こんにちはこんにちは!!
今日、はてなの人気記事を見ていてこんな記事がありました…!
ちゃんとセキュリティのこと考えてますか・・・!?
『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』
いいんですいいんです! 別にそう思ってるならどうでもいいんです!
でもそんなプログラムをWeb上で公開すんじゃねーよボケと。
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
ふむふむ、PHPで簡単につくっちゃうのは良いけど、
公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね
って記事ですね!
でもぼくは、この記事を読んでも…
なぜXSSがいけないのか
結局よくわかりませんでした…。
いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど…
フォームに入力したHTMLとかJavaScriptが、そのまま実行できちゃう・・・!?
・・・ってことは、悪質なウイルスを仕込んだページに飛ばしたり、
えっちぃサイトをフレームで埋め込んだり、
グロテスクな画像を表示させるとかが簡単に出来ますね!
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
ふむふむ…
えっ、それgeocitiesでもできるよ
よく考えてみてほしい。
ぼくや他の、WEBみてる側の人たちにとって、
「誰かがPHPでつくった (XSS脆弱性のある) WEBサービス」と、
「geocitiesやアメーバブログのようなJavaScriptの設置を許可してるWEBサービス」の
違いって一体なんだろう?
もし前者がダメなのだとしたら、
ぼくはもう、geocitiesもアメブロも、それどころか、
自分以外の人が作ったすべてのページに怖くてアクセスできなくなってしまう。
うーん。
なにが違うんだろうね。
ぼくなりに考えた答えがこれかな…
→ XSSはそのサイトを信頼している人が多いほど脅威になりうる
(リンク先につづく)
※結論を言うと、注意喚起をするのも対策方法を伝えるのも良いことだと思うし、
みんなも余裕があればできるだけ対策した方がもちろん良いんだけど、
だからといって決して「公開するな」ってほどのことじゃない。
(追記)
ブクマコメントで、こういう例えをいただいたけれど…
md2tak 店主が毒盛るのと、客に盛られるのとの違いじゃね?
うん。 その通りではあるんだけど、
閲覧者にとっては、公開したばかりの名も無きサイト運営者(店主)と、他の閲覧者(客)の、危険さはほとんど変わらないんだよね。
だって現実の店とは違って、Webでは5分もあれば誰でも匿名のままサイト運営者になれるのだから。
…詳しくは、続きの記事を読んでみてね!
→ XSSはそのサイトを信頼している人が多いほど脅威になりうる
(リンク先につづく)