2003年06月26日
@niftyにセキュリティホール |
続けて出社日。 今日のバイト君フォローのため9:30出社。 作業はおおむね順調。バイト君も意欲のある方なので苦労せずすんでいる。
数日前に@niftyのwebフォーラムにクロスサイトスクリプティング(XSS)の脆弱性が公表された。 タグを利用可としているのはいいのだが、スクリプトを実行可能な仕様で長期間放置してきたことは問題だ。 実害はないというが本当だろうか。 しばらくの間タグを利用不可として修正後再びタグを利用可能にするというが、昔からニフティの対応はいいかげんで有名だ。今回も小手先の改修で事なきを得るつもりだろう、という見方が優勢だ。
@niftyには友人知人がいるので書きづらいが以下あえて警鐘。
だが問題はwebフォーラムだけではない。*.nifty.comドメイン以下でCookieが盗まれてしまう別の問題がある。セション情報を盗まれればいわゆるなりすましが可能となり、2次的な問題が引き起こされる可能性が極めて大きい。
基本設計で手を抜いたと察するが大手プロバイダとしてはあまりにお粗末である。 わしは今月に入って初めてwebフォーラムを利用したが、そのインフラやデザインは有料サービスとは思えぬ貧相なもので、正直「この程度か」と思ってしまった。 フォーラムによっては設定次第でかっこよく作れるのかもしれないが、ほかのフォーラムを見ていない(見るのが面倒)なので不明である。 もっとクールで高機能なシステムはいくつもあるし、多くはフリーだ。
もっとも、webフォーラムの真髄はコンテンツなので、インフラについては重要視していないのかもしれない。
2008:
投稿者 onsenfan [ NEWSニュース , PC・インターネット ] : 2003年06月26日 00:00
この記事が役に立った/おもしろいと思ったら、ワンクリックで応援お願いします
トラックバック
このエントリーのトラックバックURL:
http://blog.odorokutamegoro.com/cgi-bin/mt/mt-tb.cgi/1220_0701401762014