そろそろ日経SYSTEMSがDISられた理由について解説しておくか

最近、日経SYSTEMSが間違いだらけの記事を公開した件について XSS Mongers から痛烈に DIS られたりしているのだが、それについて解説しておこう。

発端はライブドアの伊勢さんのこの記事http://itpro.nikkeibp.co.jp/article/COLUMN/20080528/304429/である。この記事は2007年9月に発表された記事の再掲である。この記事の最大の問題点は「クロスサイトスクリプティングを理解していないこと」にあります。クロスサイトスクリプティングは、現在では*基本的に*ローカル・ディスクのデータを改竄(ざん)されたりするといった被害は直接的には発生しません。おりしも、この記事が公開される何年も前から サニタイズ言うなキャンペーンが展開され、XSS対策のあり方について周知しようという高木浩光氏の動きがあった中で、このような間違いだらけの記事がでたこともあって、内容が悪かったというところもあります。

XSS がよくわからない人のために解説しておくと、2008年に scanf(3) を使うサンプルコードが公開されたようなもの

そして、この記事の一番の問題点は

出典:日経SYSTEMS 2007年9月号 88ページから
(記事は執筆時の情報に基づいており,現在では異なる場合があります)

と下部にちーさく書いてあるという点。そして、現在では異なるどころか2007年の執筆当時の時点ですでに間違いが多いという点にあります。間違い記事の再掲なら、そうとわかるように、もっとわかりやすい位置に記述してあれば問題はなかったのです。

(本日の参考文献: http://d.hatena.ne.jp/tokuhirom/20080603/1212456790)