こめんと(2006-04-02) CSRF と CSSXSS に関する議論について■ [Security] CSRF と CSSXSS に関する議論について (3/30の続編) 思いっ切り一時 Slashdottedでした (^^;。 自前サーバの耐久性低くて済みません>読者のみなさま。 # FastCGI のおかげで、tDiary の負荷が上がってもシステム運用には影響出てなくて、 復旧もそんなに大変じゃない辺りはいい感じなんですけど、tDiary 自体は割とすぐ重くなりますね……。 随分と CSSXSS*1 のIEのバグ挙動の性質が整理されてきたようです。 そうは言っても所詮IE6の実装バグに起因する挙動なんで、性質を推定しても それが本当に正しいのかは観察の積み上げというレベルでしかわからないという嫌な状況ではあります。 元々の30日の原稿、 CSSXSS 自体の性質にはあまり踏み込まず、 一般的に「他ドメインのページからデータの読み取りが可能な脆弱性がブラウザに
