@nifty掲示板に脆弱性
@niftyの掲示板の設計がまずかったために、他人のIDおよびパスワードを盗むことができてしまうという話。問題になったのは下のページで指摘があったのがきっかけのようですが、これを読む限り問題の根は深そうです。
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/18/0058005300535927738b
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b305d306e5f8c
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b30fb30553089306a308b30db30a530eb
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/23/0058005300535927738b30553089306b305d306e5f8c
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/24/0044004f004d4e076b7300280058005300535927738b30643065304d0029
- http://altba.com/bakera/hatomaru.aspx/ebi/2003/6/25/0058005300535927738b005100260041
このようなクロスサイト・スクリプティング脆弱性は、何年も前から様々なサイトで発見されており、攻撃方法を知ることも容易な状況です。したがってこの脆弱性があった場合、すぐに対処する必要があります。対処方法は、下のページあたりが参考になると思われます。
- http://www.ipa.go.jp/security/awareness/vendor/programming/a01_02.html
- http://securit.etl.go.jp/SecurIT/advisory/cross-site-scripting-1/
どうしてこのようなことを書くかというと、将棋関係のサイトでもこの問題は無縁ではないからです。例えば、えーと、いや何でもありません。
(26日追記)@nifty掲示板に重大なXSS脆弱性が発覚(スラッシュドット ジャパン)も参照のこと。