ただのにっき(2006-02-05): ブログサービスの XSS 脆弱性対策はいらない
■ ビデオの消化が追いつかない タイトルつけるのにすげー悩んだ。「HDDレコーダで録画したデータ」って、短く言うとなんなんだろう? まぁいいや、「ビデオ」で。 とにかく半年ぶりにまともな録画環境が復活したし、こんどのはちゃんとEPGが使えるので、目についた映画やらドキュメンタリーやらをかたっぱしから予約していたら、完全に見るスピードを超えてしまった。そうか、みんなこれで困っていたのだな(いまさら)。 というわけで、コタツでノートPCに向かいながら、だらだらと見続ける週末。ただ、平行してプログラミング……というわけにはいかない。集中できないから。これで連続ドラマを観る習慣があったら生活がなりたたんな。もっともアニメ世代なので、今まで観ていた『エウレカセブン』に加えて、アニメはいくつか。 最近J:COMで再放送が始まった『ケロロ軍曹』は、どっちかつーとかみさんがはまっていて(ギャグの元ネタは半
ブログサービスの設計思想とユーザ側の制約
はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け
ysk-style memo: ブログサービスの XSS 脆弱性対策はいらない
http://deztec.jp/design/06/02/05_xss.html 面白い指摘。そういう視点もあるか。 でも、はてなの方針としては「そういうのがやりたい人は他でやってくれ」って感じなんだろうね。 他のblogサービス見てても、一長一短でどれがどういう特徴あるのか分からないよね。それに対して、はてなは「はてなっぽさ」を出すことで他のblogサービスとは違う特徴をうまく出してる。他のblogサービスとは明らかにちがうじゃない?それがはてなユーザーを取り込むことに成功してると思うんだ。もちろん、私も取り込まれた一人ね。 性善説に頼るのが現実的かどうかはさておき、面白い視点でみてるなーって思った。 技術的な見地から、ひとつ突っ込んでみる。 ていうか、レンタルサーバサービスの類が XSS 脆弱性を気にしていたなんて話は聞かないのに、なんでブログサービスとなると、気にする会社が出てくる
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
