ブログサービスの XSS 脆弱性対策はいらない
http://deztec.jp/design/06/02/05_xss.html
面白い指摘。そういう視点もあるか。
でも、はてなの方針としては「そういうのがやりたい人は他でやってくれ」って感じなんだろうね。
他のblogサービス見てても、一長一短でどれがどういう特徴あるのか分からないよね。それに対して、はてなは「はてなっぽさ」を出すことで他のblogサービスとは違う特徴をうまく出してる。他のblogサービスとは明らかにちがうじゃない?それがはてなユーザーを取り込むことに成功してると思うんだ。もちろん、私も取り込まれた一人ね。
性善説に頼るのが現実的かどうかはさておき、面白い視点でみてるなーって思った。
技術的な見地から、ひとつ突っ込んでみる。
ていうか、レンタルサーバサービスの類が XSS 脆弱性を気にしていたなんて話は聞かないのに、なんでブログサービスとなると、気にする会社が出てくるのか。
ここの文脈で言う「ブログサービス」は、はてなのことね。
他のレンタルサーバや、他のブログサービスは明確に管理用URLと一般用URLがきちんと分けられてるんだよね。livedoor blogやseesaaなんかでは、ドメインまで分けてる。だから、管理用ページにアクセスするためのcookieには、一般用URLからではどうやっても見ることが出来ないわけだ。XSSされても、管理用ページへの抜け道は見つけられない。
でも「はてな」では、管理用ページにアクセスするためのcookieを*.hatena.ne.jp全体でアクセス可能にしてる。だから、一般用URLから管理用cookieを見ることが出来てしまって、それが問題なわけだ。つまり、XSSされる=管理権限奪取、になってしまうと。
普通のユーザの視点で見ると「ただの欠点」なのかもしれないけど、技術的にはこういった理由があってXSSの脅威が他のblogサービスに比べて著しく高いからscriptを許可できない、という事情があるのが難しいところ。
Ajaxを使ったリアルタイム認証
http://phpspot.org/blog/archives/2006/02/ajaxphp_1.html
こういうのって「Onetime Password」ではなくて、「Challenge and Response」って言わない?まあ、厳密な言葉の使い分けなんてどうでもよくて、面白いものは面白いです。
今までも、Challenge and Response認証といえばYahoo! Japanとかの認証で使われてたけど、認証にAjaxを組み合わせてリアルタイムで認証させたって意味で画期的だと思う。
ただ、フォーカスイン・フォーカスアウトするだけで通信しちゃうから、Tabキーでフォーカス移動させるキーボードな人にとってはウザいかも。