Movable Type 4.22 の提供を開始 セキュリティアップデート

今回問題となったクロスサイトスクリプティング(Cross Site Scripting)とは?って思っている人っていると思います。

少なくとも自分は分かっていません...

なのでこんな時はWikipediaです。

…ここからが続き

クロスサイトスクリプティング(Cross Site Scripting)とは?

クロスサイトスクリプティング (Cross Site Scripting) とは、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。広義にはスクリプトを混入させずとも、任意の要素を混入させられうる脆弱性を含む。略記としてCSS、XSSがある。CSSは同分野でよく使用されるCascading Style Sheetsの略でもあるので、混乱を避けるためにXSSと表記されることが多い。

攻撃者が対象となるサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行せしめることから、クロスサイト(サイトを横断した)スクリプティング(スクリプト処理)と呼ばれる。

ウェブアプリケーションが入力したデータ(フォーム入力など)を適切にエスケープしないままHTML中に出力することにより、入力中に存在するタグ等文字がそのままHTMLとして解釈される。ここでスクリプトを起動させることにより、以下に挙げるような攻撃が成立する。

  • クッキーの値を取得あるいは設定することにより、セッションハイジャックする
  • 強制的なページ遷移を起こさせ、クロスサイトリクエストフォージェリの踏み台とする
  • ページ全体を置き換えることにより、偽のページを作り出す(典型的にはフィッシングに用いられる)
  • フォームの送信先を置換することにより、入力を第三者サイトに送信するよう仕向ける

これらの攻撃が成立することにより、秘密情報の窃取や、回復不可能な権利侵害につながるおそれがある。

引用:ウィキペディア(Wikipedia)

意味を調べてみても難しいです...

とにかく時間があいている時にアップグレードをしておきましょう。

ちなみに個人ライセンスのダウンロード先はここですよ。

Track Back

ヒロカワズタイプ。

MovableType 4.22 リリース

今回はセキュリティーアップデートとバグフィックスのマイナーチェンジです。

by ヒロカワズタイプ。  

Comment Form

※コメントが認証されるまで、コメントは反映されません。ご了承くださいませ。


(公開されません)
 
Captcha

画像の中に見える文字を入力してください。

page top へ

Sponsor

  • heteml
  • Movable Type

Category

Recent Article

2011 04-05
iPhone スマートフォンサイトのデザインのまとめ
2011 04-04
スマートフォン対応にしてみました
2011 04-01
CSS3 要素を透明に出来る Opacity と RGBa の使い方
2011 03-31
サイトリニューアルしました
2010 12-01
CSS3 でボタンを作る為のテクニック、サンプル集
2010 11-24
綺麗でリッチなフッターデザイン集のまとめ 60
2010 11-18
緑と黒色を使った Webデザインのサイト 25
2010 11-10
知っておいた方が便利なエクセルの知識

Recent Comments

Archive

2011年
2010年
2009年
2008年

Related Article