ぼくはまちちゃん！(Hatena)

個人だから甘いのかな

あらあら予告inがXSSやられちゃったらしいですね！

使い古された手法？
いまどきエスケープ処理すらしてなくてダサい？

関連の記事に対して、はてなブックマークでも色々言われていたり、
http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1

ニュースサイトでも、こんな煽り記事を書かれていたりするけれど…

今回の件についてIT企業に勤めるエンジニアに聞いてみると、
「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの？」
と語る。

予告inセキュリティ脆弱性を狙ったコード!?　「予告in開発者は素人」
http://news.livedoor.com/article/detail/3759632/

それってどうだろうね。

GoogleやAmazonにも、しょっちゅうXSSやその他の脆弱性が見つかっているんだよ。
大金を投じて、世界最高の技術者をたくさん集めて、セキュリティの専門チームなんかもあるだろうね。
そう「みんなが信頼してるインターネットのすごい大企業」ですらそうなんだよ。

前にも書いたけど、みんなの大好きな遊び場であるはてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。

それほどセキュリティホールを完全につぶすのは難しい。

たしかに対策は簡単だよ。すでに見つかった脆弱性に対する対策はね。
それこそ、なんでこんなことすらしてなかったの？って思うくらいに。

だけど「いまだ発見されていないもの」に対する対策は難しいと思うよ。
それは「ただのエスケープ処理程度が」にしてもなんだ。
全て塞いでいるつもりでも、意外なところで漏れちゃったりしちゃうんだね。

簡単だよーなんて言ってる人たちはすごいね。

きっとGoogleとかに話を持ちかければ、びっくりするくらい高給で雇ってもらえるんじゃないかな！
あ、なるほど！ だからみんな英語がメキメキ上達しちゃうようなすごいライフハック的なよみものが大好きなのか！
あとは英語さえできればGoogleに即採用だもんね！ みんな超すごいです＞＜

(追記)

どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない？予告in通さなくてもそのJS(AS?)ページを大手サイトのリダイレクタでURL偽装して2ch投稿、踏むと自動予告して>>1には同様の罠URLが書いてあって一気に拡散

はまちや２のはてなブックマーク
http://b.hatena.ne.jp/Hamachiya2/20080804#bookmark-9535832

(参考リンク)

• http://headlines.yahoo.co.jp/hl?a=20080804-00000032-zdn_n-sci
• http://www.itmedia.co.jp/news/articles/0808/04/news021.html
• http://yokoku.in/column/release/080803.php
• http://blitznews.blog97.fc2.com/blog-entry-1249.html
• http://digimaga.net/internet/200808/yokoku-in-takes-cross-site-scripting-attack.html
• http://apusoku.blog82.fc2.com/blog-entry-465.html
• http://protonews.blog27.fc2.com/blog-entry-34.html
• http://anond.hatelabo.jp/20080803041213
• http://news24.2ch.net/test/read.cgi/liveplus/1217704275/1-100
• http://namidame.2ch.net/test/read.cgi/news/1217700863/

ツイートする

Permalink | コメント(6) | トラックバック(0)