個人だから甘いのかな - ぼくはまちちゃん！

あらあら予告inがXSSやられちゃったらしいですね！ 使い古された手法？ いまどきエスケープ処理すらしてなくてダサい？ 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの？」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo

[Hamachiya2]

どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない？予告in通さなくてもそのJS(AS?)ページを大手サイトのリダイレクタでURL偽装して2ch投稿、踏むと自動予告して>>1には同様の罠URLが書いてあって一気に拡散

[showgotch]

コロンブスの卵の話

[hiro_y]

「『いまだ発見されていないもの』に対する対策は難しい」

[suginoy]

「「いまだ発見されていないもの」に対する対策は難しい」

[rawpower521]

あったかいインターネットみっけ。

[g_kuso]

まったくだ

[tyoro1210]

「はてなに至っては、誰だって数十分も探せば新しいXSS脆弱性みつけられるんじゃないかな。」！

[sankaseki]

個人だから甘いのかな - ぼくはまちちゃん！(Hatena)

[vanish_l2]

クロスサイトスクリプティングの勉強をしようと思った。

[konaze]

頑張って潰していこう…

[sirocco]

だからと言ってかばったりするべきのものではないと思う。

[enemyoffreedom]

コストパフォーマンス無視の過剰品質志向に陥りがちではある / まぁネタがネタだけに発覚時には笑ったけど

[myrmecoleon]

「簡単だよーなんて言ってる人たちはすごいね。きっとGoogleとかに話を持ちかければ、びっくりするくらい高給で雇ってもらえるんじゃないかな！」

[totttte]

補足の自動予告のほうがすげえええ

[legnum]

前から思ってるのだけど脆弱性突くようなマネする奴らに指紋とか足跡残させる手法って無いものなの？↑困るような悪い事してないでしょｗいや実際はしてるのか！怖い！

[niceniko]

トラブったおかげで色んな反響があったのはラッキーだと思います。色んな宝になるヒントを投げかけてもらったわけだし。注目されるサービスを運営できた人だけの特権です。

[Itisango]

いろんな意味で俺にはできません。

[usj12262]

おこっている

[minotiiku]

セキュリティ的にミスしてもはまちちゃんに擁護してもらえる世界になってきた。とってもへいわ。

[tailtame]

ヽ(・ω・)ノ

[tsupo]

どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない？ → そうそう、これ、すごいやばいと思う

[kentultra1]

完全は難しくてもある程度まではXSSは容易に防げる。問題は本件が「意外なところで漏れちゃったりしちゃう」類の物かどうか。そうだと決め付けて仕方ないと煽るのは、はまちちゃんがイタズラしたいからじゃ？（嘘）

[adsty]

エンジニアのキモチ。

[ottyanko]

Livedoorニュースなんて真に受けるなよ・・・しかもITエンジニアは匿名と来たもんだ。（新聞記事では、こういう表現の場合、匿名とは嘘で、記者の主観を入れるときに使う手法）

[thesecret3]

PHPには、エスケープ処理などの対策は最初から入れておいてくれ、と言いたくなる。個人がサクサクっと作るためのツールなのだから意識しなくても、安全なコードが書けるようにしておいてほしい。

[t-murachi]

一般論としては同意。特に運用しながら機能を継ぎ足す Web 開発でしかも個人運用では品質保証は難しいと思う。 / 個別具体論については情報が少ないので今はまだ何とも…まぁ少しずつ経験を重ねていけばええんでねーの?

[mi1kman]

id:nihenやid:rnaに同意。/「どうしても対策漏れが出ちゃうよね」という話に持っていくには、もう少し状況が揃ってないと苦しいかな