2004年3月24日(水曜日)
HTML+TIME で XSS
HotmailとYahoo! Mailにクロスサイトスクリプティングの脆弱性 (www.itmedia.co.jp)というお話。やはりブラックリスト方式で特定のものだけサニタイズするというのは難しいようで。
今回発見された exploit は HTML + TIME を使って動的に script要素を生成する手法ですが、これはまさに XML を利用して XSS という実例ですね。
- 「HTML+TIME で XSS」にコメントを書く
関連する話題: セキュリティ
不要な個人情報は取得しない
「不要な情報は入手しない~ヤフーにおける個人情報保護の取り組み (www.itmedia.co.jp)」という記事。
マーケティング目的で、性別や生年月日、趣向など、さまざまな個人情報の提供を求める企業も多い。だが情報を持てば持つほど、リスクは高まることを踏まえ、同社は反対のスタンスを採用しているという。
以上、不要な情報は入手しない~ヤフーにおける個人情報保護の取り組み より
現時点では漏洩が立て続けに発覚して問題になっているわけですが、そんな状況になる前に、「個人情報を取るとメリットよりデメリットの方が大きい」として同じようなスタンスを表明されていた方を知っています。その方はずっと前から「個人情報を取得することの怖さ」を理解されていたわけで。
個人的な感想としては、それを理解できる人というのは「ユーザの視点に立てる人」でもあることが多いように思います。
- 前(古い): 2004年3月23日(Tuesday)のえび日記
- 次(新しい): 2004年3月25日(Thursday)のえび日記
