注意深いユーザーでも騙される、ただし現在までに実害はなし

おーい・・・。
ってか、クロスサイトスクリプティングくらい対応しとけってば（笑）。
これに関しては、えびの日記＠XSS大王で興味深い話が〜。

検索フォームの脆弱性によるセッション Cookie 漏洩 (修正済み)
Webフォーラム書き込みの脆弱性によるセッション Cookie 漏洩 (タグ書き込み機能一時停止により対処、現在修正中)
https://com.nifty.com/forum/login.go のログインフォーム改竄による ID ・パスワード漏洩 (修正済み)
https://com.nifty.com/forum/login.go ログインフォームの脆弱性によるセッション Cookie漏洩 (修正済み)
セッション Cookie が漏洩すると、成りすましログインができてしまいます。誰かに成りすまして投稿したり、プロフィールを閲覧、修正したりすることができます。ID・パスワードが漏洩するとどうなるのかは、まあ説明するまでもないでしょう。

さらに、以下の問題が公になっています。これはニフティも把握していますが、対応予定は未定です。

セッション Cookie のドメイン設定の問題により、nifty.com 以下の任意のサイトでセッション Cookie の値を読み取れてしまう。セッション Cookie 漏洩。

範囲広っ！

クロスサイトスクリプティング脆弱性 によるフォーム捏造の場合、本物と同じ URL を持ち、本物と同じ SSL の保護が付き、本物と同じサーバ証明書がついたフォームが作れます。もちろん見た目にも全く本物と同じにできます。怪しいパラメータがつくことがありますが、本物のフォームにも長いパラメータがつきますので判別は困難ですし、パラメータを隠蔽したければ POST メソッドを使って渡してやっても問題なく動作することを確認しています。正直、私はこれにだまされない自信はありません。

そうか、不正なパラメータだけを与えるんなら、証明書やらもちゃんとしたのが付くのか〜。まあ、パラメータ隠蔽しなくても見ないだろうし（実際に見てないけども、入力ダイアログが出るんじゃなくって、普通の入力フォームで、アドレス部分にいっぱいパラメタ付く感じかな？）おいらもだまされる自信あるね！＞＜b

（XSSについて）これを防ぐためには、< (小なり記号)、> (大なり記号)、& (アンパサンド)、そして " (二重引用符) を数値文字参照や文字実態参照に変換してから出力するようにします (たとえば、それぞれを < > & " に変換します)。この変換作業が「サニタイズ」で、これによって文字列は危険でない、表示して問題ないものになります。

ふむふむ。サニタイズという名前がついていたんだねぇ。しらねがった。
というか、クロスサイトスクリプティング奥が深い！
＜img src="javascript:alert(document.cookie);"＞とかいう埋め込み方もできるのか〜。うちの掲示板imgタグは許す設定になってなかったっけか（汗）。