ネットワーク障害について

現在はてなの一部のサービスでネットワーク障害が発生しております。現在復旧作業を行っております。

ご利用のみなさまには大変ご迷惑をおかけし、申し訳ございません。

  • 20:20 復旧いたしました。なお、ネットワーク機器の再起動によりトップページの障害告知ページへの告知掲載ができなかったため、本日記での告知とさせていだきました。申し訳ございませんでした。

スタイルシート内のXSS脆弱性について

はてなダイアリーを含む、スタイルシートを独自に設定できる各サービスで、スタイルシート内に記述された JavaScript を実行できてしまう XSS 脆弱性が見つかりましたので、修正を行いました。

具体的には、WindowsInternet Explorerスタイルシート内のコメント部分 (/* ... */) を無視して解釈するため、"expres/**/sion" などと記述することでサニタイズロジックを通り抜けることができるというものでした。"*/" を "*/ " (コメントを閉じた後に空白を二つに置換) とすることで、対策を行いました。

また、今回の修正に合わせて g:hatena:keyword:はてなダイアリーXSS対策 を更新いたしました。

はてなツールバーの「含むダイアリー」データの一時提供停止について

システムの負荷対策のため、はてなツールバーHatenabarの「含むアンテナ」「含むブックマーク」「含むダイアリー」ボタンの横に表示される数字データの提供を停止致しました。改善の見通しができ次第、提供を再開したいと考えております。ご利用の皆さまにはご不便をおかけし申し訳ございません。