関西を中心に活動するHacker Group、@Randomが、来年2月8日深夜にセキュリティカンファレンス「@Random/1st」を開催する。

/.Jや、SF.jpは@Random代表 office（タレコミ子自身のことだ _o_）に度々脆弱性指摘を受けているが、この@Random/1stでは/.JとSF.jpのシステム管理者であるtach氏が、脆弱性指摘されて修正する側の立場からスピーチする。スラドの住人からは犯罪者だ、セキュリティ・ゴロだとまで評されるofficeをはじめ、アングラな論客が待ち受ける場で論戦に挑むtach氏に、スラド住人はこのトピックに続くスレッドでエールの声を送る？それとも現場に乗り込む？

PHP-Nukeというのを佐藤哲氏が開発してるそうです。SlashCodeとどのような関係にあるのか私にはさっぱりわからないのですが、何でも自由に試して不具合報告して欲しいとのことです。

1/28にslashdot.jpにクロスサイトスクリプティングの脆弱性があることを
ここでたれ込ませて頂いたのですが、採用して頂けなかったようです。
さてその後の経過も含めてたれ込ませて頂きます。

http://srad.jp/article.pl?sid=02/01/13/1019228
の記事にれてば、slashcodeの2.1〜2.2.3にはセッション乗っ取りの危険性があったとのことですね。その記事からリンクがはられているSecurity Focusの記事
http://www.securityfocus.com/cgi-bin/vulns-item.pl?section=info&id=3839
ではよくわからないのですが、おそらくクロスサイトスクリプティングの脆弱性が その原因ではないのでしょうか？

上記の/.-Jの記事のフォローとしてjbeefさんが、（昨年の）10月と12月にクロ スサイトスクリプティングの脆弱性について/.-Jについて発見し、報告されてい ると言及されています。
つまり1/28に、私がたれ込ませて頂いた問題は、「まだ」slashcodeに クロスサイトスクリプティングの脆弱性が残っていたってことで、 OSDNの皆さん問題を認識されているはずではありませんか？

/.-Jについては1/30に
−−−
ご報告いただいた点は，slashdot.jp で修正し，script が起動しない ようにしました．ご確認ください．

しかし，slashdot.org を含め，slashcode を利用している多くのサイ トが同様の脆弱性を持っていることを確認しております．slashcode の開発者などにも報告しております．たぶん，upstream レベルでの 対応がされると思います．
−−−
という返事を頂きましたので、slashcodeが直れば発表されるかなとか思っていた のですが、何の音沙汰もなく、slashdot本家のslashcodeは修復されて、 後はだんまりなようです。

現在slashcodeのページにはパッチとかあがってないようですが、 どうなさるおつもりでしょうか？

さて、1/30の返信でご報告申し上げましたが、OSDNの関連サイトのあちこちに クロスサイトスクリプティング脆弱性の問題点があります。

www.osdn.comとlinux.comとthinkgeek.comの検索システムにそれはあります。
http://www.osdn.com/osdnsearch.pl?query=%22%3E%3Cscript%3Ealert%28%22hello%22%29%3C%2Fscript%3E&site=all
http://linux.com/search/fts.phtml?search=%22%3E%3Cscript%3Ealert(%22hello%22)%3C/script%3E
https://www.thinkgeek.com/brain/whereisit.cgi?t=%22%3E%3Cscript%3Ealert%28%22hello%22%29%3C%2Fscript%3E

また、thinkgeekはログインや新規アカウント登録などのシステムにも脆弱性が 存在し、なんら対策がとられてないようです。
thinkgeekはショッピングサイトでcookieで色々管理なさってるようですが、 こういったユーザの情報が盗まれないのかどうかご確認なさったらどうでしょう？ SSLがむなしいです。

オープンソースプロジェクトの人々が集まって作っているcodeやサイトとは 思えない杜撰な状況です。

さて、このたれ込みは隠蔽されますか？公開されますか？