>名無し娘。 ◆iLoGoA.H/Mさん
看板を置いてある方ではなくて、変更スクリプトからSETTING.TXTに反映する時の話です。
SETTING.TXTには「BBS_TITLE_PICTURE」の項目があるわけですが、
通常は BBS_TITLE_PICTURE=http://example.com/kanban.js
のように看板が設定されています。

悪意のある人が変更スクリプトを操作すると、このURLが
http://example.jp/attack.js に変更することが出来てしまうので、
設置場所が安全なだけではダメなんですよ。

この悪意のある人というのは、変更人さんのことではなくて、
スクリプトを誤作動させたり、変更人さんのアカウントが流出したり、
また盗もうとした人のことです。

例えば、削除スクリプトでそういう事が起こったとすると、
ものの数分で全スレ消すこともできますので、
そういう事を想定した仕組みを入れています。
むしろ、まだ足りないと思ってるぐらいですよ。
コメントアウトしたり、いれていないコードもありますので。

> 新しい変更スクリプトの仕様(JavaScript NGとか)ありきな気がするんですけど
そう書いているつもりですよ。。。