 Mar 2010 16:53:27 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: <20100318164637.a33a8572.kenji.uui@gmail.com> References: <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> <20100318164637.a33a8572.kenji.uui@gmail.com> Message-ID: <8DCAC670181B58tsujioka@m-s.co.jp>  kunitsujiです。 >http://codeigniter.jp/user_guide_ja/helpers/form_helper.html >には、 > >Note: このページにリストアップされたいずれのFormヘルパ関数を使うときも、値は >自動的に整形処理されるので、この関数を呼び出す必要はありません。自分で書いた >Form要素の中でだけ、この関数を使用してください。 > >とあります。 > >なので、Formヘルパーの関数を使う限り、htmlspecialchars() がかかると >理解するのが通常だと思います。 なるほど。 であれば、明らかにバグといえるんじゃないでしょうか? 1回目は整形されて2回目は整形されない、と書いてませんし。 >見解は今のところわかりません。バグトラッカーにみんなで「どうなんだ?」 >と書くといいかも知れませんが。 >バグ報告が Not a bug になってないので、即座にバグでないとは判断されて >ないということは言えると思います。また、修正されているわけでもないので、 >何かややこしい問題があるのかもしれません。 了解しましたー。書いてきますね。 >純粋に仕様だけ考えると、フレームワークとしては、ヘルパーが全部 >htmlspecialchars() を適用するというのが、いいんじゃないかと思います。 >適用漏れの可能性も減りますし。 たとえば、outputの出力で自動的にかけるようにして、 かけたくない出力を行う場合、それようのヘルパーなりを用意してもらうという のが 一番ありがたいです。 が、Smartyで出力する際に整形して出力することが一般的かと思いますが、 (MyNETSでもそうなっています) この場合、良く分からない開発者が「HTMLSPECIALCHRAAS」で処理を行うことを 知らないことが結構あります。 そう考えると、自動的はありがたいですが、理解しないで何も意識しないコード を書く人が結構生まれる気もします。。 なかなか難しい問題ですね。 脱線しますが、 某PHPレシピ本のように、「つけて当たり前」みたいな書が今までにあまり存在 してこなかった、というのが大きな理由でしょうか。 > >// Kenji > > >> その場合、報告の内容が変わってくると思いますが。 >> >> 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、 >> set_value()の扱い方の注意勧告としてでるべきではないかと思います。 >> >> >> >> >Kenji です。 >> > >> > >> >On Wed, 17 Mar 2010 14:29:36 +0900 >> >溝口 令雄 wrote: >> > >> >> ■脆弱性関連情報の届出 >> >> http://www.ipa.go.jp/security/vuln/report/ >> >> >> >> には登録されてますでしょうか? >> > >> >してません。もともと私が見つけたときには、すでに本家 Forum に >> >あがっている情報でしたし、届け出などはするつもりがなかったので >> >勝手に公表してます。 >> > >> > >> >> JVNで周知されるべきレベルの問題のようにも思います。 >> > >> >そうですね。そういうルートでやるのもいいかもしれませんね。 >> > >> >JVN で周知されるべきだとの考えに賛同される方のどなたか >> >お願いします。私はすでにガイドラインにしたがっていないので。 >> > >> > >> >// Kenji >> > >> >_______________________________________________ >> >Codeigniter-users mailing list >> >Codeigniter-users @ lists.sourceforge.jp >> >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users >> >> _______________________________________________ >> Codeigniter-users mailing list >> Codeigniter-users @ lists.sourceforge.jp >> http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > >_______________________________________________ >Codeigniter-users mailing list >Codeigniter-users @ lists.sourceforge.jp >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users From mizoguchi.reo @ gmail.com Thu Mar 18 23:55:13 2010 From: mizoguchi.reo @ gmail.com (=?ISO-2022-JP?B?GyRCOUI4fRsoQiAbJEJOYU06GyhC?=) Date: Thu, 18 Mar 2010 23:55:13 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: <8CCAC661B0F6A7tsujioka@m-s.co.jp> References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> Message-ID: お世話になっております。溝口です。 kunitsuji さんwrote: > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけ > です > よね? > ※ただし、1回目はかかって2回目はかからない、ということなので、明らか > におかしいとは思います。 ですよね・・ 「各開発者の意図は関係なく、1回目は勝手にエスケープしてしまう」という のがおかしいような気もしてきました。 よろしくお願いいたします。 __________________________ _________________________________________/ Original Message Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパー の脆弱性 From: kunitsuji To : codeigniter-users @ lists.sourceforge.jp Cc : -- Date: 2010/03/18 15:10:21 >  kunitsujiです。 > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけ > です > よね? > > この、set_value()そのものが、htmlspecialchars()をかけているので変換さ > れ > ますよ、 > という仕様であれば、届出が必要だと思いますが、 > どちらなんでしょう? > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題ではな > い > かと思います。 > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うとい > う > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知識 > の問 > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるのでし > ょ > うか? > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明らか > にお > かしいとは思います。 > > 問題は1回目がかかり、2回目がかからない、という部分ですね。 > このあたりのCI開発側の見解をしりたいですが。 > > 仮に、あくまでもそういう仕様である、ということであれば、、、 > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。 > その場合、報告の内容が変わってくると思いますが。 > > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、 > set_value()の扱い方の注意勧告としてでるべきではないかと思います。 > > > > >Kenji です。 > > > > > >On Wed, 17 Mar 2010 14:29:36 +0900 > >溝口 令雄 wrote: > > > >> ■脆弱性関連情報の届出 > >> http://www.ipa.go.jp/security/vuln/report/ > >> > >> には登録されてますでしょうか? > > > >してません。もともと私が見つけたときには、すでに本家 Forum に > >あがっている情報でしたし、届け出などはするつもりがなかったので > >勝手に公表してます。 > > > > > >> JVNで周知されるべきレベルの問題のようにも思います。 > > > >そうですね。そういうルートでやるのもいいかもしれませんね。 > > > >JVN で周知されるべきだとの考えに賛同される方のどなたか > >お願いします。私はすでにガイドラインにしたがっていないので。 > > > > > >// Kenji > > > >_______________________________________________ > >Codeigniter-users mailing list > >Codeigniter-users @ lists.sourceforge.jp > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users ____________________________________________________________________ __________________________________________________Javable.Jp 溝口 令雄 / Reo MIZOGUCHI mizoguchi @ javable.jp http://www.javable.jp/ 〒174-0063 東京都板橋区前野町3-33-1-402 Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329 Skype ID : reomi2002 ____________________________________________________________ From mizoguchi.reo @ gmail.com Fri Mar 19 00:01:31 2010 From: mizoguchi.reo @ gmail.com (=?ISO-2022-JP?B?GyRCOUI4fRsoQiAbJEJOYU06GyhC?=) Date: Fri, 19 Mar 2010 00:01:31 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> Message-ID: お世話になっております。溝口です。 すいません、本日16時台の投稿を受信しないまま、先ほど投稿してしまいまし た。 何かかみ合っていないところがあると思いますので、私の投稿は適当に流して おいてください。 よろしくお願いいたします。 __________________________ _________________________________________/ Original Message Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパー の脆弱性 From: 溝口 令雄 To : codeigniter-users @ lists.sourceforge.jp Cc : -- Date: 2010/03/18 23:55:13 > お世話になっております。溝口です。 > > kunitsuji さんwrote: > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわ > > け > > です > > よね? > > > これを実行すると、hoge の値が & だった場合、エスケープが二重にかかっ > て > 出力は、 > > &amp; > > となりました。 > > XSS対策はCodeIgniterではグローバルにでもリクエスト毎にでも設定出来ま > す > し、Formバリデーションクラスでも各フィールド値へのルール設定でxss_ > clean(またはhtmlspecialchars等)を指定すればエスケープした形で整形さ > れ > ると思うのですが、 > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明ら > > か > > におかしいとは思います。 > > ですよね・・ > 「各開発者の意図は関係なく、1回目は勝手にエスケープしてしまう」とい > う > のがおかしいような気もしてきました。 > > よろしくお願いいたします。 > > __________________________ > _________________________________________/ Original Message > Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘル > パー > の脆弱性 > From: kunitsuji > To : codeigniter-users @ lists.sourceforge.jp > Cc : -- > Date: 2010/03/18 15:10:21 > > >  kunitsujiです。 > > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわ > > け > > です > > よね? > > > > > この、set_value()そのものが、htmlspecialchars()をかけているので変換 > > さ > > れ > > ますよ、 > > という仕様であれば、届出が必要だと思いますが、 > > どちらなんでしょう? > > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題では > > な > > い > > かと思います。 > > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うと > > い > > う > > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知 > > 識 > > の問 > > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるので > > し > > ょ > > うか? > > > > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明ら > > か > > にお > > かしいとは思います。 > > > > 問題は1回目がかかり、2回目がかからない、という部分ですね。 > > このあたりのCI開発側の見解をしりたいですが。 > > > > 仮に、あくまでもそういう仕様である、ということであれば、、、 > > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。 > > その場合、報告の内容が変わってくると思いますが。 > > > > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれ > > ば、 > > set_value()の扱い方の注意勧告としてでるべきではないかと思います。 > > > > > > > > >Kenji です。 > > > > > > > > >On Wed, 17 Mar 2010 14:29:36 +0900 > > >溝口 令雄 wrote: > > > > > >> ■脆弱性関連情報の届出 > > >> http://www.ipa.go.jp/security/vuln/report/ > > >> > > >> には登録されてますでしょうか? > > > > > >してません。もともと私が見つけたときには、すでに本家 Forum に > > >あがっている情報でしたし、届け出などはするつもりがなかったので > > >勝手に公表してます。 > > > > > > > > >> JVNで周知されるべきレベルの問題のようにも思います。 > > > > > >そうですね。そういうルートでやるのもいいかもしれませんね。 > > > > > >JVN で周知されるべきだとの考えに賛同される方のどなたか > > >お願いします。私はすでにガイドラインにしたがっていないので。 > > > > > > > > >// Kenji > > > > > >_______________________________________________ > > >Codeigniter-users mailing list > > >Codeigniter-users @ lists.sourceforge.jp > > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > > > _______________________________________________ > > Codeigniter-users mailing list > > Codeigniter-users @ lists.sourceforge.jp > > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > ____________________________________________________________________ > > > __________________________________________________Javable.Jp > > 溝口 令雄 / Reo MIZOGUCHI > mizoguchi @ javable.jp > http://www.javable.jp/ > > 〒174-0063 東京都板橋区前野町3-33-1-402 > Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329 > Skype ID : reomi2002 > ____________________________________________________________ > ____________________________________________________________________ __________________________________________________Javable.Jp 溝口 令雄 / Reo MIZOGUCHI mizoguchi @ javable.jp http://www.javable.jp/ 〒174-0063 東京都板橋区前野町3-33-1-402 Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329 Skype ID : reomi2002 ____________________________________________________________ From kenji.uui @ gmail.com Fri Mar 19 08:56:23 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Fri, 19 Mar 2010 08:56:23 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE5ASDxlQC0bKEI=?= In-Reply-To: References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> Message-ID: <20100319085623.50f3a514.kenji.uui@gmail.com> Kenji です。 On Thu, 18 Mar 2010 23:55:13 +0900 溝口 令雄 wrote: > お世話になっております。溝口です。 > > kunitsuji さんwrote: > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけ > > です > > よね? > > > これを実行すると、hoge の値が & だった場合、エスケープが二重にかかって > 出力は、 > > &amp; > > となりました。 ああ、これは 2回目以降だけ htmlspecialchars() かけるということですね。 二重にかけてはいけません。 > XSS対策はCodeIgniterではグローバルにでもリクエスト毎にでも設定出来ます > し、Formバリデーションクラスでも各フィールド値へのルール設定でxss_ > clean(またはhtmlspecialchars等)を指定すればエスケープした形で整形され > ると思うのですが、 XSSフィルタはエスケープしません。危険そうな文字を削除するという サニタイズ処理になります。 参考 http://d.hatena.ne.jp/uratch/20100120/1263958813 また、ユーザガイドにも記載されていますが、非常に重いのでグローバル に適用することは推奨されません。 // Kenji > > ※ただし、1回目はかかって2回目はかからない、ということなので、明らか > > におかしいとは思います。 > > ですよね・・ > 「各開発者の意図は関係なく、1回目は勝手にエスケープしてしまう」という > のがおかしいような気もしてきました。 > > よろしくお願いいたします。 > > __________________________ > _________________________________________/ Original Message > Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパー > の脆弱性 > From: kunitsuji > To : codeigniter-users @ lists.sourceforge.jp > Cc : -- > Date: 2010/03/18 15:10:21 > > >  kunitsujiです。 > > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ないわけ > > です > > よね? > > > > > この、set_value()そのものが、htmlspecialchars()をかけているので変換さ > > れ > > ますよ、 > > という仕様であれば、届出が必要だと思いますが、 > > どちらなんでしょう? > > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題ではな > > い > > かと思います。 > > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使うとい > > う > > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の知識 > > の問 > > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるのでし > > ょ > > うか? > > > > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明らか > > にお > > かしいとは思います。 > > > > 問題は1回目がかかり、2回目がかからない、という部分ですね。 > > このあたりのCI開発側の見解をしりたいですが。 > > > > 仮に、あくまでもそういう仕様である、ということであれば、、、 > > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。 > > その場合、報告の内容が変わってくると思いますが。 > > > > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であれば、 > > set_value()の扱い方の注意勧告としてでるべきではないかと思います。 > > > > > > > > >Kenji です。 > > > > > > > > >On Wed, 17 Mar 2010 14:29:36 +0900 > > >溝口 令雄 wrote: > > > > > >> ■脆弱性関連情報の届出 > > >> http://www.ipa.go.jp/security/vuln/report/ > > >> > > >> には登録されてますでしょうか? > > > > > >してません。もともと私が見つけたときには、すでに本家 Forum に > > >あがっている情報でしたし、届け出などはするつもりがなかったので > > >勝手に公表してます。 > > > > > > > > >> JVNで周知されるべきレベルの問題のようにも思います。 > > > > > >そうですね。そういうルートでやるのもいいかもしれませんね。 > > > > > >JVN で周知されるべきだとの考えに賛同される方のどなたか > > >お願いします。私はすでにガイドラインにしたがっていないので。 > > > > > > > > >// Kenji > > > > > >_______________________________________________ > > >Codeigniter-users mailing list > > >Codeigniter-users @ lists.sourceforge.jp > > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > > > _______________________________________________ > > Codeigniter-users mailing list > > Codeigniter-users @ lists.sourceforge.jp > > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > ____________________________________________________________________ > > > __________________________________________________Javable.Jp > > 溝口 令雄 / Reo MIZOGUCHI > mizoguchi @ javable.jp > http://www.javable.jp/ > > 〒174-0063 東京都板橋区前野町3-33-1-402 > Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329 > Skype ID : reomi2002 > ____________________________________________________________ > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users From kenji.uui @ gmail.com Fri Mar 19 13:30:38 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Fri, 19 Mar 2010 13:30:38 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCJWYhPCU2JSwlJCVJGyhCIDIu?= =?iso-2022-jp?b?MC4wIBskQiROS11MdTpuNkgkTjMrO08bKEI=?= Message-ID: <20100319133038.16ac9538.kenji.uui@gmail.com> Kenji です。 2.0.0 のリリースはまだいつかわかりませんが、2.0.0 のリポジトリが公開 されたことに伴い、現行の 1.7.2 からかなり日がたち変更点も多くなって いますので、現在のリポジトリに基づいて、翻訳作業を開始したいと思います。 作業準備を以下に整えました。 http://sourceforge.jp/projects/codeigniter/wiki/%E3%83%A6%E3%83%BC%E3%82%B6%E3%82%AC%E3%82%A4%E3%83%89%E6%97%A5%E6%9C%AC%E8%AA%9E%E7%89%882.0.0%E4%BD%9C%E6%88%90 翻訳できる方は、どんどん翻訳をお願いします。 // Kenji From mizoguchi.reo @ gmail.com Fri Mar 19 21:59:25 2010 From: mizoguchi.reo @ gmail.com (=?ISO-2022-JP?B?GyRCOUI4fRsoQiAbJEJOYU06GyhC?=) Date: Fri, 19 Mar 2010 21:59:25 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCIVpDbTBVNC01LyFbGyhCQ29k?= =?iso-2022-jp?b?ZUlnbml0ZXIgMS43LjIgRm9ybRskQiVYJWslUSE8JE4bKEI=?= =?iso-2022-jp?b?GyRCQEg8ZUAtGyhC?= In-Reply-To: <20100319085623.50f3a514.kenji.uui@gmail.com> References: <20100316100728.f0d7a7e3.kenji.uui@gmail.com> <20100318094534.381e7bd9.kenji.uui@gmail.com> <8CCAC661B0F6A7tsujioka@m-s.co.jp> <20100319085623.50f3a514.kenji.uui@gmail.com> Message-ID: お世話になっております。溝口です。 Kenji Suzuki さんwrote: > > これを実行すると、hoge の値が & だった場合、エスケープが二重にかか > > って ...(中略)... > ああ、これは 2回目以降だけ htmlspecialchars() かけるということですね。 > 二重にかけてはいけません。 あ、なるほど、そうですね。 > > XSS対策はCodeIgniterではグローバルにでもリクエスト毎にでも設定出来 > > ます > > し、Formバリデーションクラスでも各フィールド値へのルール設定でxss_ > > clean(またはhtmlspecialchars等)を指定すればエスケープした形で整形 > > され > > ると思うのですが、 > > XSSフィルタはエスケープしません。危険そうな文字を削除するという > サニタイズ処理になります。 > > 参考 > http://d.hatena.ne.jp/uratch/20100120/1263958813 > > > また、ユーザガイドにも記載されていますが、非常に重いのでグローバル > に適用することは推奨されません。 ありがとうございます。勘違いしておりました。 取急ぎ御礼まで。 よろしくお願いいたします。 __________________________ _________________________________________/ Original Message Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘルパー の脆弱性 From: Kenji Suzuki To : codeigniter-users @ lists.sourceforge.jp Cc : -- Date: 2010/03/19 8:56:23 > Kenji です。 > > > On Thu, 18 Mar 2010 23:55:13 +0900 > 溝口 令雄 wrote: > > > お世話になっております。溝口です。 > > > > kunitsuji さんwrote: > > > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ない > > > わけ > > > です > > > よね? > > > > > > これを実行すると、hoge の値が & だった場合、エスケープが二重にかか > > って > > 出力は、 > > > > &amp; > > > > となりました。 > > ああ、これは 2回目以降だけ htmlspecialchars() かけるということですね。 > 二重にかけてはいけません。 > > > > XSS対策はCodeIgniterではグローバルにでもリクエスト毎にでも設定出来 > > ます > > し、Formバリデーションクラスでも各フィールド値へのルール設定でxss_ > > clean(またはhtmlspecialchars等)を指定すればエスケープした形で整形 > > され > > ると思うのですが、 > > XSSフィルタはエスケープしません。危険そうな文字を削除するという > サニタイズ処理になります。 > > 参考 > http://d.hatena.ne.jp/uratch/20100120/1263958813 > > > また、ユーザガイドにも記載されていますが、非常に重いのでグローバル > に適用することは推奨されません。 > > > // Kenji > > > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明 > > > らか > > > におかしいとは思います。 > > > > ですよね・・ > > 「各開発者の意図は関係なく、1回目は勝手にエスケープしてしまう」と > > いう > > のがおかしいような気もしてきました。 > > > > よろしくお願いいたします。 > > > > ________________________ > > __ > > _________________________________________/ Original Message > > Subj: Re: [Codeigniter-users] 【注意喚起】CodeIgniter 1.7.2 Formヘ > > ルパー > > の脆弱性 > > From: kunitsuji > > To : codeigniter-users @ lists.sourceforge.jp > > Cc : -- > > Date: 2010/03/18 15:10:21 > > > > >  kunitsujiです。 > > > > > > たとえば、htmlspecialchars()を、開発者が普通に記述すれば問題ない > > > わけ > > > です > > > よね? > > > > > > > > この、set_value()そのものが、htmlspecialchars()をかけているので変 > > > 換さ > > > れ > > > ますよ、 > > > という仕様であれば、届出が必要だと思いますが、 > > > どちらなんでしょう? > > > そういう仕様ではない場合、CIの脆弱性ではなく、PHPの開発者の問題で > > > はな > > > い > > > かと思います。 > > > たとえば、普通にPHPのPOSTで受け取った値をhtmlspecialchars()で使う > > > とい > > > う > > > のが当たり前になっていますが、そこでそれを使うかどうかは開発者の > > > 知識 > > > の問 > > > 題であり、知ることは必要ですが、CIのset_value()の脆弱性といえるの > > > でし > > > ょ > > > うか? > > > > > > > > > ※ただし、1回目はかかって2回目はかからない、ということなので、明 > > > らか > > > にお > > > かしいとは思います。 > > > > > > 問題は1回目がかかり、2回目がかからない、という部分ですね。 > > > このあたりのCI開発側の見解をしりたいですが。 > > > > > > 仮に、あくまでもそういう仕様である、ということであれば、、、 > > > 2回目に開発者自らhtmlspecialchars()を適用すればいいことであります。 > > > その場合、報告の内容が変わってくると思いますが。 > > > > > > 2回目以降もかかるべきものが、かかっていない、という認識、仕様であ > > > れば、 > > > set_value()の扱い方の注意勧告としてでるべきではないかと思います。 > > > > > > > > > > > > >Kenji です。 > > > > > > > > > > > >On Wed, 17 Mar 2010 14:29:36 +0900 > > > >溝口 令雄 wrote: > > > > > > > >> ■脆弱性関連情報の届出 > > > >> http://www.ipa.go.jp/security/vuln/report/ > > > >> > > > >> には登録されてますでしょうか? > > > > > > > >してません。もともと私が見つけたときには、すでに本家 Forum に > > > >あがっている情報でしたし、届け出などはするつもりがなかったので > > > >勝手に公表してます。 > > > > > > > > > > > >> JVNで周知されるべきレベルの問題のようにも思います。 > > > > > > > >そうですね。そういうルートでやるのもいいかもしれませんね。 > > > > > > > >JVN で周知されるべきだとの考えに賛同される方のどなたか > > > >お願いします。私はすでにガイドラインにしたがっていないので。 > > > > > > > > > > > >// Kenji > > > > > > > >_______________________________________________ > > > >Codeigniter-users mailing list > > > >Codeigniter-users @ lists.sourceforge.jp > > > >http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > > > > > _______________________________________________ > > > Codeigniter-users mailing list > > > Codeigniter-users @ lists.sourceforge.jp > > > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > __________________________________________________________________ > > __ > > > > > > __________________________________________________Javable.Jp > > > > 溝口 令雄 / Reo MIZOGUCHI > > mizoguchi @ javable.jp > > http://www.javable.jp/ > > > > 〒174-0063 東京都板橋区前野町3-33-1-402 > > Tel & Fax : 03-6318-6858 / K-TAI : 090-8053-0329 > > Skype ID : reomi2002 > > ____________________________________________________________ > > > > _______________________________________________ > > Codeigniter-users mailing list > > Codeigniter-users @ lists.sourceforge.jp > > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users ____________________________________________________________________ From kenji.uui @ gmail.com Sat Mar 20 22:40:58 2010 From: kenji.uui @ gmail.com (Kenji Suzuki) Date: Sat, 20 Mar 2010 22:40:58 +0900 Subject: [Codeigniter-users] =?iso-2022-jp?b?GyRCQmgbKEI1MRskQjJzGyhCUEhQ?= =?iso-2022-jp?b?GyRCSlk2LzJxGyhCQBskQjRYRWwbKEI=?= In-Reply-To: <20100315104125.a97ca01c.kenji.uui@gmail.com> References: <20100315104125.a97ca01c.kenji.uui@gmail.com> Message-ID: <20100320224058.380e92d3.kenji.uui@gmail.com> Kenji です。 On Mon, 15 Mar 2010 10:41:25 +0900 Kenji Suzuki wrote: > 2010年3月27日(土) 14:00〜17:00 に開催される > 第51回PHP勉強会@関東で CodeIgniter 関連の発表が > あります。 > > http://events.php.gr.jp/events/show/93 発表内容が記載されていますね。 CodeIgniterのUnit_testクラスとHMVC(nekoget/40分ぐらい) CodeIgniter1.7とHMVCエクステンション環境での、Unit_testクラスを利用したテストモジュールを作ってみました。現在、どのように利用しているのか等のお話をさせていただきたいと思います。 // Kenji > まだ、発表枠があるようなので、さらに誰か CI に > ついて発表されるといいかもしれません。 > > > // Kenji > > _______________________________________________ > Codeigniter-users mailing list > Codeigniter-users @ lists.sourceforge.jp > http://lists.sourceforge.jp/mailman/listinfo/codeigniter-users