Nagios 2.5のWebインターフェースにはクロスサイトスクリプティングの脆弱性があって、Show Host:の欄に「'」付きのホスト名を入れるとイケてしまい、たとえば、

'><SCRIPT>alert(document.cookie)</SCRIPT><blah

とか入力するとクッキーの内容がダイアログで表示される。クロスサイトスクリプティングを見つけたら報告するのが趣味なので(イヤな趣味)、これはNagiosの人に言わなきゃなあと思った。が、英語で説明するのもかったるい。さてどうしよう、と思っていたら某氏から「報告すべきだと思います」と言われたのでつたない英語で報告してみた。その後2回ほどやり取りがあったのだけど、いまのところstableは2.5で、僕の英語は伝わらなかった模様。「変な画面表示されちゃうよ」とか「クッキー盗まれちゃうよ」とか言ってみたのだけど。まあ、一般に公開されるプログラムじゃないし、限られた人しか触らないような画面だから、すごい緊急かって言われると、ごにょごにょとつぶやくしかないのだけど。

ところでクロスサイトスクリプティングって基本なわりにけっこう大手とかでもミスってることあって、某CD通販サイトとか、某大手ビール会社のサイトとか、某英和・和英辞書のサイトとか、みなさんもよく使ってるであろうサイトで発見したことがある。連絡するとたいがいはすぐに返事のメールが来て、早急に直します的なことが書いてあり、そのあたりはさすが大手だなあと思いつつ、裏ではシステム担当の人が怒られて慌ててるのかなあと思うと少し気の毒ではあったり。

まあ、そんな感じですよ。

脈略ないけど、ライブ来てね。