はてな、画像アップロードシステムのXSS脆弱性を修正
http://internet.watch.impress.co.jp/cda/news/2004/08/03/4124.html
こう書いてみてもなんだかさっぱりわからないので、
説明を引用。
XSS脆弱性とは、スクリプトを実行させることでcookieが漏洩し、なりすましなどが可能になる脆弱性。はてなでは従来より、XSS脆弱性を回避するために、はてな上で公開されるHTMLやスタイルシートを解析し、利用不可能なタグの変換や不適切な文字列の削除などを行なっていた。
そ・・・そんな恐ろしいことになることがあったのですか・・・。
気付くまもなく実行されていく恐れもあったわけですなぁ。
おそろしや〜。
今回明らかになったのは、はてなダイアリーとはてなグループに画像をアップロードした際、その画像ファイル内に不正なコメントが挿入されていると、XSS脆弱性に繋がるというもの。はてなでは対策として、画像ファイルに挿入された不正なコメントを削除するようシステムを変更した。また、スタイルシート内で特定の文字列「boudary」を使用禁止にしている。
・・・私にはやっぱりなんだかわかりませんw。
(「不正なコメント」の意味もわからない私であった。)