@ITより。XSSは世間でいわれているほど、危なくないんじゃない？という記事。
リスクを発生頻度と影響度に応じて対策の優先度をつけたり、場合によってはリスクを保有するのもいいのでは？という意見については私も同感です。ただ、XSSに関する認識のギャップがでるのは、セキュリティ意識の高さによるものではないと思います。
XSSは2000年頃から広く知られるようになった脆弱性だと記憶していますが、私はその当初この脆弱性はセキュリティアドバイザリなどを読んだだけではわかりにくいと思いました。
SQLインジェクションなら、攻撃者がデータベースを操作できてしまうことから、システムへの影響度を想像しやすいですが、一方でXSSは受動的攻撃なので被害や影響度が想像しにくいのではないかと思います。
そこでWebサイトを運営する会社に対して「WebサイトにXSSの欠陥がある」という報告があった場合に、よくわからないからすぐに開発会社に直せたり、よくわからないから逆に放置するといったことがあるのではないかと想像します。
また記事には「XSS対策として過剰に投資する必要性に疑問を感じる」と書かれていますが、そもそもXSS対策って過剰というほどの投資が必要なものでしょうか？その辺は少し違和感を感じました。