変数に関して拡張が行われ、さまざまなゲームシステムを利用できるようになりました。
今後もいろいろな拡張がされると思います。その際、自由度が高まると同時にセキュリティも気にする必要が出てきます。
今後の更新の際に、セキュリティとして気にしないといけない箇所をまとめるためにIssueを立てさせていただきました。
今後文字列変数を実装する場合が主たるセキュリティリスクです。
URLゲートに文字列変数を許諾すると、他のサーバーにパラメータを送信することが可能になります。
もし自由にブラウザの変数を取得できる状態(あるいはバグが混入)していた場合、
攻撃を受けている人のCookieからSessionIDを取得し、URLゲート経由で攻撃者のWebサーバーに送信することでセッションハイジャックが可能となってしまいます。
HTMLタグなどが間に入っていた場合で正常にデコードされていないばあい、DOMが書き換えられてしまいます。
無限ループなどを実行してブラウザを重くする攻撃などもありえます。
変数に関して拡張が行われ、さまざまなゲームシステムを利用できるようになりました。
今後もいろいろな拡張がされると思います。その際、自由度が高まると同時にセキュリティも気にする必要が出てきます。
今後の更新の際に、セキュリティとして気にしないといけない箇所をまとめるためにIssueを立てさせていただきました。
今後文字列変数を実装する場合が主たるセキュリティリスクです。
URLゲートに文字列変数を許諾すると、他のサーバーにパラメータを送信することが可能になります。
もし自由にブラウザの変数を取得できる状態(あるいはバグが混入)していた場合、
攻撃を受けている人のCookieからSessionIDを取得し、URLゲート経由で攻撃者のWebサーバーに送信することでセッションハイジャックが可能となってしまいます。
HTMLタグなどが間に入っていた場合で正常にデコードされていないばあい、DOMが書き換えられてしまいます。
無限ループなどを実行してブラウザを重くする攻撃などもありえます。