May 12, 2005
いやぁ、それは今までの仕様でしょ。
どこぞの権威から突っ込まれて、晴れて脆弱性扱いになりましたってとこか。
ある種、はまちちゃん騒動と通じるものがありますな。
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性
今回発見された脆弱性は、第三者がCookieの値を取得し、Movable Type管理画面CGIスクリプトのパスを取得した場合に不正なアクセスが可能になるというもの。
いやね、確かにMTの管理画面仕様はメジャーなのでパスがすく推測できるから正直、不安だったですよ。
脆弱性対策としてCGIスクリプトのパスを変更する、使用ブラウザのCookie保持期間を限定する
1.デフォルトテンプレートについてる検索機能の送信先は、管理画面と同じパス。だから、パス変えても無駄。テンプレートから検索機能は最低限消せ。
2.使用ブラウザのCookie保持期間で解決できるなら、毎回ログアウトしとけば全く問題ないわけだが、問題は中間経路でクッキーのデータをキャプチャされたときに入れるってことではなくて?それなら改造しないと無意味ですな。使用ブラウザの操作の問題で脆弱性とか言われたくねーって感じではあるのだが。(って怒られるかな?)
3.MTをASPサービスでやってるところは、結構、如何ともし難いんじゃないの?
そっかMTってCookie認証でログイン楽だなぁと思ってたけど、今後はちゃんとログインプロセスを経なきゃいけないのね。前にシステム設計するときに、このログイン方法をやらない?って打診したことがあって、周りに嫌がられたからやめたけど、それが正しかったわけか。まさしく、ユーザビリティとセキュリティのバランスの問題だな。
やっぱユーザビリティとかも含めて物事を考える時は、システムも理解してなきゃいけない or 会話できるスキルとか、周りに会話できるスタッフがいないとWebではダメなんだなぁ。
MTにせよmixiにせよ、なんと性善説なシステムだなと思ってたが、誰も文句つけずに一気に広まったもんで世の中こういうものなのかな?、あながち厳しい人ばかりじゃないのねとか思ってたら、そんなことはなかったということで、なるほど心中は複雑。
でも、一点だけ思えるのは、
「性善説でシステムを作れると、使いやすいし楽しいものが作れる」
でも現実には無理なので、そこのバランスをどう取るか?なんでしょうね。
-追記----------------------------------------
あーバカでした
コメントのcgiとトラックバックのcgi(必要なら検索cgi)を許可して、それ以外の管理画面パスに、IP制限なりをかけないと、管理画面のURL情報は丸見えでしたね。