昨日收到雅虎國際資訊股份有限公司 (Yahoo!奇摩) 求才信函一封，顯然是直接使用 OSDC 的報名者名單發送。對於這種 Spam 真是敬謝不敏，雖說 Yahoo 每年都贊助 OSDC 活動，去年也吃了他們一頓，但是這樣的公司居然自己送起 unsolicited bulk e-mail 徵才，而且郵遞名單居然還不是 BCC，未免令人反胃。想必我肯定不是 Yahoo! 願招募的對象，只好送張好人卡給 Yahoo!奇摩謝絕好意。

此外，Yahoo!最近做了一個 Prevent Password Theft (安全圖章) 功能，這個功能是再登入介面的左上角置入一個文字或圖案，如此登入時可以驗證是否為當初所設定的圖章，以驗證為 Yahoo! 之官方網頁。然而這個登入網頁根本有一個 XSS，任何有心人士都可以隨意擺上個連結，竊取帳號密碼。如果這個 XSS 的問題沒有修正，安全圖章一點用都沒有。Zuso Security Group 做了一個 PoC – Yahoo Global XSS (login page)。