こういうネタから発展?
以下は白Zさんの見解とそれに対するやりとり等々
セキュリティ対策は必要ですがセキュリティ対策に対して過度に敏感になり過ぎてはならない。XSSなんかはその代表格。その企業がおかれている状況など総合的に判断する事が必要。
2012-10-09 16:07:25@WhitehackerZ1 ところで、 http://t.co/txFohvyE の https://t.co/IJmJ6ml4 はいつ頃ご対応いただけるのですか
2012-10-09 15:36:58@fetus_hina 見た感じもう無いようです。しかしながら、執念で探すとの回答を得ています。今しばらくお待ちくださいませ。
2012-10-09 15:44:36@WhitehackerZ1 「もう無い」「探す」とは…?まさか攻撃されたと認識していて何の策も練っていないのにログファイル消したんですか?
2012-10-09 15:45:47@WhitehackerZ1 毎分200じゃ想像が甘いだけですってば。それに、わずか 2 週間前の HTTP アクセスログを失うというのはちょっとセキュリティ屋としてあるまじき自体なんじゃないですかね
2012-10-09 15:50:14@fetus_hina 紛失につきましてはただただ反省するばかりです。毎分500の可能性も600の可能性もあります。ワードプレスの解析ではIPは一か所から怒涛のアクセスでした。
2012-10-09 15:52:58@WhitehackerZ1 被害がそれだけですめばいいですね。ウィルスサイトへのリンクでも貼られたらどうしますか?XSS というのは要するに何でもできるんですよ?
2012-10-09 16:14:09エロ画像に書き換えられても中小企業ならば元に戻せば済むだろう。 _人人人人人人人人人_ > 元に戻せば済む <  ̄^Y^Y^Y^Y^Y^Y^Y^ ̄ https://t.co/pxhJD6zh
2012-10-09 16:15:09@fetus_hina @WhitehackerZ1 リンクはどこに貼るのですか?可能性論言い出したらWEBサイトは全て危険になります。
2012-10-09 16:15:50@WhitehackerZ1 XSS でタグを書き換えることができるので、どこにでも貼れます。すべてのリンクを書き換えることもできますし、見えないようにこっそりとiframeを埋め込んだり、脆弱性をつく画像を貼ることもできるでしょう。
2012-10-09 16:17:50@dnsrebinding @fetus_hina その企業体質によりますしそれは企業が判断する事だと認識しているだけです。危険が無いと言っているのではありません。
2012-10-09 16:18:58@fetus_hina @WhitehackerZ1 別サーバから、脆弱性のあるページに対して、以下のコードを作って投げて実行されと思いますか?<input type="hidden" name="name" value='"<script>alert(1)</script>'>
2012-10-09 16:25:27@WhitehackerZ1 対策されているページであればその文字列が(ちょうど Twitter のように)そのまま表示されますし対策されていないページであれば謎の文字列「"<script>alert(1)</script>」が入力欄として表示されるでしょうが何が言いたいんですか
2012-10-09 16:28:52@ockeghem @WhitehackerZ1 有難うございます。神経質になり過ぎている点は業界的に何とかすべきでは?と思います。
2012-10-09 16:29:01@fetus_hina @WhitehackerZ1 つまりは、formのhiddenパラメータにスクリプトを埋め込んでも実行されないという事でいいでしょうか?
2012-10-09 16:35:43@WhitehackerZ1 提示された埋め込み方なら実行されませんが、別の埋め込み方であれば実行される可能性はあると思います。実際の埋め込み方は文脈依存なので一概には。
2012-10-09 16:37:58