自分も仕事がら、セキュリティに関連しているのでいろんな情報を集める。その中で、XSSは本当に危ないか？（URL:http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/013.html)という記事があった。この記事は、「XSSについての認識はどうなんだろう？」というような趣旨のものであった。
そして、記事の中で「ビジネス上、業務上のリスクを勘案した場合は、XSSのいちづけはその時々によって変わる」というようなことがかいてありました。
これは、確かに自分の意識ともあうかな、という点もありました。XSSがあったとして、それがどこにあったかにより、問題の発生の仕方はがらりと変わると思います。たとえば、画面遷移の管理の厳しい、しかも認証も厳しいシステムでXSSがあったとしても、それがどこまで悪用できるのか？　という問題があるとおもいます。そもそも発生させ、悪用させることがむずかしければ、そのXSSのおしえるところは、「そのシステムが単純に表示の際に制御文字などの考慮がなされていないシステムである」というところになり、直接の影響はあまり出ないということも多くなるでしょう。逆に、一般向けWebメールサービスや公開掲示板、ブログなどにXSSがあった場合には「そのシステムを利用するすべての利用者（＝ほとんどすべての一般の人）に深刻な影響がありえる問題」として扱う必要があるでしょう。
そして、これはXSSに限りませんが、「その脆弱性を使われることで、だれがどの程度損をするのか？　攻撃のコストに見合う対価があるのか？」　やはり議論はそこに尽きるのではないかと思います。
セキュリティの末端に携わる者として、それは意識しなくては、とおもいました。