木曜日に Movable Type 技術情報にてアナウンスのあった 「【重要】 第三者による不正アクセスを許す危険性の対策について」 が結構話題になっているようですが、Six Apart からの発表にもあるとおり、
以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。
- 第三者が、Cookie の値を取得する。
- 第三者が、Movable Type 管理画面 CGI スクリプトのパスを取得する。
それほど大騒ぎするような問題ではないと思われます。
前提として 「1. 第三者が、Cookie の値を取得する。」 がありますが、 第三者が Cookie の値を取得すること自体がまずありません。そもそも簡単にそんなことができるのならそれは MT だけの問題ではなく、Cookie を使ってログインのセッションの保持を行う Web アプリケーションすべてに対して大問題な話になってしまいます。 (Cookie が絶対に安全と言うつもりはもちろんありませんが......)
当然、MT のスクリプトに XSS などセキュリティーホールが存在し、そこを突くことで Cookie が取得できてしまうというのであれば話は別ですが、今回は 「もしCookie が不正に取得されたら、MT に不正ログインされてしまいます」 っていう話で、それはそうですよねっていう...... つまりそういう話にすぎません。
なぜわざわざこのような発表をしたのかについては不明ですが、いたずらに混乱を招くような発表には疑問を感じざるを得ません。
