なれる！ＳＥ 間違いだらけの？ＩＴ用語辞典（中二版） 第4回

熱くたぎる鼓動は、あなたの心の中の黒歴史：

うざくても、中二病マインドを失っちゃいけないIT用語

話を戻しますけどクロスサイトスクリプティング、これってセキュリティ系の用語ですよね？　こないだのブルートフォースみたいに。

へぇ？　珍しい、知ってるんだ。

なんかニュースで見たことありますよ。
クロスサイトのウェブサーバがスクリプティングで脆弱、
地球ヤバイって。

……何か途端に理解が怪しくなったけど、まぁいいわ。あんたの言うとおり、複数サイトにまたがってスクリプト（≒プログラム）を不正実行できちゃう脆弱性のことをクロスサイトスクリプティングって呼ぶのよ。

スクリプトを……不正実行？

掲示板とかだと分かりやすいわね。入力フォームが適切にインプットの内容をチェックしていない場合、攻撃者のJavaスクリプトをHTML文埋め込みで生成できちゃったりするのよ。するとそのページを見た被害者はブラウザ上で勝手にスクリプトが実行されちゃうでしょ。

されちゃうんですか？

だって被害者からしてみれば普通にウェブページ見てるだけなんだから。ブラウザが許可してる動作なら普通に実行されちゃうわよ。攻撃者が直接被害者にアクセスしようとすればNATやパーソナルファイアウォールで防げるけど、あくまでユーザーとウェブサイトの間の話だからね。

でもブラウザでできる操作程度だから、
大した実害はないんですよね？

大ありよ。たとえばスクリプトでユーザーのクッキー（アクセス情報）を別サーバに転送する仕組みが組まれてたら？　その情報使って攻撃者がユーザになりすますかもしれないわよね。ショッピングサイトの情報ハイジャックされたらどうなると思う？　配達先変えられてガンガン買い物されちゃうかもしれないでしょ。

え、え、怖いです！
どうしたらいいんですか、これ。

どうしようもない。

!?

どんなにチェックしたって作り込みの甘いウェブサーバはなくならないから。ユーザ側で見分ける手段がない以上、本質的にはネットサーフィン自体をやめるしかないわよ。あとはまぁブラウザでスクリプトの実行を無効にするか？　ただその場合も閲覧できるサイトが限定されちゃうけどね。

室見さんはどうしてるんですか？

私は基本ActiveXとかJavaはオフ。見たいコンテンツが出てきた時だけページのソースチェックしてからオンにしてるわ。意外と不自由ないわよ？　慣れればだけど。

（面倒くさそう……）
ちょっと……クロスサイトスクリプティングうざすぎですね。とても中二っぽくノリノリでは叫べないですよ。

ばかぁ！
（バチーン）

え、何!?

あんたの中二マインドはその程度なの？　たかだかブラウザの設定が面倒くさいだけで失われてしまうようなものなの？　思い出しなさい、あんたの奥底に眠る黒歴……熱く滾る衝動を！

なんか身も蓋もない言い間違いされたように思いますが、確かに！　この程度で方向性を見失っちゃ中二病失格ですね。すみません室見さん、僕が間違ってました。力一杯、心の底から叫ばせてもらいます！

ええ、いきなさい！

（シャキーンシャキーンと傘を二本構えポージング）
猛れ刃、織りなせ戦塵、必中必殺！
クロスサイトォスクリプティング！！！！

藤崎（上司）
……あの、桜坂君、仕事中だからちょっと静かに、ね。一人で叫んでると少し心配になるし、その、控えめに。

え、一人？　って室見さん、いない!?　逃げた－！

ASCII倶楽部

お知らせ