クロスサイト・スクリプティング。

クロスサイト・スクリプティング、なんじゃそれ！日本語で言え！日本語で。

昨日からこれに振り回された。 IPA 独立行政法人 情報処理推進機構というワケのわからない所から意味不明の連絡がクライアントのところに来たので、クライアント側もワケわからん状態。

要するに、動的サイト（掲示板やお問い合せフォームなど）にサイト利用者がHTMLタグを打ち込んで送信したら、そのタグが作動してしまう状態。 さらに何のこっちゃ分からなくなるが、 このセキュリティ上の問題により発生し得る脅威として、 「この脆弱性により、悪意のあるサイトへの誘導やユーザーを惑わすコンテンツの挿入をされる可能性が発生する。そして、攻撃者が外部サイトに当該処理を呼び出すページを作成、または電子メールで送付することで、被害者のブラウザ上に上記ページのアドレスを用いて任意の内容を表示させることが可能。これによりユーザーに別のサイトから不正なプログラムをダウンロードさせたり、正規のページになりすまして個人情報を入力させるようなページを生成することが可能です。」 だって。

ようするに、最近悪いヤツがいるからプログラムのタグを最新の基準のモノに修正して下さいね、ということが言いたいのだ。 何でそんなに難しくするのかなぁ。