水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年1月 > 2007年1月17日(水曜日)

2007年1月17日(水曜日)

MT で nofollow プラグインを無効にすると危険

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。

MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。

MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。

※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。

ところが、その処理は何故か本体ではなく、nofollow プラグインの中で実装されています。どうしてそういう設計なのかは謎としか言いようがありませんが、当然プラグインは無効にできますので、「HTMLの利用を許可」している場合に nofollow プラグインが無効にされていると、任意の HTML が素通りしてしまうことになります。

もっとも、原文にも以下のように書かれていますが、

If you have the nofollow plugin enabled (which it is by default), you shouldn’t have a problem.

nofollow プラグインはデフォルトで有効ですから、デフォルトのまま使っている場合には問題は起きないはずです。意図的に nofollow を無効にしている場合には要注意ということになります。

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / Movable Type

出会い系サイトの脆弱性

迷惑メール54億通を送信した業者が逮捕される (slashdot.jp)」だそうで。

この前、仕事で出会い系サイトをいくつか見たんですが(ええ、仕事ですよ仕事!)、何か妙に基本のデザインやUIが一緒で、出会い系サイト構築パッケージとか制作・運用を一手に引き受けている業者があるのかなと思いましたね。

以上、出会い系サイト より

それはあるようですね。IPAX2006 で喋った時に言ったような気がしますが、spamメールに記載されている URL を見に行くとたいてい脆弱で、しかも複数のサイトに全く同一の脆弱性があったりしますので。

関連する話題: Web / セキュリティ

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング