タグ

XSSに関するtakkan_mのブックマーク (1)

  • ブログサービスの設計思想とユーザ側の制約

    はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け

    takkan_m
    takkan_m 2006/02/05
    性善説的考え。たしかに、スクリプトの制限はきついよなぁ。サービスを考えるときに、javascriptが使えないと不便。
  • 1