[openmya:035806] IE における "expression" の過剰検出による XSS の 誘因 - 葉っぱ日記
IE における "expression" の過剰検出による XSS の 誘因
出てきますネー＞IE7。ってかIE7もいろいろ試してみないとならなそうだけどなあ。
しかしまあ、マイクロソフトさんは特にIEの場合はこの手の情報の取扱いはきわめて慎重で、いっそ臆病と言っていいくらいだと思うんですよね（笑）。あっしもIEが落ちるネタを届け出たら、「脆弱性ではありません」と言われたですよ。日本のマイクロソフトさんにはかなりがんばっていただいたんですけどねえ。まあ確かに「脆弱性である」ということを認めたら、会社としちゃその時点でエライ騒ぎになるわけなので、そういう事態にならない方向に持って行くという気持ちもわかりますが、「落ちる」のに脆弱じゃねえよ、と言われてもそりゃへそが茶を沸かす気がするですよ。まあそのときはスキームに甘えてPOCとか作ってなかったんだけど、そういうブツが出ないと認めていただけないのかなあ？
このネタに関しても、「過剰な」検出というところに葉っぱさんのやるせなさを見るわけですが（笑）、解釈上仕様であるにしろバグにしろ脆弱性にしろ、Webアプリを作る人に余計な手間を生じさせることには違いないわけで。これってたいそうな社会的損失じゃねえの、とか思うわけですよ。まーマイクロソフトさんは訴訟には強そうだけど（笑）、修正費用寄越せ訴訟なんて起こされたらどうするんでしょうかね？