はてなブログのセキュリティガバガバやん?って話
押した人はたぶんこう思ったのではないか。
だから何??
と。
しかし、記事投稿者がこういうボタンを自由に設置できるというのはセキュリティ的にはヤバいことなのである。
というのも、はてなブログでは記事投稿時にHTML編集モードで自由にhtmlタグやらの編集ができるのだが、なんとそこでjavascriptを自由に書くことができてしまうのだ!
言い換えると、私は今これを見ているあなたのパソコンをつかって思い通りのプログラムを走らせることができるということである。
ブログ訪問者に無断で仮想通貨の採掘を行わせることもできるし、セキュリティ的にガバガバなクッキー情報があなたのブラウザにあればそれを盗み出すこともできるかもしれない。
他に典型的で悪質な手口として、例えばAmaz〇nそっくりなサイトのログイン画面を表示させて、「ログインしてください」などとしれっと表示し、パスワードなどが入力されたらそれを外部サーバーに送信して盗むというものもある。
XSS(クロスサイトスクリプティング)というクラッキング手法である。
私はjavascriptをほとんど書いたことはないが、ググりながらやれば一日以内にはその手のコードを完成させることができるだろう。
普通は、ユーザーがhtmlやらjsのタグを入力に埋め込んでもそれが無効となるような仕掛けをかけるのがセオリーだと思うが、何故にはてなブログはユーザーを異常なまでに信頼しているのか。
たまげたなあ。
ーーーーーーーーーーーーーーーーーーーーーーー
ここからはフリマルの宣伝。
フリマルとは私とその協力者たちの力によって立ち上げられたウェブサービスで、要は漫画とか文章とかのデータを売ったり買ったりできるフリマである(リンク↓)
会員登録とか出品とかは無料で、もし商品が売れたら売り上げの一部を手数料として支払ってもらうというスタイルなので、気軽に会員登録してほしい。
売れ筋商品を出品して放置しておけば、不労所得が獲得可能!
ぜひこれを読んでいるあなたの出品まってるぜ!
(販売手数料以外に一切料金はかからないので、最悪でも損することはないです)
てことで、お疲れさんです