確認画面の出力に関して
緑川さん (2014-03-29 04:57:34) www.studio-gr.com/
和田様
いつもお世話になっております。
実は3年程前に納品後なんの音沙汰もなかったクライアントから、メールフォームのクロスサイトスクリプティング対策についての問い合わせがきてしまいました。
プライバシーマークの取得で監査が入ったため慌てて問い合わせをしてきたようです。
3年前の事なので使用したメールフォームプロは2.1.4位だったと思うのですが、3年前のスレッドで和田様がセキュリティに関しての質問に
・SQLトランザクション、SQLインジェクション → 使用していない
・クロスサイトスクリプティング・XSS → 受け取った情報をHTML出力していない
・sendmailインジェクションへはサニタイジングで対応済み
上記3点をお答えになっていたので、クライアントに最低限のセキュキュリティはしている事、確実な答えが欲しい場合は業者に頼んでほしい事を合わせて伝えました。
ところがまた問い合わせが来て、どうも監査担当者者から「確認画面があると言う事はHTMLを生成してるはずでしょう」と言われたらしいのです。
この点どのように返答すればよいのでしょうか。
サポート外の事を質問しているのは重々承知なのですが、教えていただけないでしょうか…。
お忙しいところ大変申し訳ございませんが、よろしくお願いいたします。
※URLはクライアント先ではありません。
確認画面の出力に関して(追記)
緑川 香さん (2014-03-31 11:32:37) www.shinwa-art.com/jp/sell/assessment/assessment.html
URLの有料でカスタマイズしていただいた、画像添付機能付きのメールフォームに関しても同様の問い合わせが来ました。
同じバージョンでカスタマイズしていただいたと思うので、よろしくお願いいたします。
Re:確認画面の出力に関して
和田 (2014-03-31 20:57:43) www.synck.com
確認画面に関してはサニタイジング処理を行っている上にDOM(Javascriptのみ)で処理しているため、「受け取った情報」ではありません。
というような回答で大丈夫でしょうか?
Re:確認画面の出力に関して
緑川さん (2014-04-01 17:32:15) www.studio-gr.com/
和田様
ご回答ありがとうございます!!
上記の回答をクライアントに伝えます。