CSSXSSです。 - rna fragments

輪王様のところからリンクが。

　mixiで閲覧キー付きの他人のアルバムを見る方法（修正済み）（俺専用mxxi :: ぼくはまちちゃん！）

　[関連？]

　・IEをお使いのはてなダイアラーの方は注意（児童小銃）

　・IE新クロスサイトスクリプティング「CSSXSS」
　まだ任意のコードが実行できる脆弱性も残っているので、取り敢えず、IEの設定はスクリプト無効に。

例の件、いままではっきり書かなかったけどCSSXSSです。今日19:20分現在まだ対策が終わっていないようです。

追記: 単純には悪用できない

はてなの問題の場合、IEの「インターネットオプション - プライバシー」でインターネットゾーンのプライバシーを「低」またはそれ以上にしていれば単純な方法で CSSXSS 脆弱性を悪用することはできないようです。はまちやさんとこのはてな足跡帳がゲストだらけなのはたぶんそのせい。

追記: 上の追記は、

単純な方法で実験して対処済みと勘違いされて安心されては困るという意味と、「CSSXSSは簡単でヤバイ」とされているけど過剰に不安になることもないという意味と、両方の意味で書きました。どっちつかずな書き方でわかりにくくなってしまってすみません。

コメント欄のご指摘の通り、一般には(はてなの問題の場合も)クッキーの設定では防ぎ切れません。[id:rna:20051207:p1] の警告は依然有効です。

トラックバック:

http://d.hatena.ne.jp/rna/20060101