ぼくはまちちゃん!
slashdotによるとはてなにXSS脆弱性があり(すでに対応済み)、それを利用しJavaScriptによるトラップがはてな日記に仕掛けられたとのこと*1。
の条件を満たすと
ぼくはまちちゃん!
こんにちはこんにちは!!
などと勝手に日記に書かれてしまうという。トラップへのリンクも埋め込まれていたためワームのように感染してしまったようだ。
早速はてな側で対策がされ終息したようだが、IEってどうなの?と改めて思う。
XSS脆弱性は指摘されてからすでに時間が経つが未だになくならないなぁ。「サニタイジング」という表現の是非はあるものの基本的なコーディング時の技能としてユーザ入力値の使用制限を徹底して行わないといけないのだな。学習時にこの点教えられた記憶は無いけれど。
- 作者: 山田祥寛,萩原佳明
- 出版社/メーカー: 翔泳社
- 発売日: 2006/01/18
- メディア: 単行本
- 購入: 3人 クリック: 51回
- この商品を含むブログ (36件) を見る
気軽に読めそうだしこれは良さそうだ。
そういえば先日もはてなツールバーに欠陥があったな。がんばれはてな!
#「ぼく」はハマチなのかマチ(松?)ちゃんなのか、どっちかな?
#ハマチヤなのか。