ここ数日、EvernoteでXSS脆弱性が発見されたことが随分と大きな話題になっていました。（この記事を書いている現在、すでに脆弱性は修正されています）

いったいどういう問題があって、どのような経緯で修正されたのかについては、下記の記事が大変分かりやすいと思います。

Evernote XSS事件のエクスプロイトとその対策過程と顛末

技術的なうんぬんについてこの記事ではあまりアレコレは書きませんが、正直今回のことはショックでした。

なにがショックかというと、こういう脆弱性があったこと自体ではなく、XSSという非常に基本的なセキュリティ対処をEvernoteがとっていなかったという点です。

私はウェブプログラミングの端っこの端っこをかじった程度の人間ですが、それでもXSS対策や、SQLインジェクションといった対策の必要性は知っています。とくにEvernoteのような個人情報も記録され得るサービスに関しては絶対に必須なはずです。

そんな基本的な対策さえ、Evernoteという一大サービスがとっていなかっというのはかなり驚きです。

が、ある意味ではこれは「クラウド的なサービスを信頼しきってはいけない」とあらためて多くの人に認識してもらう良い機会だったようにも思います。

このところあまりにこうしたウェブベースのサービスを信用しきる風潮があって、個人的には恐さを感じていました。たとえば代表的なのは以下の記事です。

いざという時にEvernoteにいれておくと便利な情報

この記事では、免許証とか健康保険証とかをスキャンしてEvernoteに入れておけば、いざというとき災害にあっても大丈夫だよ！と言われているのですが……どう考えても危険だろう、と。

しかもネタ記事かと思ったら、執筆者はナナピの運営主でもある「けんすう」さんだし、くわえてfacebookのコメントでも「そうしよう」「これはいい」みたいなのがかなりの数あって、オイオイオイオイって感じです。（一部、きちんと批判意見を書いてくれている人もいますが）

そもそもクラウドサービスにセキュリティ上問題がないかは、今回のことを見なくてもわかっていたはずです。Evernote以上に普及しているTwitterでも問題が以前指摘されましたし、現在でもOAuth認証関連ではかなり注意が必要だったりします。

参考：Is OAuth safe?: OAuthは安全か？

そして仮にサービス提供企業が完璧なセキュリティを構築できたとしても、自分のパソコンのセキュリティ上の問題（ウイルスから他人ののぞき見まで）で、自分のEvernoteのパスワードやらが流出してしまう恐れがあるわけです。

なので、私は以前からEvernoteはウェブをクリッピングした情報はどんどん同期していますが、個人的なメモはローカル（同期なし）のノートブックに入れるなどしています。ましてや個人情報書類をスキャンして入れておくなど考えられません。

便利さと危険性の天秤を保つ、ということをみんな忘れているのでは……と不安になる昨今です。

先の記事の執筆者のけんすうさんとかも、企業の経営者としては柔軟で好感が持てている人なだけに（ロケスタ社長日記とか面白いんですよ）、こういう記事を書かれているのは残念でなりません。