« 希望を持って | メイン | アバウトな用語説明 -CGM- »
2006年09月27日
MovableTypeの脆弱性で話題になっているクロスサイトスクリプトとは
MovableTypeにセキュリティ上の問題
MovableTypeでセキュリティ上の問題が発見されました。ズクダスメンバーの中にも、MovableTypeを利用されている方、MovableTypeの利用を検討されている方も多く、他人事ではありません。詳しい情報と対策については、SixApartのサイトを見てください。対策としては、新バージョンに移行するか、パッチを当てる ということになりそうです。
さて、今回の問題の原因である 「クロスサイトスクリプティングによる脆弱性」とはどういうことでしょうか?
クロスサイトスクリプティングによる脆弱性とは
クロスサイトスクリプティングによる脆弱性とは、クロスしたサイトでスクリプトによって引き起こされる問題です。
分かりにくい? では、もう少し具体的に説明してみることにします。
三人の登場人物
- まずあなたです
- あなたは評判が良く、着実に売上を上げている通販サイトのオーナーです
- 次はAさんです
- Aさんはあなたのサイトの常連客です。
- 最後はXさんです
- Xさんは悪意をもって、あなたのサイトや他のサイトを攻撃しようと考えています
クロスサイトスクリプティングの仕組み
Xさんは何らかの方法であなたのサイトの存在を知り、攻撃をしたくなります。理由は分かりません。なんと言ってもXさんは悪意に満ちているのです。
行動的なXさんはあなたのサイト=ウェブページに悪意あるプログラムを仕込んでしまいました。
何も知らない善良なAさんが、いつものようにあなたのサイトを訪問します。いろいろなページを見ていたAさんは、あのXさんが悪意を持ったプログラムを仕込んだページも見てしまいます。
クロスサイトスクリプティングによる攻撃
悪意を持ったプログラムはAさんのパソコンで処理を開始します。Aさんのセッション情報を盗み、Aさんになりすまして買い物を続けるかもしれません。あるいはAさんのパソコン上のデータやAさんのメールアドレスを盗むかもしれません。あなたのページを改ざんしたり、あなたのページとまったく関係のないページへAさんを誘導してしまうかもしれません。
クロスサイトスクリプティングによる脆弱性とは、何者かが仕込んだプログラムによって、あるサイトを訪問した人の情報が、他のサイトへ漏えいしてしまう危険のことです。
スクリプトは危険か?
この脆弱性を引き起こすプログラムは、比較的簡単なプログラム という意味で「スクリプト」と呼ばれています。JavaScriptは聞いたことがあるでしょう。
しかし、すべてのJavaScriptが危険なのではありません。問題は悪意を持ったスクリプトが、あなたの知らない間に、あなたのページに仕込まれてしまう という点です。
なぜスクリプトは危険なのか?
インターネット上でページを見る方法として、検索エンジンで検索したり、お気に入りをクリックしたり、直接URLを指定します。どの方法を取ったとしても、最終的にはURLで指定されたサーバのHTMLファイルを見ることになります。
HTMLファイルを見るにはブラウザを使います。IEにせよ、FireFoxにせよ、Operaにせよ、ブラウザはページを見る人のパソコン上にあり、パソコン上で動いています。
ブラウザはHTMLにあるスクリプトを処理します。それはページの作成者が意図したかどうかには関係ありません。ブラウザでスクリプトが動作可能になっていると、読み込んだスクリプトをすべて実行します。悪意があるかどうかも関係ありません。なにより、ページを見ている人には、作成者が意図したかどうか? 悪意があるかどうか?が判断できません。
そうして、他の悪意のないスクリプトと同様に、Xさんが仕込んだ悪意のあるスクリプトがAさんのパソコンで動作を開始し、攻撃を開始するのです。
悪意を持ったプログラムは、あなたのパソコンではなく、あなたのページを見た人のパソコンを攻撃するのです。
どんなサイトでも危険なのか?
訪れた人が何も書き込めなければスクリプトも仕込めません。基本的にはフォーム入力がなければ危険は無いと言えます。MovableTypeの場合、コメントとしてスクリプトが仕込まれたのではないかと思います。かといってコメントを書き込めないブログにすることもできません。そこで、スクリプトを無力化する仕組みが新しいバージョンに組み込まれたというわけです。
クロスサイトスクリプティングによる脆弱性は何もMovableTypeに限定した危険ではありません。ウェブ上で何らかの入力欄のあるページはすべて、クロスサイトスクリプティングによる脆弱性をはらんでいます。ショッピングカートやメールフォームも例外ではありません。あなたのサイトやあなたのブログは大丈夫ですか?そして、あなたのMovableTypeは対策済みのバージョンですか?
以上、自然派診断士 佐藤でした
画像は覆面をしたログハウスです
投稿者 itleader1 : 2006年09月27日 08:59
トラックバック
このエントリーのトラックバックURL:
http://www.zukudas-m.com/mt/mt-tb.cgi/312
このリストは、次のエントリーを参照しています: MovableTypeの脆弱性で話題になっているクロスサイトスクリプトとは:
» MovableTypeをバージョン from 宿澤経営情報事務所でのつぶやき
■MovableTypeをバージョンアップ MobableTypeが3.17だ... [続きを読む]
トラックバック時刻: 2006年10月01日 02:06
» Ephedra. from Hydroxycut with ephedra.
Ephedra products. Ephedra near herb. Ephedra liquid gel products. Ephedra. [続きを読む]
トラックバック時刻: 2008年12月20日 21:21
» Vicodin online. from Vicodin.
Dangers of vicodin. [続きを読む]
トラックバック時刻: 2008年12月22日 03:06
» Hydrocodone cough syrup. from Hydrocodone international pharmacies.
Hydrocodone. Hydrocodone apap. Hydrocodone homa methyl. Buy hydrocodone online. ... [続きを読む]
トラックバック時刻: 2008年12月22日 12:19
コメント
やどつま(^ ^)です。
以前、クロスサイトスプリクティング対策のされていない
イントラネット上のWebアプリケーションを必死で
修正したことがあります。
「社内には悪人は存在しない」ことを前提に作られていたのか、
どうかは分かりませんが、インターネット上では、
性悪説で考えてシステムを作らなくてはなりません。
でも、こんなに利用者が多いシステムなのに、
今まで発覚しなかったのは、以外にみんな善人なのかなぁ・・・
(^ ^;)
投稿者 やどつま : 2006年09月29日 13:00
とっても分かりやすいです。
佐藤さんに通訳してもらわないと何も分かりませんでした。
ログハウスも順調に出来てきたんですね、ルイヴィトンの陳列棚はあるかしら?
投稿者 マドモアゼルかめきち : 2006年09月30日 09:13
はい、おかげさまで、何とか建ちつつあります。
ヴィトンの陳列棚はありませんが、ステレオが鎮座するスペースは作るつもりです。
このところ白馬小谷界隈には熊が出没し、朝夕には有線放送が「熊に注意しましょう」 と呼びかけています。一刻も早くステレオで音楽を流して、熊避けの鈴変わりにしなければなりません。すでにヤフオクでアンプを落札しています。
「熊避けは口実で、本当はアンプが欲しいんだろう」という家族からの追求もありましたが、「私が熊に襲われてもいいのか!」 と押し切って購入しました。
投稿者 アウトドア診断士 佐藤 : 2006年10月02日 10:10