スウェーデンの総選挙でJavaScriptコードとして1票が投じられる 18
ストーリー by hylom
ある意味スクリプト混入攻撃 部門より
ある意味スクリプト混入攻撃 部門より
masakun 曰く、
9月14日に行われたスウェーデンの議会選挙で、JavaScriptコードで1票が投じられたことが話題になっている(WIREDの記事)。
人口959万人のスウェーデン王国では自書式投票が可能で、全投票が記録公開される。そのため以前から「ドナルドダック党「というジョーク政党に百数十票程度投票されてきた(架空政党のため無効票となる)。そしてこのたび2014年の投票もすべて公開されたのだが、「統合失調症・自閉症党」「若き火山」「バンコクのバーにいる女の子たち」というふざけた投票に混じって、次の一文があったという。
"script"alert('l')"/script"
これはscriptタグとJavaScriptのalert()関数を使って「I(わたし)」がポップアップする Javascrpt コードを、選挙監視員が間違って書き写したようだ。ただしリンク先のセミコロン区切りファイルをみると、投票者の個人情報まで公開されているような気がしてならないのだが……。
ジャヴァスクリプ党に一票 (スコア:3, おもしろおかしい)
Re: (スコア:0)
水銀党以外に投票とかあり得ない
Re:ジャヴァスクリプ党に一票 (スコア:1)
O/T 承知で。
実在する人に投票するならこん平党 [wikipedia.org]かなあ
元のファイルでは I じゃなくて l だった (スコア:2, 興味深い)
wired.jp では "I" (大文字のアイ )になっているが、元ファイルでは、"l" (小文字のエル)になってる。wired.jp もファイルの中身を引用している部分では小文字のエルを使っているのに、それを説明する文章で「これは、「I」が1文字だけ書かれた警告ボックスをポップアップさせるJavaScriptだ」と大文字のアイになっている。記事を書いた人が見間違えたのか、元は I だという確信があるのか、どっちなんだろう。
最初から正確に書き写されていないようなので、元は 1 とか ! とかの可能性もあるかも。だからといってどうということもないのだが、どういう意味なのかについては多少好奇心をそそられるものがある。"I" と考えれば、「俺」に投票するぞ、とalertで強調しているという解釈が成立するが、それならスウェーデン語の一人称を使うんじゃないだろうか。"!"の方がありそう。
Re: (スコア:0)
ほかにも、
「選挙監視員が間違って書き写したようだ。」
とタレコミ人は書いているが、間違ってではないと思う。
監視員がJavaScriptに詳しくて意図的に直したか、あるいは掲載するシステムが勝手にサニタイズして変換したんだと思う。
タレこみ人です (スコア:1)
>監視員がJavaScriptに詳しくて意図的に直したか、あるいは掲載するシステムが勝手にサニタイズして変換したんだと思う。
その根拠は?
モデレータは基本役立たずなの気にしてないよ
Re:タレこみ人です (スコア:1)
根拠ってほどじゃないけど、
バグ報告で「書いたのと違うんだけど?」って挙がってきて、引用符絡みだったら、サニタイズを疑うかな。
Re:タレこみ人です (スコア:1)
Re: (スコア:0)
「l」と「I」なら間違えたと考えられなくもないが、「<>」を「”」と間違えるなんて無いだろ。
「その根拠は?」って質問すること自体、恥ずかしいと思わない?
恥ずかしいと思わないなら、君はそのままその道を行け。
Re: (スコア:0)
個人情報も出てくるみたいだし
「I」なんじゃなかろうか?
「私」「●●●個人情報●●●」
となるようXSSまで想定した立候補だったんだよ
Re: (スコア:0)
スエーデンの有権者は530万人といった数、どんなファイルかと思ったらどうも違う。
タレコミは「選挙区」の名称を個人名だと勘違いしたのじゃあるまいか?
あるいは投票された「候補者」の個人名かな?
Re:元のファイルでは I じゃなくて l だった (スコア:1)
1)2)の場合は自分の投票したい政党名が印刷された投票用紙を1枚選んで投票、2)の場合は必須ではないが候補者名に印をつけて選択可能です。3)が今回話題になっている分の票になります。1)2)が用意されるのは、直近2回の選挙でいずれも得票率1%以上の政党のみとなり、それ以外の政党に投票する場合には3)を使います。
投票用紙は周囲から見える場所に置かれており、1)2)は取るときに投票先の政党がわかってしまうため民主的でないとの批判もあるようですが、今回のリストに個人情報が含まれているようには見えませんね。
クロスサイトスクリプティング? (スコア:1)
投票結果がWebサイト上で公開されることを前提として、XSSを狙って書いたのか?
Re:クロスサイトスクリプティング? (スコア:1)
公開サイトはこちら。Statistik - Val 2014 [www.val.se]
ただし投票結果は xls と skv ファイルで公開されている。
# タレこみ時点では Twitter [twitter.com] を参考にしたのでID
モデレータは基本役立たずなの気にしてないよ
JavaScript 「コードとして」? (スコア:0)
タイトルで何を言いたいのかがわからないよ。
JavaScript のコードが投票される、のほうが遥かにわかりやすいじゃん。
ほんとhymlaの編集は害悪でしかない
Re:JavaScript 「コードとして」? (スコア:1)
Re: (スコア:0)
「JavaScript = EcmaScript + ブラウザ環境のオブジェクト」
なのかと思ってた…。
Re: (スコア:0)
これはscriptタグとJavaScriptのalert()関数を使って「I(わたし)」がポップアップする Javascrpt コードを、選挙監視員が間違って書き写したようだ。ただしリンク先のセミコロン区切りファイルをみると、投票者の個人情報まで公開されているような気がしてならないのだが……。
Javascrpt コード……