はてなダイアリの脆弱性について

http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_1.html
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_2.html
はてなダイアリーにも同じ脆弱性があるので、はてなスタッフの人(id:hatenadiary)は対策した方がいいと思います。
この脆弱性は知人が8月上旬頃(15日?)にはてなへ通報済みですが未だ対応されてません。

脆弱性をつくサンプル

以下のアドレスを自分のはてなダイアリーに貼り付けはてなにログインしてる状態でクリックすると強制的に明日の日付の日記が更新されます。
これをリファラスパムなどに応用すれば・・・
http://unity.to/toilet/scripts/hatena_vulnerability.php

ちなみにこの方法は更新だけではなく削除や設定変更なども可能です。

対応方法について

リファラでhatena以外をはじく方法で対応されたみたいですが、ブラウザのリファラを切る設定をしているユーザの場合、はてなへのpostが出来なくなる上記脆弱性がまだ実行可能なのでマズいです。
フォーム表示時にランダム文字列をフォームのhiddenとサーバ側に何らかの方法で持たせ、post時にその文字列をpostデータとサーバ側データでマッチさせ認証するというような仕組みや、はてなの認証Cookieを使用しフォームのhiddenにCookieの値を暗号化したものなどを埋め込み、post時にhiddenの値とCookieの値をマッチさせるような仕組みなどにした方が良いと思います。
Javaスクリプトによる強制submitだとpost出来ないように修正されているっぽいです。