XSSは修正完了？(XSS大王続報)

ニフティ Web フォーラムの件ですが、トップ (com.nifty.com)に以下のようなインフォメーションが出ました。

6月27日14:00 ～ 15:00の時間帯、システムメンテナンスのためフォーラムサービスを停止いたします。ご迷惑をおかけいたしますが、何卒ご了承ください。 ※メンテナンス作業が終了次第、サービスを公開いたします。

このメンテナンスは実施され、ほぼ予定通りの時刻に完了したようです。この結果、Web フォーラムに存在していたクロスサイトスクリプティング脆弱性のいくつかが修正されました。以下の 3ヶ所が修正されたことを確認しています。

このうち最初のものに 24日の DOM の話にある exploit が適用可能でしたが、修正されました。

このメンテナンスによって、私の把握していたクロスサイトスクリプティング脆弱性は全て修正されたことになります。ただし、以下の点に注意が必要です。

私は目についた部分しか調査していませんし、私に情報を提供してくださった方にしても同様でしょう。私が把握していない部分にクロスサイトスクリプティング脆弱性が存在しており、それは修正されていないかも知れません。
Cookie のドメイン指定の問題によるセッション Cookie 漏洩のセキュリティホールは、まだ修正されていません。

前者については「危険なところがあるかも知れない」というだけですが、後者については明らかに危険な状態のままですので注意してください。

また、クロスサイトスクリプティング脆弱性は修正されましたので、以前私が公開していた exploit コードを悪用することは不可能となりました。そこで、一度伏せた解説を再掲することとしました。18日の最初の記事の内容が一部復活していますので、興味ある方はご覧ください。