■ブログサービスの XSS 脆弱性対策はいらない−のか? 発端 ブログサービスの XSS 脆弱性対策はいらない::はてなブックマーク ブログサービスの XSS 脆弱性対策はいらない::備忘録2006-02-05::趣味のWebデザイン (2006/02/08:内容が大幅に変更されています。当初批判した徳保さんの記事の一部分についてはたまたま2/6に、参考文献として、ほぼ全文引用してありましたので御参照下さい。) 徳保さんはHTMLやCSSを初心者に教えていらっしゃるのですから… HTMLやCSSを自サイトで初心者に教えていらっしゃる徳保さんが、よもやこのようなことを仰るとは思いませんでした。影響力が大きい徳保さんだけに憂いを感じます。 ブログは自由な個人の情報の発信基地 XSSは誰がブログに記事を書いたのかをわからなくします。はまちちゃんが被害者の日記に好き勝手に書いていることからも自明で
はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
