■
■はてなダイアリー内のXSS脆弱性について
はてなダイアリーがベータの頃にこの手の単純かつ基本的かつ典型的なものはつぶし完了だったはずです。覚えがありますもの。どうして今頃になって脆弱性が復活してしまっているのか。極めて残念でなりません。ニュースものですよ。今回の報告者、どなたかわかりませんがエライ!
こういう復活タイプのエンバグは本当に悲しいです。定期的にチェックしなくてはいけないのかなぁ?う〜ん、それにしても、はてなダイアリー特有の省略記法は今まで一切検査したことがないのですよね、個人的には。こっちも見ておこうかなぁ?したくないなぁ。気乗りしないなぁ。だって死ぬほどめずらしい書き方があって全然把握していないのですよね。
ふと思ったのですけれど、はてなダイアリーでは、さきごろ確かh1要素の中身としてなんだか超わかりませんが画像を許したはず、そしてそれをクリックするとどうにかなっちゃうとか云うような私には全く興味が持てなかった新機能がリリースされていたような。どうしてH1要素をわざわざ画像にしなくてはいけないのかサッパリわからないと云う理由で(一方的な誤解かもしれませんが)ほとんど無視していました。ひょっとするとコレですかねぇ。
URLの無害化については既にはてな流ルーチンがあるはず、これを適用できなかったことはちょっとばかり組織内の人間に内在するコミュニケーション不足かもしれないなぁと思ったり、濡れ衣かもと思ったり。いずれにせよ私が最も気にしているところなのです。個人に弱点があるのは当たり前。だけど人間集団に弱点があるとするならばこれは懸命に克服しなければいけない課題ですね。