アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
エンジニアの質が低すぎるのでは (スコア:3, 興味深い)
楽天日記の場合、タグのサニタイジングは要素名で判断、Javascript対策は全文検索をかけて半角文字でdocumentのような javascriptで使われる文字列が見つかると危険と判断しているようです。ユーザーも困っているようで苦情書き込みも見つけました。半年前まで興味深く見守り何度か間接的に注意を投げましたがこんな状況です。
楽天日記はログインしたままでユーザー間の日記を往復しているユーザーが多く、また奪ったアカウントは買い物や個人情報のアクセスにも使えるためセッションを奪え
Re:エンジニアの質が低すぎるのでは (スコア:1, すばらしい洞察)
SSLを正しく運用出来、またネットワーク設計に長けているような人でも、
IEは嫌いだからとか、ECMAscriptを調べるの嫌だからとか、
WebServerのアーキテクチャに興味が無かったり、等々が因して、
穴を作ってしまう例も多いですよね。
セキュリティ対策というのは危機管理なのだから、
どれだけ広範に危機の可能性を想像し対策を検討出来るかどうかが
要であるし、たとえ個人的に嫌いな技術でもそれが世に普及しているならば、
きちんと抑えておかなきゃダメなんだよと、口うるさく言ってるわけなのだが・・。