画像は直接観に行くしかないの？
RSSタブで一度に観れて良かったんだけど。

やっぱりこういう人もいたか。うーん、まあ俺の対応は手抜きとも言えるし安全策とも言えるが、全ての人を納得させることはできなかったようだ。
そもそも今回の脆弱性自体、簡単に攻撃を食らえる代物ではないからなあ。exploitが仕込まれる可能性があるようなRSSを購読している人はいないだろう。大勢の人が使っているlivedoor Readerにも「今回の脆弱性が攻撃に利用された形跡はありませんでした。」って書いてあるし。RSSを書き換えるようなワームが蔓延った場合はご愁傷様だが。
じゃあどうしよう。

自己責任で見放す

穴空きの設定を用意する。お父さんは心配性過ぎる！と言う典子に。

バランス型

手抜きでない対応。面倒だが、画像以外の特殊なタグ除去＋スクリプト実行不可辺りだろうか。穴になり得るタグはscript/embed/object/iframe/meta/styleぐらい？imgは仕方ないので許す。属性が困るんだよなあ。"on"で始まったら全部抜けばいいか。あとstyleにもjavascriptが仕込まれる。srcはhttp(s):のみかな。けど今度は動画が見れないとか言われたらどうしたらいいのだ。これ全部やんのめんどくさいんだけど、タブ側でスクリプト/ActiveX/Java/Meta Refreshを切って後はimg src属性チェック（追記：これも要らんね）だけでも実際は構わない気はする。それなら簡単。動画見たいって人は自己責任でフィルタを切り替えてもらえばいいし。

自己責任型＋

スクリプトやActievXを実行するのは別にユーザーが決めることで、それは穴では無い。動画が配信されるRSSだってあるだろう。危険か危険でないかをプログラムが正確に判断するのは限界があるし、致命的な問題はどこのサイトの情報も抜けて、かつどこにでも送信可能なローカルゾーンであるということなのではないか。かと言ってIEのゾーンは他のゾーンに属して無いのがインターネットゾーンであって、指定のパスをインターネットゾーンにすることは出来ない。もどかしい。XPSP2以降であれば情報バーが出せることは出せるけど、他は切り捨てってわけにもいかないし、そもそもあんなものは自己責任でセキュリティを緩めるためにあるのであって、ほとんどの人は逐一ソースを確認してからとかやらない。暴言だけども。

どれがいいかなあ。3つ目のは実現する方法を知らんので、2択か。現状維持もあるけど。
ん？3つ目のってローカルファイルにしないで、about:blankに書き込んだらどうなるんだろう。about:blankは実はインターネットゾーンという面白いものだ。リロードしたら消えそうだけどな。ちょっと試そう。