国民宿舎はらぺこ 大浴場

さて、任意の JavaScript の使用を許可しているサービスで、はまちやさんのような悪党（脆弱性を見つけたなら静かに通報すればいいものを毎回くだらない騒ぎを起こす愉快犯について私は悪とみなす）が続出してたいへんなことになっているか?　なっていないのが実情です。個別に取り締まれば済む話になっている。はてなの XSS 対策は、むしろハッカーの挑戦を呼んでいるだけのようにも見えます。労力をかける方向性が、何か違うのではないか。

「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしているのだろうけれど、現状、これはむしろはてなダイアリーの不便さと認識されていると思う。「なんでサイドバーの折り畳みができないの?」という話。いろいろなブログパーツのほとんどが、はてなでは使えない。戦略ミスじゃないのかな。消費者に理解されない安心感、誰もが気付く窮屈さ。

本当に「たいへんなことに」なっていないかどうかは、実はわかってない可能性もあるんだけどね。XSS アタックって普通は気付かれないように仕込むものだし。

だから、こっそり XSS アタックを仕込んでいるユーザーを、はてな親元が見つけ出して、個別に取り締まることができるかどうかは、激しく疑問。はまちやみたいな愉快犯ががんばっているうちはまだ華で、これが蔓延してきちゃうと、(はてなって場所が単なるブログサイトではないだけに) ちょっと困ったことになってしまうかもしれない。

ただ、やり方はともかくとして、「窮屈さを取り除く必要性」という点についてはおいらも激しく同意。実はこの辺の問題は、おいらも個人的にちょっと思うところがあって、実際に Web アプリとしてブログサービスを運営する立場であれば、自分が管理するサーバーはどうとでも扱うことができるわけだからいいんだけど、CMS プログラムを配布する側の立場に立った場合、プログラム側で XSS 脆弱性にあらかじめ手を打っておくべきなのか、あるいは運営者側に対策を任せるべきなのか、という部分で線引きが微妙になってくるような気がするのよね。ドキュメントに注意事項として明記したところで、文句言う人は言ってくるだろうし。。。(←ネガティブすぎる思考)

ちなみに。

不勉強なのでわからないのだけれど、管理画面のドメインを変更するのは難しいのかな……。

技術的には可能。（｀・ω・´）つ[バーチャルホスト]

あとはまぁ、「d.hatena-manager.ne.jp」みたいなドメインでも取得してくればいいという話。お金はかかるだろうけどね。

肝心なこと書き忘れてた。。。

現状はてなが新しいドメインを取得したところで、即解決とはならねっす。まずは「管理用のドメインは xxx にしたから、現状 *.hatena.ne.jp で保存されている cookie は各自ブラウザから削除しておいてね!!」というアナウンスを物凄く徹底的にやっておかないといけない。そのための予備期間をある程度設定しておいて、窮屈な機能制限を取っ払うのはその予備期間の後にする、とか。