サイト運営者の視点でXSSの脆弱性についてコメントしたいと思います。
このlivedoorブログだけでなく、エキサイトでもXSSの脆弱性は過去にありました。
では、どのようにしてXSSの脆弱性を発見しているか?と言いますと、脆弱性のテストを外部機関にお願いして発見しています。
もちろん、社内でもインターネットセキュリティに対する知見がある人材がおり、脆弱性についてはテストしていますが、セキュリティのプロでなければ発見できない脆弱性があるという事です。
この脆弱性の発見後の対応は、もちろん開発したエンジニアが対応しており、同じような問題が2度と発生しないようにしています。
ここで、重要な要素は以下のとおりです。
・WEBサイトの開発者はセキュリティのプロではない。
・セキュリティのプロはWEBサイトを開発するプロではない。
つまり、両方のプロになるという事は難しい事だと思います。
通常はどちらかにスキルが偏っているという事で、両者は協業しているという感じでしょうか。
もっとも、最近では開発者向けにセキュリティの教育をするような企業が増えてきています。
これが普通になって行くと思われますが、まだまだ遠い道のりだと思います。
というのも、エンジニアの教育予算をまともに取っている企業は大企業以外では少ないと思います。
脆弱性で1度痛い目にあった開発者は2度目は繰り返さないと思いますので、いつの日か全体的にレベルがUPしてくるのではないか?と未来に期待しています。
全体感としては、上記のようなものですが、私としては、開発者のテスト不足もあるように思えます。
WEBサイトでの入力項目のテスト項目には、必ずXSSの脆弱性に対応する為のテストを含める事が当たり前になっているか?という事だと思います。
また、開発手法などによっても、脆弱性が変わってくると思います。
バリデーションの部分のチェックを毎回ゼロから作っている企業はチェック自体に抜けが発生するでしょうし、毎回ソースをコピーして作っている企業は、使いまわしているソースすべてに脆弱性もコピーされてしまうと思います。
いずれにしても、テストはしっかりやった方が良いですね。という感じでしょうか。