水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > MT で nofollow プラグインを無効にすると危険

MT で nofollow プラグインを無効にすると危険

2007年1月17日(水曜日)

MT で nofollow プラグインを無効にすると危険

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Movable Type Security Bug (www.zackvision.com)」。MT 3.3 にクロスサイトスクリプティング脆弱性があるそうで。

MT に詳しいりゅうさん (rryu.sakura.ne.jp)に聞いてみたのですが、どうも設計に問題があるようですね。

MT では、コメントの設定で「HTMLの利用を許可」することができるようになっています。そのときは任意の HTML が書けるわけではなくて、ホワイトリストに無いタグを全て除去するというサニタイズが行われます。

※ホワイトリストは自由に設定できますが、デフォルトでは a, b, i, br, p, strong, em, ul, ol, li, blockquote, preが許可されています。

ところが、その処理は何故か本体ではなく、nofollow プラグインの中で実装されています。どうしてそういう設計なのかは謎としか言いようがありませんが、当然プラグインは無効にできますので、「HTMLの利用を許可」している場合に nofollow プラグインが無効にされていると、任意の HTML が素通りしてしまうことになります。

もっとも、原文にも以下のように書かれていますが、

If you have the nofollow plugin enabled (which it is by default), you shouldn’t have a problem.

nofollow プラグインはデフォルトで有効ですから、デフォルトのまま使っている場合には問題は起きないはずです。意図的に nofollow を無効にしている場合には要注意ということになります。

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / Movable Type

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト