サニタイGIF敗れたり?

セキュリティ

LL魂の感想の続きで、竹迫良範さんのサニタイGIF↓凄いなあ、
LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labs
みたいな事を書こうと思っていたら、あっさり破る方法が↓登場。
http://www.tokumaru.org/d/20070807.html


とりあえずの対処法はあるものの、サニタイズという形で対処する限り、
どうしても、いたちごっこになってしまうのだそうです。


で、この場合の本質的な対策って何なんでしょうね。
JPEG圧縮や再エンコードなんですかね。
あんまり重たすぎたら本質的な解決策ではあっても、
現実解にはならないんじゃないかという気もします。

2007/08/08追記

元の防御コードに記述ミスがあっただけで、
修正版ではまず破れないみたいです。


正式リリースまではまだいくらかかかるでしょうし、
徳丸さんも↓こんなこと言ってますし、

現実的な対策としてはmod_imagefightは有効だと思います。ただ、この手法が、画像ファイルのXSS対策の決定版になるかどうかは、もう少し検証が必要だと思いますので、引き続き検討したいと思います。

今後どうなっていくか注目していきたいです。