水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年3月 > 2004年3月24日(水曜日)

2004年3月24日(水曜日)

HTML+TIME で XSS

HotmailとYahoo! Mailにクロスサイトスクリプティングの脆弱性 (www.itmedia.co.jp)というお話。やはりブラックリスト方式で特定のものだけサニタイズするというのは難しいようで。

今回発見された exploit は HTML + TIME を使って動的に script要素を生成する手法ですが、これはまさに XML を利用して XSS という実例ですね。

関連する話題: セキュリティ

不要な個人情報は取得しない

不要な情報は入手しない~ヤフーにおける個人情報保護の取り組み (www.itmedia.co.jp)」という記事。

マーケティング目的で、性別や生年月日、趣向など、さまざまな個人情報の提供を求める企業も多い。だが情報を持てば持つほど、リスクは高まることを踏まえ、同社は反対のスタンスを採用しているという。

以上、不要な情報は入手しない~ヤフーにおける個人情報保護の取り組み より

現時点では漏洩が立て続けに発覚して問題になっているわけですが、そんな状況になる前に、「個人情報を取るとメリットよりデメリットの方が大きい」として同じようなスタンスを表明されていた方を知っています。その方はずっと前から「個人情報を取得することの怖さ」を理解されていたわけで。

個人的な感想としては、それを理解できる人というのは「ユーザの視点に立てる人」でもあることが多いように思います。

関連する話題: セキュリティ / 個人情報

カニ強し

ポポロクロイス 月の掟の冒険 (www.amazon.co.jp)。ボス弱い、と思っていたらガウデに瞬殺されたり。

関連する話題: ゲーム / ポポロクロイス / 月の掟の冒険

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング