• @niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施（ITPro）

@niftyの掲示板の設計がまずかったために、他人のIDおよびパスワードを盗むことができてしまうという話。問題になったのは下のページで指摘があったのがきっかけのようですが、これを読む限り問題の根は深そうです。

• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/18/0058005300535927738b
• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b305d306e5f8c
• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b30fb30553089306a308b30db30a530eb
• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b30553089306b305d306e5f8c
• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/24/0044004f004d4e076b7300280058005300535927738b30643065304d0029
• http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/25/0058005300535927738b005100260041

このようなクロスサイト・スクリプティング脆弱性は、何年も前から様々なサイトで発見されており、攻撃方法を知ることも容易な状況です。したがってこの脆弱性があった場合、すぐに対処する必要があります。対処方法は、下のページあたりが参考になると思われます。

• http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html
• http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/

どうしてこのようなことを書くかというと、将棋関係のサイトでもこの問題は無縁ではないからです。例えば、えーと、いや何でもありません。

（26日追記）@nifty掲示板に重大なXSS脆弱性が発覚（スラッシュドット ジャパン）も参照のこと。