【セキュリティ】それ Unicode で
「無指向性」と銘打っているからには、とりあえず一週間くらいは、いろいろな分野から拾ってこようと思う。
さて、いつまで続くことやら。
http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html
XSSの基本的なやりかたを集めたページ。
インターネットセキュリティなんかには関係のない(と思っている)大多数のひとにはサッパリな内容で、関係のあるひとには今更というような情報だけど、この手の話題までカバーしますよ、なんてアリバイ作りのために紹介しておこうと思う。
とりあえず、大多数のひとのために、すごく単純に解説。
XSSは「クロスサイト・スクリプティング」と読み、Webサイトへ『毒』を入れる攻撃方法のひとつ。
サイトのほうでももちろん、『毒』っぽいデータを食べないように予防しているけど、その裏をかく手段もいろいろ研究されている。
紹介したページでは、その手段をいろいろ記述していると思って問題ない、と思う。
Webベースの、お仕着せのシステムを使いやすく『カスタマイズ』する名目で、このページを開いていたひとがいる。
もしかすると、自分の管理するサイトを『改良』するために使っているひともいるのかもしれない。
そういうひとたちはきっと、目的と手段が入れ替わっているんだけど、手段そのものが目的になっている状態でいることは、きっとすごく気持ちいいことだと思う。
こういう処理で止められるなら、その処理が追いつかないほどの複雑怪奇なコードを構築してやる。このパラメータが気になるなら、正面からこう聞いてやれば素直に答えるんじゃないか。
その駆け引きは、ゲームと同じことなんだろう。
うん、そういえば、「ハッカー」って存在は、理解できないややこしいことを考えてるんじゃなくて、もっと子供っぽい単純な動機をエネルギーにしている、って誰かさんが言ってたような。
‥‥あぁ、そうそう。わかっているとは思うけど、実際にインターネット上で稼動しているサーバにXSSを仕掛けたら、罪に問われる可能性があるので、実践は禁止。
このブログの趣旨は、明日も明後日も使えないけれど、いつかどこかで使えるかもしれない知識をあちこちから寄せ集め、なので。