Life is Adventure!

Zenphoto | Home | レンタルサーバ比較

xss

Cross Site Scriptingのこと。かつてはCSSと略されていたが、Cascading Style Sheetsの略と同じなので、混同を避けるために、現在では XSS と略記されることが多い。

Webサイト管理者、HTML作成者の基本的心得のひとつは、XSSを回避するために次の対策をとることだ。

1. HTML本文で、& を &amp; 、< を &lt; 、> を &gt; 、" を &quot; と書く。
2. タグの属性値は必ず "~" (ダブルクオート)で括る。また属性値中のエスケープを忘れない。
   〔例〕 <input type="hidden" name="foo" value="&lt;script&gt;">

では、サイト利用者がとるべき対策はなにか?
子供たちに有害なサイトが問題になっているが、XSSは一般のインターネットユーザ共通の問題である。しかし、有効な対策はないというのが現実であろう。悪意のあるスクリプトが混入しているかどうかを、ユーザが事前に知る手段が少ないからである。

XSSの脆弱性があるかどうかは、http://www.xssed.com/などのサイトである程度確認できる。もちろん脆弱性があってもXSSが混入しているとは限らない。個人サイトではまずないが、ポータルや商用のメール、ブログ、SNSなどは攻撃されやすいため混入している可能性はある。一番狙われているのはマイクロソフトだろう。WindowsやIEの対策で追いかけっこしているのと同じだ。

訪問者数が多いサイトが攻撃されるのが一般的だから、そういうサイトには行かないというのでは、インターネットの意味はないし、君子危うきに近寄らずでは、有用な情報を入手できないし、ということで、結局は各個人のリスク判断に頼るしかないのだろうか。

1.つねに有害情報、セキュリティ脆弱性情報、脅威のあるサイト情報などに敏感になり、怪しいサイトには行かない。
2.ブラウザのスクリプト(JavaScript/ActiveXなど)を無効にして、大丈夫なサイトに対してだけ有効にする。
3.URLが知らないドメイン名になっていないか注意し、不審なドメインには行かない。

こうした自己防衛策があるが、一般ユーザには現実的ではないことが問題だ。いまやスクリプトを使っていないサイトはないといっていいくらいだし、Flashも多用されるようになったから、スクリプトを無効にするとほとんどのサイトにアクセスできなくなるという厄介な問題である。

今日の言葉: 

コメントを投稿


counter