福冨諭の福冨論

RSSリーダーではこちらをどうぞ→https://feeds.feedburner.com/fuktommy

それはXSS脆弱性とは言わないのでは?

ブログサービスの XSS 脆弱性対策はいらないより:

ごく簡単に説明すれば、XSS 脆弱性とは、任意のスクリプトが利用できるという問題。 それがなぜ問題かというと、スクリプトは悪用もできるから。 しかし XSS 対策をすると、 スクリプト自体が使えなくなってしまうことに注意しなければなりません。

この文章の意図するところは「はてなダイアリーは(scriptタグなどによる)JavaScriptを使えるようにしてくれ」という話なんじゃないですか?  はてなのサービスはユーザがJavaScriptを設置できないように設計されているわけで、 その制限をかい潜るテクニックのことをXSSというのだから、 はてなが意図した範囲でJavaScriptを設置するならXSSとは言わないと思います。

はてなが意図した範囲というのは例えば 「http://d.hatena.ne.jp/fuktommy/ には id:fuktommy だけがJavaScriptを設置できる。コメントにscriptタグを書いても無視される」など。 ところが実際にコメントにscriptタグを書いてみたら有効になっちゃった、とすると、 ここで初めてXSS脆弱性と呼ぶわけでして。

ブログサービスの XSS 脆弱性対策はいらない−のか?より:

XSSは誰がブログに記事を書いたのかをわからなくします。はまちちゃんが被害者の日記に好き勝手に書いていることからも自明です。XSSを許容するブログでは(特定の種類ですが)、個人の識別を破壊されるでしょう。

これは「コメントにscriptタグを書いてみたら有効になっちゃった」というのはまずいでしょ、という話ですよね。 普通XSS脆弱性といえばこういうことだと思うんですけど。

「ブログサービスが XSS 脆弱性対策と呼んでいる「ソレ」はいらない」 とでも読み替えておくことにします。