トラックバック内容: » MyMiniCityを楽しむためのGMスクリプト+α from We Ain't Seen Nothin' Yet.
to-Rさんで公開されている MyMiniCity のコメントユーザ名をそのユーザの街へのリンクに変更するぐりもんを改良してみました．コメントとかもらっ...; トラックバック時刻: 2007年12月19日 20:32; » [プレイ日記][Web]　MyMiniCity from 今日のゲーム
　 →MyMiniCity 　「箱庭諸島２」（プレイ日記）好きとしては非常に惹かれるWebサービス。訪問者数に従って、自分の都市がどんどん成長してい...; トラックバック時刻: 2007年12月20日 10:57

コメント

初めまして。
このスクリプトにちょっとセキュリティ上の懸念があります。このコメントは承認せずに削除するか、修正後に承認してください。

【内容】
MyMiniCity の Nickname 欄に入力されたコメント者のハンドルを適切にサニタイズしないことにより、myminicity.com 以外のサイトへ誘導するリンクが生成されてしまいます。これによってユーザを不正なサイトへ誘導することができてしまいます。

【解説】
author に入る値は、既に myminicity.com によって HTML 用にエスケープされていますが、URL のドメイン名としてはエスケープされていません。したがって、例えば google.com/ という Nickname の場合、Google の URL がリンク先になってしまいます。

【対策】
""
という箇所を
""
とするとよいでしょう。

投稿者:OKAMURA | 2007年12月21日 15:08

＞OKAMURAさん

コメントありがとうございます。

MyMiniCityは投稿者名の「.」もスペースに変換しているので大丈夫じゃないかなとか思ってますがどうでしょう？

せっかく対策まで書いていただいたようですが、htmlの関係で消えてしまってるようで・・・・

セキュリティ上の懸念あるようでしたらご教授よろしくお願いいたします。

投稿者:西畑一馬 | 2007年12月23日 01:25

MyMiniCity で変更がありましたね。
現在はおっしゃるように "." が SP に変換されています。コメントとしてはそうする必要がないので恐らく、実際に他所に誘導されるケースがあったのかもしれません。(spam の防止の可能性の方が高いと思いますが)
というわけで今はコメントした懸念はないと思います。

念を入れて確実にするには author 変数に encodeURIComponent をしてからリンクに使用するといよいでしょう。

投稿者:OKAMURA | 2007年12月25日 09:34

今のところは myminicity.com のみがターゲットとなっていますが、
おそらく同じユーザデータソースを使った .es と .fr のccTLDを使ったサイトが
立ち上がっていますが、そちらのほうへの対応はどうされます?

投稿者:ko-chan | 2007年12月27日 18:53

＞OKAMURAさん

問題ないってことですよね。
今後のもしものためにurlエンコードの処理も尽かしておきました。
ありがとうございます。

＞ko-chanさん

.es と .frにも対応しました。

投稿者:西畑一馬 | 2008年1月 4日 18:17