Google デスクトップ　を使う必要にせまられて自室のパソコンで検索しました。　「そういえば、Google デスクトップ、アップデートをしてないよなぁ」と頭をかすめたのですが「まぁいいか」と。　で、タイムラインで調査していたのです。ところが、「あっ」と叫んでしまいました。JavaScriptが動いてalertされたのです。すわ！XSSか！ローカルのデータ抜かれたん？つうか、Google デスクトップを使うときの認証情報は？確か、Windowsにログオンする時のものを使っていたよね？やばくね？あせりまくりです。

で、あわてまくっていたので以下の手順はダメダメです。まずIEのJavaScriptを切ってもう一回、同じ手順でalertされるまでを再現。そして、画面をじっとみると、タイムラインの一覧の中に「はまちちゃん」のページを見たよ、という検索履歴が！　で、その解説のところには、ソースがなくてアクセスに失敗した謎のバッテン画像が！　Google デスクトップではこんなことありえないはず！　

HTMLソースを見ましたよ。しっかりとimg要素のsrc属性にJavaScript擬似スキームが。だけどalert(99)だけ。はまちちゃんのページの検索履歴に間違いありません。

もうこうなったらアレです。そのはまちちゃんのページ（ローカルにあるGoogleデスクトップのキャッシュ）を見に行きました。はまちちゃん、どんなトリック使ったんだろうと。そしたら・・・

はまちちゃんのサイトにXSS脆弱性があって、それを誰かさんがはまちちゃんへのコメントとして記述していて、それを私のパソコンが拾っていて、（気がつかなかった）、それがGoogle デスクトップを貫いていたのでした。はまちちゃんにヤラレタというのは、錯覚ですた。　誰だ！　犯人は！

ちなみに、オチですが。「そういえば、Google デスクトップ、アップデートをしてないよなぁ」と頭をかすめたので、その時点でオフラインに切り替えていたのでした。　あわてる必要はぜんぜんなかったのにねぇ。

ちゃんちゃん。