はてなのXSS脆弱性を見るにつけ
はてなのサービスの脆弱性を発見し何度も修正をうながしてきたid:hosikuzuさんだからこそ書けることがあるということだと思います*1。今回の件は完全にはてなのポカとして、今後まだまだ同じことが続くようだとだめでしょう。リカバリーできるのか、その必要性をきちんと認識できているか。
それとは少し別の話になりますが、はてなブックマーク - ブログサービスの XSS 脆弱性対策はいらないの一部コメントに見られるような安全性の軽視に対してどう対処すべきかという問題についても考えさせられました。何か定番となりうるような文書ができればいいのですが、様々な角度の問題を含んでいるので簡単ではなさそうです。
office氏のこととか、とっくに忘れられている感じがします。
2月7日追記
などと書いていたらタイミングよくこんな記事が。
それから
2月8日追記
- 極楽せきゅあ日記 2月8日付
- 徳保さんのはてなXSS関連の認識の間違い およびそれ以前のエントリ
*1:参考:http://d.hatena.ne.jp/hatenadiary/searchdiary?word=hoshikuzu (現在は原則として脆弱性通報者の名前が出ないようになりました。)