タイトルの件は置いといて。

先日のこの記事のコメントにて、某プラグイン作者様より、「XSS脆弱性(ぜいじゃくせい)」なんて言葉があったので、ちょっと分からない方の為に、簡単に説明してみたいと思います。

XSSとは、"Cross Site Scripting"の略で、それだったら略したらCSSじゃん!となるわけですが、スタイルシートのそれと混同してしまうため、XSSと略称されています。

悪意のある訪問者が、セキュリティ上の「穴」を攻撃(スクリプト混入されたりだとか)されて、個人の情報が漏れたりだとか、恐ろしい結果に繋がるわけです。

昔、携帯サイトの掲示板なんかで攻撃されているのを見かけた事がないでしょうか?例えば、真っ白になって表示されなくなっていたりとか。
あれもXSSの餌食となっていたわけです。
auには効くけど、ドコモには効かないとかいうのもあったなぁ。。。

最近では矢吹さんのLOCOBOARDなどの高機能な掲示板が登場してきて、タグ不可などの機能は当たり前になってきました。

で、PAPALOGが使っているMobile Eye+ですが、コメント表示部分にXSS脆弱性があると指摘がありました。
んなもん私はMobile Eye+を使い始めた瞬間から、それにあたる部分を修正しています。

問題のそれは、Mobile Eye+のプラグインに含まれるfunction.phpの31～32行目の全角英数字カナを半角にする関数で、オプションのaを使っている事が原因なようです。(デフォルトではaskVが設定されている)

全角を半角にすることでの省パケ機能として設定されているもので、管理画面の設定でも使用する・使用しないが選択できるのですが、このmb_convert_kana()のaオプションがちょっと厄介で、英数字だけでなく、ASCII記号までも半角にされてしまうわけで、要は→＞までもが>に変換されるという事態に。。。

で、ワタシは何故即座にここを修正したか。

半角カナが苦手だからというオチですｗ

しかしながら、コメントいただいた某プラグイン作者様、ご指摘ありがとうございます(_"_)
フッターの十六夜.jpへのリンクの件は、確かに気になっていたので、ご指摘どおり修正いたしました。

関連する投稿

• WPtouchを使ってみた
• Wordpress 2.8.2がリリースされました
• Wordpress用テーマに「Aqua Bar」を追加
• 予告どおりPAPALOG改装
• サーバーを移転して苦労した事。