今やってる案件で、セキュリティ対策方針みたいなのを決めているところなんですが。いろいろ調べてると CSSXSSを改良した?手法でmixiのpost_keyを抜き取るデモを作りました - ?D of K というページが出てきて。これは本質的には IE の脆弱性についての言及なんですが、トラックバックやコメントを見ても「MS に報告した」とか「修正された」とかいう情報が見当たらなくてずいぶん振り回されてしまったのでそのお話。 結論としては、MS10-071 で対策済みなので、ちゃんとパッチを全部あてている IE では気にしなくていい話のようです。 CSSXSS について 2006 年くらいに流行った IE6 の脆弱性を突いた攻撃手法です。概要としては、 CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは − @IT こちらが図も載っていてわかりやすいです。 この脆弱性は CSSXSS