パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

@nifty掲示板に重大なXSS脆弱性が発覚」記事へのコメント

  • by Anonymous Coward on 2003年06月25日 9時40分 (#345054)
    @niftyのホームページサービスで使える、
    メッセージボード [nifty.com]とnoteブック [nifty.com](日記CGI)は、
    使えるタグは制限されてたりして。

    メッセージボード [nifty.com]は〈I〉〈B〉〈FONT〉。
    noteブックは〈FONT〉〈B〉〈I〉〈A HREF...〉。
    とこんだけ。実はスラドより厳しかったり。

    ・・・だってのに、大元の方でそれやってたんだねぇ。
    なーにやってんだか・・・・・。

    #一@homepage利用者なAC。
    • by zumapon (9208) on 2003年06月25日 11時02分 (#345119)
      @nifty利用者ではないので確かめられませんが、
      FONTやAにJavaScriptやスタイルシートが指定できたりしませんよね?

      試してみて下さい・・・とは言いませんが(笑)。
      親コメント
      • by Anonymous Coward on 2003年06月25日 11時11分 (#345125)
        スラドの場合、
        <a href="javascript:..." だとか、
        <a onClick="..." はちゃんとカットされてます。

        でも、<a href="http://" onClick="barfoo" とかやると、なんかリンクが変・・。 

        実害は無さそうなのですが。
        親コメント
    • by KENN (3839) on 2003年06月25日 20時57分 (#345457) 日記

      メッセージボードのタグは、設定でOFF(=使用不可)にも出来るんだよなぁ…古いサービスの方がきちんと考えられているというのもなんだかなぁ。

      ま、この手の話は、サービス提供者(@nifty)ではなくて、ホントにプログラムを組んだ人/組織による、ってことなんでしょうけど。

      親コメント
      • by Anonymous Coward
        >古いサービスの方がきちんと考えられている

        この業界でありがちな例ですね。
        昔はちゃんとした人が設計や製造してたけど、ITバブルで人手が足りなくなって、まだまだ経験値が足りない奴を上流工程にねじ込んだ挙句…ってパターン。

        #ホント、よく見聞きします。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...