水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 管理画面を別ドメインに分ける

管理画面を別ドメインに分ける

2010年2月23日(火曜日)

管理画面を別ドメインに分ける

公開: 2010年3月6日13時0分頃

XSSとセキュリティリスクと正しい脆弱性報告のあり方 (d.hatena.ne.jp)」という話が。

ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。

これは意外に理解されていない場合が多いような気がしています。「JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」という問題がありましたが、製品開発者からは「管理画面にアクセスできる人はそもそも任意のスクリプトを書けるのだから、そういうもの」というような反論がありました。

これは、ある意味正しいと言えます。以下の条件のいずれかを満たす場合は問題にならないはずです。

個人が一人で使っているような場合は上記に該当するので、問題になりません。

しかし、Movable Typeは、PowerCMSとセットにしてCMSのように使うこともできます。社外のユーザーに直接コンテンツを編集してもらうため、権限を絞ったユーザーを作成することもあります。この場合、管理画面のドメインで任意のスクリプトが実行できてはまずいことになります。ですから、管理画面を別ドメインにしておくことが必須になるのですね。

というわけで、ある事象が個人ユーザーと企業ユーザーとで異なる評価になる場合は良くあります。Movable Typeは企業で使われていることもある、という認識をきちんと持って欲しいところです。

……あと後半ですが、こういう主張ですかね。

賛同できるかどうかはともかく、間違ってはいないと思います。ただし、運営者が知り合いでない場合については述べられていないので、その点は注意しましょう。

関連する話題: セキュリティ / Web

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト