クロスサイトスクリプティング Q&A

クロスサイトスクリプティングって何ですか？
→ インターネットを使っている中で起きるセキュリティ攻撃の一つです。


どこでその攻撃を受けるの？
→ IEやChromeなどのブラウザを使っている中で受けることがあります。


IE や Chrome などにパッチを当てて最新に保てば大丈夫ですか？
→ いいえ。ダメなんです。IE や Chrome がスクリプト実行できることに問題があります。


では IE や Chrome のスクリプトを止めるのはどうですか？
→ JavaScriptやActiveXなどを含むブラウザーのスクリプトを無効にする方法で対応ということも言われますが、著しく使い勝手が悪くなります。個人で楽しむにはスクリプト実行は前提にもなっているので致命的と言っていいです。


クロスサイトスクリプティングの脆弱性があるというのは何？
→ Web サーバがクロスサイトスクリプティング用の対策をしてないということです。


誰が攻撃をするのですか？
→ Web サーバにデータを書き込めるユーザーです。掲示板とかをイメージすれば良くて、誰が攻撃したかを特定できないところにも問題があります。


攻撃が成功したらどうなりますか？
→ パソコン上で知らないプログラムが実行されることになります。マシン上の秘密情報が取られたり、自分のPCを使われて不正が起きて犯人呼ばわりされたりすることもあり得ます。