セキュリティ用語事典[クロスサイトスクリプティング]2000年2月にCERT/CCとMicrosoftから「クロスサイトスクリプティングの脆弱性に関する問題」の勧告が発端。
検索エンジンなどのWebサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることを、クロスサイトスクリプティングと呼ぶ。当事者の意図しないところで情報が引き抜かれる点を考えると、一種のハッキング行為に相当すると見ても筋違いではない。
このように、脆弱性のスキを突いた攻撃によって、サーバで認証を行うユーザーのcookieが盗まれ、他人によって認証をパスされるなどのセッションジャックが可能になる場合もある。特に商用サイトにおいては重大な問題として取り上げられているが、いまだに解決されていないところも多いのが現状。
「クロスサイトスクリプティング」の意味をちょっと調べてみたらこんなことらしい。で、本題だが「Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします」ということになり、9月26日にMovable Type 3.33がリリースされた。早速インストール。
ちょうど、小生の借りていたレンタルサーバのサーバハードディスクがぶっ壊れて、すべてがぶっ飛んだところ。MySQLのデータは残っていたが、復旧がどうしてもうまくいかなくてすべてまっさらに。まあこういうこともあるでしょうと言うわけで。
コメントする