MT で nofollow プラグインを無効にすると危険
2007年1月17日(水曜日)
MT で nofollow プラグインを無効にすると危険
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。
MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。
MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。
※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。
ところが、その処理は何故か本体ではなく、nofollow プラグインの中で実装されています。どうしてそういう設計なのかは謎としか言いようがありませんが、当然プラグインは無効にできますので、「HTMLの利用を許可」している場合に nofollow プラグインが無効にされていると、任意の HTML が素通りしてしまうことになります。
もっとも、原文にも以下のように書かれていますが、
If you have the nofollow plugin enabled (which it is by default), you shouldn’t have a problem.
nofollow プラグインはデフォルトで有効ですから、デフォルトのまま使っている場合には問題は起きないはずです。意図的に nofollow を無効にしている場合には要注意ということになります。
- 「MT で nofollow プラグインを無効にすると危険」へのコメント (3件)
関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / Movable Type
- 前(古い): 出会い系サイトの脆弱性
- 次(新しい): 新 Let's Note
