アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
自由なHTML記述 (スコア:1, 興味深い)
>意見もあるでしょう。
livedoor wikiのフリーエリア、やばくないか?
#ってここに書いちゃっていいのか?
Re:自由なHTML記述 (スコア:1)
Re:自由なHTML記述 (スコア:0)
1. inputタグ + type="password" が書ける。
2. そこで得た情報を何らかの方法で送信できる。
という二つの条件をクリアしなければいけない。
で、2.のやり方は限られていて、
2-1 submitボタンを何らかの方法で踏ませる。
2-2 スクリプトを使う。
の二種類が考えられるが、2-1は非現実的な匂いがする。詰めて考えれば不可能ではないと思うが、普通は2-2だろう。
つまり、「何らかの方法で、スクリプトが書けるかどうか」に問題が集約されるといっていい。
wikiは一見どんなHTMLでも自由に書けそうな気がする
Re:自由なHTML記述 (スコア:2)
ブログでもサイドバーにJavaScript+HTMLを記述可能にしているところは多いんじゃないかな?
あと条件として同一ドメインというのがあって、ココログのようにユーザ毎の別ドメインになっているところは該当しない。
livedoor wiki のフリーエリアは、、、 (スコア:1)
http://wiki.livedoor.jp/
コンテンツ管理は
http://cms.wiki.livedoor.com/
認証は
http://member.livedoor.com/
のように別ドメインになっていて、
フリーエリアが埋め込まれるのは、
公開してる領域のみなので XSS は出来ないように思うし、
今回の件も適用されないんじゃないかと思うのだが?
# 見落してる穴がなければ良いのだが、、、(- -;;;)
uxi
Re:livedoor wiki のフリーエリアは、、、 (スコア:0)
見えるが、それは別の理由でまずくないか?