わずか3日前にWebのセキュリティの絶望的な状況、中でもとくにクロスサイトスクリプティング(XSS)攻撃を使う新しいベクターについて書いたばかりだが、今日(米国時間9/3)は開発フレームワークRubyOnRailsにXSSに対する脆弱性が見つかったというニュースが入ってきた。TwitterやBasecampのような、このフレームワークで構築されているアプリケーションも、当然XSSにやられやすいことになる。 その脆弱性を見つけたのはBrian Masterbrookだ。彼はTwitterでいくつかのUnicode文字を調べてみて脆弱性を発見し、おなじことをBasecampでもやってみてやはり脆弱であることを確認したので、これはRubyOnRailsの問題に間違いないと考えた。彼がやったことの詳細は、彼のサイトのこの優れた記事に書かれている。今実際にどこかでRubyOnRailsを使っている人