アカウント名:
パスワード:
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかった
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
被害が知りたい (スコア:2, 興味深い)
1.これまでにどういう被害があったか?
2.そのさい、どういう対策がとられたか?
3.被害総額はいくらくらいか?
という、実際に被害にあった例とその損害を数字で知りたいです。
なぜかというと、たとえば「包丁は危険です。だから使わないようにしましょう」ということはありえな
Re:被害が知りたい (スコア:3, 興味深い)
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なもの
Re:被害が知りたい (スコア:1)
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかった
Re:被害が知りたい (スコア:0)
カネのからまない個人情報が盗まれるぐらいならガタガタ騒ぐほどの被害じゃないよ。
個人情報っつったっていろいろあるでしょ。
ネットワークだからコスト度外視しなくちゃいけないの?
例えば個人情報(住所や氏名)という個人情報が書かれた郵便ってメディアはたとえ通信経路上が安全かどうかもわからないし、郵便受けで盗み見られるかもしれないような*脆弱性*を持ってるよ。
でも発送する郵便は全部書留にすべしなんて誰も騒ぎ立てない。
それはコストとのバランスがわかっているからさ。
WEBの設計
Re:被害が知りたい (スコア:1)
コスト度外視して対策しろ、なんて誰も言ってないと思うけど。
むしろ、「極めて必須に近いコストだから出来るだけ高い優先順位であらかじめ組み込んでおきましょう」という見方が一般的でしょう。XSS に関する知識、技術は、Web 関連技術者にとって、そうとう優先度の高い技術になっていると僕は思いますよ。それこそデザイナーにとってなら HTML、デベロッパーにとってなら HTTP と同列くらいに。
Only Jav^Hpanese available :-)
Re:被害が知りたい (スコア:0)
>であらかじめ組み込んでおきましょう」という見方が一般的
そう、そうやってこの程度の知識レベルが必須だという。
現場を知らないのかね。
そういう知識技術レベルを備えた人は値段も高いのよ。
たいしたリスクもないところだったら、もっと安く見た目におんなじ
ようなモノができれば、それでいいじゃん。