T

Suhosin0.9.21

Suhosin0.9.21が出ている。

今回追加された機能の中で作者が強調しているのは以下の二つ(抄訳):

suhosin.server.strip
デフォルトでオンになるこの機能は、$_SERVER変数のPHP_SELFとPATH_TRANSLATEDに「< > ‘ ” `」が含まれているかどうかをスキャンして「?」に置き換えます。多くのPHPアプリケーションでこれらの値があっても汚染されていないと見なしているわけで、これによりXSS脆弱性の多くを防ぐことが出来ます。

suhosin.server.encode
デフォルトでオンになるこの機能は、$_SERVER変数のREQUEST_URIとQUERY_STRINGに「< > ‘ ” `」が含まれているかどうかをスキャンします。これらの値は全て通常は送信される前にブラウザによってエンコードされるため、多くのアプリケーションではREQUEST_URIやQUERY_STRINGは安全と見なされています。しかし、Internet Explorerのようなブラウザではこれらの値はエンコードされず、多くのXSS脆弱性を引き起こします。Suhosinはこれらの変数の値をURL-Encodingすることでアプリケーションを防御します。

ううん、マルチバイトの扱いとかが気になるところか。それに、単純に置き換えられてしまうと支障のあるケースも多いので、最適な解決とは言い難い面もある。作者もアイデアを募集している。

Posted by on 12月 1, 2007 in PHP, Security

コメントを残す