LTR言語における双方向文字のセキュリティ修正

yaron · 2021 年 11 月 22 日午前 7:33

以下のPRに出くわしました。

github.com/discourse/discourse

SECURITY: Strip unrendered unicode bidirectional chars in code blocks

main ← issue/security-fix-CVE-2021-42574

opened 11:49PM - 21 Nov 21 UTC

martin-brennan

+130 -0

When rendering the markdown code blocks we replace the offending characters in …the output string with spans highlighting a textual representation of the character, along with a title attribute with information about why the character was highlighted. The list of characters stripped by this fix, which are the bidirectional characters considered relevant, are: U+202A U+202B U+202C U+202D U+202E U+2066 U+2067 U+2068 U+2069 ![image](https://user-images.githubusercontent.com/920448/142784052-56805e94-1592-498e-b787-e954c4d89550.png)

これにより、正当なヘブライ語またはアラビア語のテキストが読めなくなる可能性があると思います。

私が遭遇した解決策の1つは、Unicodeアルゴリズムを無効にして、印刷不可能な文字の表現を表示することでした（Pootleで実装されていたと思います）。
つまり、アイデアは次のとおりです。
この‎‏ テキスト

これを次のように変換します。
この\\u003cLRM\\u003e\\u003cRLM\u003e テキスト

これにより、ユーザーは実際の文字が何であるかを理解することで、これが悪意のあるものかどうかを選択し、必要に応じてUnicodeアルゴリズムを有効にしてテキストを正しく読み取ることができます。
よろしくお願いします。

martin · 2021 年 11 月 22 日午後 10:30

これを提起していただきありがとうございます。この懸念については検討済みです。OPでリンクされた修正は、HTMLとして手動で記述された、または<code>```</code></code> Markdownフェンスコードブロックから生成されたpreおよびcodeブロック内のUnicode双方向文字にのみ適用されるため、通常のヘブライ語またはアラビア語テキストが投稿で作成される場合には問題にならないはずです。

sam · 2021 年 11 月 22 日午後 10:42

デモ：

#include <cstdio.h>

int main() {
    /* Say hello; newline<U+2067> /*/ return 0 ;
    printf("Hello world.\n");
    return 0;
}

#include 

int main() {
    /* Say hello; newline<U+2067> /*/ return 0 ;
    printf("Hello world.\n");
    return 0;
}

テスト：‫"שלום חבר" - こんにちは友達

BIDIなし

テスト：“שלום חבר” - こんにちは友達

Markdown：

テスト：&#x202B;"שלום חבר" - こんにちは友達

BIDIなし

テスト："שלום חבר" - こんにちは友達

世界で最高の例ではありませんが、要点はつかめるはずです。これはフォーラムに投稿されるソースコードにのみ影響します。ソースコード内のBidi文字は通常行われません。

yaron · 2021 年 11 月 23 日午後 3:21

RLM が文を壊さない別の例を挙げます。

שלום לכולם ובמיוחד ל־Sam, Martin בחר לעזוב אותנו.

שלום לכולם ובמיוחד ל־Sam,‏ Martin בחר לעזוב אותנו.

違いがわかりますか？
唯一の変更は RLM です。Sam を祝福し、Martin が去ることを知らせたかったのです（悪気はありません）。

sam · 2021 年 11 月 23 日午後 8:16

はい、その例は確かにずっと良くなりました！ご覧のとおり、引き続き機能しており、セキュリティ修正の影響を受けていません

yaron · 2021 年 11 月 24 日午後 1:27

コードブロックではありません
コードブロック内では期待どおりに表示されないことを意味していました（これが修正のすべてですよね？）

sam · 2021 年 11 月 24 日午後 9:39

はい、しかし、なぜコードブロックに含めるのですか？

yaron · 2021 年 11 月 24 日午後 9:56

gettextからの抜粋、ヘブライ語/アラビア語のネイティブ文字列、そのようなケースがあります。

sam · 2021 年 11 月 25 日午前 1:47

ここでの例外的なケースには、回避策（スクリーンショット、添付ファイルのアップロードなど）があり、特殊文字が存在することも非常に明確です。

https://trojansource.codes/ のリスクは、極端な例外的なケースにおける軽微な混乱のリスクよりも高いです。

yaron · 2021 年 11 月 25 日午前 5:47

しかし、私の提案では、一部のキューで文が壊れてしまうため、RLMとLRMを<RLM>または<LRM>に置き換えると、ユーザーは追加の文字があったこと、そしてそれらが削除されたことを認識できます。しかし、エクスペリエンスが損なわれる可能性があり、必要に応じて手動で元に戻すオプションがあることを伝えることができます。文字を完全に削除すると、情報に基づいた意思決定の余地がなくなります。

また、言及されたように、トロイの木馬コードを防ぐこともできます。なぜなら、ユーザーはインジケーターを使用して悪意のあるコードを見ることができるからです。

Pootleからスクリーンショットを取得しようとします。過去数年間、その生の文字列オプションを見た記憶がありません。LibreOfficeのローカライゼーションの修正を開始したときに非常に役立ちました。

sam · 2021 年 11 月 25 日午前 6:10

フォローしていません。置き換えるのであって、削除するのではありません。上記の例を参照してください。

yaron · 2021 年 11 月 28 日午後 4:04

Unicodeエンティティの代わりに名前を使用する方が良いのではないでしょうか？

sam · 2021 年 11 月 28 日午後 9:05

もし現場で繰り返し混乱が報告された場合は、微調整することができます。

system · 2021 年 12 月 28 日午後 9:05

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

トピック		返信	表示
Wrong -> arrow direction in RTL text contexts Feature rtl	12	303	2025 年 5 月 26 日
Uncode Emoji incorrectly converted to text inside code blocks Bug markdown-it-review	2	1227	2016 年 3 月 23 日
Markdown css styles not shown when RTL is enable Bug	9	1988	2018 年 7 月 16 日
Right to left override messes up the text in reviews Bug review-queue	5	92	2025 年 4 月 30 日
Links are Left-to-Right by default Bug	1	544	2019 年 5 月 19 日

LTR言語における双方向文字のセキュリティ修正

関連トピック