水無月ばけらのえび日記

管理画面を別ドメインに分ける

公開: 2010年3月6日13時0分頃

「XSSとセキュリティリスクと正しい脆弱性報告のあり方 (d.hatena.ne.jp)」という話が。

これは意外に理解されていない場合が多いような気がしています。「JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」という問題がありましたが、製品開発者からは「管理画面にアクセスできる人はそもそも任意のスクリプトを書けるのだから、そういうもの」というような反論がありました。

これは、ある意味正しいと言えます。以下の条件のいずれかを満たす場合は問題にならないはずです。

• 管理画面と同じドメインにコンテンツがパプリッシュされている
• ユーザーが一人しかいない、もしくは管理者ユーザーしかいない (権限を制限していない)

個人が一人で使っているような場合は上記に該当するので、問題になりません。

しかし、Movable Typeは、PowerCMSとセットにしてCMSのように使うこともできます。社外のユーザーに直接コンテンツを編集してもらうため、権限を絞ったユーザーを作成することもあります。この場合、管理画面のドメインで任意のスクリプトが実行できてはまずいことになります。ですから、管理画面を別ドメインにしておくことが必須になるのですね。

というわけで、ある事象が個人ユーザーと企業ユーザーとで異なる評価になる場合は良くあります。Movable Typeは企業で使われていることもある、という認識をきちんと持って欲しいところです。

……あと後半ですが、こういう主張ですかね。

• 運営者に知り合いがいる場合、直接伝えると対応が早い
• 運営者に知り合いがいる場合、「ゼロデイを公開する」と言って強迫すると対応が早い

賛同できるかどうかはともかく、間違ってはいないと思います。ただし、運営者が知り合いでない場合については述べられていないので、その点は注意しましょう。

• 「管理画面を別ドメインに分ける」にコメントを書く

関連する話題: セキュリティ / Web