http://deztec.jp/design/06/02/05_xss.html

面白い指摘。そういう視点もあるか。

でも、はてなの方針としては「そういうのがやりたい人は他でやってくれ」って感じなんだろうね。

他のblogサービス見てても、一長一短でどれがどういう特徴あるのか分からないよね。それに対して、はてなは「はてなっぽさ」を出すことで他のblogサービスとは違う特徴をうまく出してる。他のblogサービスとは明らかにちがうじゃない？それがはてなユーザーを取り込むことに成功してると思うんだ。もちろん、私も取り込まれた一人ね。

性善説に頼るのが現実的かどうかはさておき、面白い視点でみてるなーって思った。

技術的な見地から、ひとつ突っ込んでみる。

ていうか、レンタルサーバサービスの類が XSS 脆弱性を気にしていたなんて話は聞かないのに、なんでブログサービスとなると、気にする会社が出てくるのか。

ここの文脈で言う「ブログサービス」は、はてなのことね。

他のレンタルサーバや、他のブログサービスは明確に管理用URLと一般用URLがきちんと分けられてるんだよね。livedoor blogやseesaaなんかでは、ドメインまで分けてる。だから、管理用ページにアクセスするためのcookieには、一般用URLからではどうやっても見ることが出来ないわけだ。XSSされても、管理用ページへの抜け道は見つけられない。

でも「はてな」では、管理用ページにアクセスするためのcookieを*.hatena.ne.jp全体でアクセス可能にしてる。だから、一般用URLから管理用cookieを見ることが出来てしまって、それが問題なわけだ。つまり、XSSされる＝管理権限奪取、になってしまうと。

普通のユーザの視点で見ると「ただの欠点」なのかもしれないけど、技術的にはこういった理由があってXSSの脅威が他のblogサービスに比べて著しく高いからscriptを許可できない、という事情があるのが難しいところ。