OpenIDのようなSSO (Single Sign On）システムが脆弱だとそれを利用しているシステム全体が危険にさらされます / 認証情報を共有しているとサイトが危ないと言うことです

CSSXSSに関する説明に誤り(脅威を過剰に表現している部分)がありましたので、加筆訂正しています、とのこと

IE6の実装バグに起因する挙動なんで、性質を推定してもそれが本当に正しいのかは観察の積み上げというレベルでしかわからない

http://www.oiwa.jp/~yutaka/tdiary/20060402.html#p01 の前振り

「開発者のための正しいCSRF対策」を受けて「用語「CSRF (http://bakera.jp/hatomaru.aspx/glossary/0043005300520046)」が改定されたとのこと。

内部的にはすべてPOSTアクセスが行われるが、一般ユーザーレベルの使い勝手はリンク（a href）をクリックするのと変わらないような仕組みを、JavaScriptを駆使して実現することは可能

誤った対策その1: セッションIDをトークンとして使う/高木氏によって考案されたのち、多くのウェブサイトや書籍などで紹介されるようになった方法/この方法は「ブラウザに脆弱性がな

悪質な(本来警戒すべき)XSSによる攻撃は、認証情報を盗み、認証情報で保護されたはずの情報を盗み、認証情報で保護されたはずの機能を利用し、利用者にはそのようなことが起こってい