• はてなダイアリー本体のXSS脆弱性（hoshikuzu | star_dust の書斎）

はてなのサービスの脆弱性を発見し何度も修正をうながしてきたid:hosikuzuさんだからこそ書けることがあるということだと思います*1。今回の件は完全にはてなのポカとして、今後まだまだ同じことが続くようだとだめでしょう。リカバリーできるのか、その必要性をきちんと認識できているか。

それとは少し別の話になりますが、はてなブックマーク - ブログサービスの XSS 脆弱性対策はいらないの一部コメントに見られるような安全性の軽視に対してどう対処すべきかという問題についても考えさせられました。何か定番となりうるような文書ができればいいのですが、様々な角度の問題を含んでいるので簡単ではなさそうです。

office氏のこととか、とっくに忘れられている感じがします。

2月7日追記

などと書いていたらタイミングよくこんな記事が。

• ACCSの個人情報流出事件、ファーストサーバと和解し「すべて終了」（INTERNET Watch）

それから

• ブログサービスの XSS 脆弱性対策はいらない−のか？

2月8日追記

• 極楽せきゅあ日記 2月8日付
• 徳保さんのはてなXSS関連の認識の間違い およびそれ以前のエントリ