Skip to content

今後発生する可能性がある悪意のあるスクリプト実行への対策について #518

Description

@shine-star

変数に関して拡張が行われ、さまざまなゲームシステムを利用できるようになりました。
今後もいろいろな拡張がされると思います。その際、自由度が高まると同時にセキュリティも気にする必要が出てきます。
今後の更新の際に、セキュリティとして気にしないといけない箇所をまとめるためにIssueを立てさせていただきました。

今後文字列変数を実装する場合が主たるセキュリティリスクです。

URLゲートに文字列変数を許諾すると、他のサーバーにパラメータを送信することが可能になります。
もし自由にブラウザの変数を取得できる状態(あるいはバグが混入)していた場合、
攻撃を受けている人のCookieからSessionIDを取得し、URLゲート経由で攻撃者のWebサーバーに送信することでセッションハイジャックが可能となってしまいます。

HTMLタグなどが間に入っていた場合で正常にデコードされていないばあい、DOMが書き換えられてしまいます。

無限ループなどを実行してブラウザを重くする攻撃などもありえます。

Metadata

Metadata

Assignees

No one assigned

    Labels

    No labels
    No labels

    Type

    No type

    Fields

    No fields configured for issues without a type.

    Projects

    No projects

    Milestone

    No milestone

    Relationships

    None yet

    Development

    No branches or pull requests

    Issue actions