【セキュリティ】それ Unicode で

「無指向性」と銘打っているからには、とりあえず一週間くらいは、いろいろな分野から拾ってこようと思う。
さて、いつまで続くことやら。


http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html
XSSの基本的なやりかたを集めたページ。
インターネットセキュリティなんかには関係のない(と思っている)大多数のひとにはサッパリな内容で、関係のあるひとには今更というような情報だけど、この手の話題までカバーしますよ、なんてアリバイ作りのために紹介しておこうと思う。
とりあえず、大多数のひとのために、すごく単純に解説。
XSSは「クロスサイト・スクリプティング」と読み、Webサイトへ『毒』を入れる攻撃方法のひとつ。
サイトのほうでももちろん、『毒』っぽいデータを食べないように予防しているけど、その裏をかく手段もいろいろ研究されている。
紹介したページでは、その手段をいろいろ記述していると思って問題ない、と思う。


 Webベースの、お仕着せのシステムを使いやすく『カスタマイズ』する名目で、このページを開いていたひとがいる。

 もしかすると、自分の管理するサイトを『改良』するために使っているひともいるのかもしれない。

 そういうひとたちはきっと、目的と手段が入れ替わっているんだけど、手段そのものが目的になっている状態でいることは、きっとすごく気持ちいいことだと思う。

 こういう処理で止められるなら、その処理が追いつかないほどの複雑怪奇なコードを構築してやる。このパラメータが気になるなら、正面からこう聞いてやれば素直に答えるんじゃないか。

 その駆け引きは、ゲームと同じことなんだろう。

 うん、そういえば、「ハッカー」って存在は、理解できないややこしいことを考えてるんじゃなくて、もっと子供っぽい単純な動機をエネルギーにしている、って誰かさんが言ってたような。


‥‥あぁ、そうそう。わかっているとは思うけど、実際にインターネット上で稼動しているサーバにXSSを仕掛けたら、罪に問われる可能性があるので、実践は禁止。
このブログの趣旨は、明日も明後日も使えないけれど、いつかどこかで使えるかもしれない知識をあちこちから寄せ集め、なので。