年の瀬なので、ちょっと暗い話をしてみる。
僕が今使っているレンタルサーバーはかれこれ五年ほど使い続けてるんですが、元々使っていたレンタルサーバー屋が倒産しドメインの管理もまともに引き渡されず途方に暮れていたところでたまたま見つけ、藁にもすがる思いで助けを求めたところ即座にドメイン管理権限を引き取ってくれ、しかもかなり親切かつ迅速というサーバー屋さんの模範のような会社だと思っています。
なので速攻で契約してから特に不満もなく、ほんのたまにサーバーダウンなどしていても、メールで連絡すれば夜中の三時とかでも10分ぐらいで連絡が来たりしていて、実際とても信頼しているのです。
しかしここ1-2年ほど個人的にある不満が溜まってきていました。
実は今年の2月頃のことですが、Movable Type 3.15を使っていた際に所謂セッション・ハイジャック脆弱性と思われる挙動を見つけてしまいました。
シックスアパート社とJVNにそれぞれ詳細とともに通知していたのですが、これが公表されたようです。
JVN:
Movable Type におけるセッション管理の脆弱性
シックスアパート:
【重要】 第三者による不正アクセスを許す危険性の対策について
こうした脆弱性がしっかりと公表され、(まだ現行の日本語バージョンではFIX版が提供されていないようですが)対処がされるのはよいことなのですが、上記の公式情報などでは詳細があまり触れられておらずユーザーに具体的なリスクが分からないようにも感じます。
少しまだ早いかなと迷うところもあったのですが、ベンダーによって告知もされたことですし一部誤った理解をされている方々もいらっしゃりそうなため、通報者として具体的な脆弱性内容を明記して啓蒙させて頂こうと思います。
Powered by WordPress.
Template based on praegnanz.de.
![[Atom]](http://www.rocaz.net/pic/feed-icon-blue.png){kind=icon}
![[RDF Site Summary 2.0]](http://www.rocaz.net/pic/feed-icon-red.png){kind=icon}
Recent Comments