|
「楽天トラベル」クロスサイト・スクリプティングの脆弱性について |
|
■クロスサイト・スクリプティング問題への対処について
「楽天トラベル」では、ご利用者の皆様が悪意ある第三者からの攻撃にさらされることを未然に防止するため以下の対応を行います。安全にご利用いただけるための制限でございますので、ご理解頂きますようお願い申し上げます。
■制限される入力情報
「 < 」「 > 」などといった特殊文字を予約情報や、掲示板などのサイト内で入力可能な項目に使用することを禁止しました。これらの文字を含んだ項目を入力しようとした場合には、警告を表示し入力を受け付けません。
■クロスサイト・スクリプティング問題
サイト内で動的に生成されるページに悪意ある第三者が <SCRIPT>、<OBJECT>、<APPLET>、<EMBED> 等のスクリプティングタグを埋め込み、サイトに書かれているスクリプトを別のサイトへとまたがって(クロスして)実行することによって、利用者が攻撃を受ける危険が指摘されています。
クロスサイト・スクリプティングと呼ばれるこの脆弱性によって、利用者のブラウザに保存されているCookieが漏洩する可能性があるほか、様々な問題が引き起こされるかもしれません。
「楽天トラベル」では、Cookieを「個人ページ」で使用していますが、現在Cookieだけで認証は行っておりません。
2002年5月27日現在、クロスサイト・スクリプティングによる被害の報告はございませんが、この問題に対処して将来にわたり皆様に安心してご利用いただくことといたしました。
■この問題に関する詳細について
情報処理振興事業協会セキュリティセンター
Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報
http://www.ipa.go.jp/security/ciadr/20011023css.html
※クロスサイト・スクリプティングによる被害がありましたら、
こちらまで至急ご連絡をお願いします。
|
|