待ちに待った「フォーサーズシステム」に舞い上がって書き忘れたかなり重要な話。@niftyがプッシュしているWebフォーラムにクロスサイトスクリプティング(XSS)のセキュリティホールがあったあるそうな。
この問題はCookie・パスワード等の情報漏洩、セッション乗っ取りの危険性がある致命的な問題であり、特にSSLセッションにまで影響すると言う凶悪かつ特大な事例は過去最悪のXSSと言える。
なお@niftyはhttp://com.nifty.com/forum/index.htmlにおいて
いつもWebフォーラムをご利用いただきましてありがとうございます。という記載をしているが、これを読んだところで事の重大さはこれっぽっちも伝わって来ない。不用意にユーザーを怖がらせろとは言わないが、どんな危険性があったのかは明らかにする責任があると思う。
本日(6/20)より「掲示板でのタグの使用」を一時的に休止とさせていただきます。
上記機能を利用すると、自由にhtmlタグを記述することが可能ですが、悪意をもって利用した場合、発言者のやり方によっては、掲示板利用者に被害がおよぶ可能性があるため、対策を行うことといたしました。
対策を行う間、機能を一時的に休止させていただきます。ご迷惑をおかけし、申し訳ございません。
なお、既に登録されている発言でタグが利用されていた場合には、タグがそのまま表示されることとなりますのでご留意ください。
昨年8月に導入したWebフォーラムが今になって問題になったのは、「XSS大王さらにその後」で指摘されているように「気が付かなかった…」という事では無く「問題の重大性を理解していなかった」という事だろう。しかし「実害があったかどうかの確認が為されていない」という現状も考えると、運用管理者たる@niftyの未熟さが一番の問題のように思う。
エンドユーザーにとっての「便利なWeb」というのは、裏を返すとこういう危険性がある熟成途上な技術であるという事を覚悟しておかなくてはならない、と言わざるを得ないのは技術者の端くれとしては悲しい現実だ。
その一方で、何となくWebフォーラムに近づかなかったというのは我ながら『カンが冴えてるな〜』と思うのであった。
【参照】
●日経IT Pro
-@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」,緊急メンテナンスを実施 2003年6月23日
●えび日記
-「XSS大王」 2003年6月18日
-「XSS大王その後」 2003年6月23日
-「XSS大王・さらなるホゥル」 2003年6月23日
-「XSS大王さらにその後」 2003年6月24日
-「DOM万歳(XSS大王つづき)」 2003年6月24日
●IPA 情報処理振興事業協会
-Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報 2001年10月23日