ぼくはまちちゃん!

こんにちはこんにちは!!

XSSはそのサイトを信頼している人が多いほど脅威になりうる

※本ページにはプロモーションが含まれています

はい!
こんにちは!

今日は珍しくセキュリティについて一言です!

タイトルにある通り、

XSSはそのサイトを信頼している人が多いほど脅威になりうる

ってことなんだけど…。これだけだと、あたりまえっぽいよね。

まずXSS脆弱性ってなに? って人のために簡単に説明しちゃうと、これ
サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態
ってことなんだよね。

でもよく考えてみてほしい。
スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。
これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない?

いや、微妙に違うかな。
違う点はひとつ。

スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。

…

じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう?

なんだろうね。

…じゃあ、「Googleの管理者」と「誰でも」の違いなら?

それはたぶん信頼じゃないかな。

ある程度信頼できるサイトには、メールアドレスを登録したり、あるいはカード番号まで預けたりできちゃう。
へんなことされないだろうって思うから。

だからこそ、みんなから信頼されているサイトでXSS脆弱性が発覚したりすると大変!
カード番号は盗まれちゃうわ、ひみつメールの内容を覗かれちゃうわで、とんでもないことに…!

でも逆に、まだまだ誰からも信頼されていないサイトなら?
とても怖くてカード番号なんか入力しないよね。
ひみつメールも書かない。

てことは、タイトルに書いてあることを逆に言うと、こうはならないかな。

みんなからの信頼がないサイトはXSSできてもどうってことない

確かに脆弱ではあるのかもしれないけど、セキュリティホールってほど大層なもんじゃないよ。

踏み台?
なにそれおいしいの?
それgeocitiesでもできるよ!

(あわせて読みたい → ) セキュリティ過敏症