☆セキュリティアップデート Movable Type 5.02 の提供を開始

| コメント(0) | トラックバック(0)

 Movable Type 5.02 がリリースされました。さっそくインストールしてみました。5.02 リリースノート で、私が興味を惹かれたのは「ページ分割が、ダイナミックパブリッシングで正しく動作しない。」が、修正されているところです。ダイナミックパブリッシングに設定している方には朗報です。

 Movable Type Advanced&Movable Type 5.02リリース - The blog of H.Fujimoto にも、アップデートの要点がわかりやすく書かれています。

 5.01 と 5.02 との差分は、Movable Type 5.02 リリース(差分ファイル一覧) に詳しく書かれています。

 確認された問題として「アプリケーション上の入力項目の一部において、適切に入力エスケープ処理されないため、サインインしたユーザーが特殊な操作をおこなうと、クロスサイトスクリプティング(XSS)が発生しうる。」とある。よく聞く脆弱性なので調べてみました。

クロスサイトスクリプティングとは 【XSS】 - 意味/解説/説明/定義 : IT用語辞典

ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のこと。

悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。

このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうる。

悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。

スクリプトの内容によってはCookieデータの盗聴や改竄などが可能なため、商取引に使ったCookieを横取りして、本人になりすまして物品の購入を行なったり、Cookieを認証やセッション管理に使っているサイトに侵入したり、より広範かつ深刻な損害を与える可能性がある。

対策としては、訪問者からの入力内容をそのまま表示せずに、スクリプトなどのコードを識別して無効化する処理を施すことが必要である。

この記事と同じカテゴリの記事

この記事と同じタグの記事

トラックバック(0)

トラックバックURL: http://flowerwind.sakura.ne.jp/mt5/mt-tb.cgi/1141

コメントする

このブログ記事について

« 前の記事|ホーム|次の記事 »

このページは、理恵が2010年5月12日 14:04に書いたブログ記事です。

ひとつ前のブログ記事は「☆システム最適化サービス「Windows Live OneCare PCセーフティ」」です。

次のブログ記事は「☆連続テレビ小説 ゲゲゲの女房(NHK)」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

アーカイブ

ステータス

ブログ記事: 1630
コメント: 381
トラックバック: 186


最終更新日:2014/05/13 20:13:04

OpenID対応しています OpenIDについて
Powered by Movable Type 5.07