一部のセキュリティ専門家の認識と対策レベルのギャップ ――XSSは本当に煽られすぎているか? - 地の底世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT という記事を読んで、不安になった。 この記事を真に受けて、事前の対策より 「やられてしまったら営業担当者1人に謝罪に行かせ」 る方を選ぶサービス提供者が出て来たらどうしよう? 利用者にも、 「脆弱性があっても大事には至らないものらしい。 専門家が煽りすぎだと言うんだからそうなんだろう」 なんて安心してしまう人がでてきてしまったりはしないかな? まずは、本当に今が 「そろそろ終わりにしなければなりません」 と啓蒙しなければいけないほど、 「XSS をあおりすぎ」 で、XSS 対策に 「過剰に投資」 している時代なのかどうか、検討しないと。 というわけで、以下は参考情報。 <表1>最近一ヶ月以内に、XSS脆弱性の存在を確認したサイトの一部 ※注意 あくまで 「脆弱性って、ほんとにどこにでもあるんだね」 程度に認識してもら
