ふむ、単純なXSSだけども、脆弱性と言っていいのかなあ。

ようするにMixi外でのアクセスもMixiアカウントを持っていれば、Mixiによってアクセス者が特定される、ということ。しかし、Mixiに登録してある情報は「友人まで公開」「友人の友人まで公開」と設定可能であるし、漏れたところで被害と言えるようなものは無いんじゃないだろうか。

まあ、この手の手法は被害者がアクセス者なので、refererを見ることで対策が可能ではあろう。自分以外にrefererを書き換えられる人がいない、という前提なので、UAの脆弱性を利用されて書き換えられた場合はダメダメだけども。ま、複数の脆弱性を利用されるというのはよくあることとはいえ、そこまで考慮する必要もあるまい。ただ、外部からのリンクが不便になってしまうので、そこらへんは考慮したいものである。

(@141)