避脆弱性　

ひぜいじゃくせい

MovableType4.12→MovableType4.14へアップグレードとなりました。

理由は

クロスサイトスクリプティングによる脆弱性が確認されました。この問題に対処するため、Movable Type の修正バージョンを公開いたします。脆弱性の修正バージョンとなりますので、対応するバージョンへのアップデートを 強く推奨 いたします。

ということです。

詳しくはシックス･アパートのニュースリリースを見て下さいね。

さて、不勉強の私には『クロスサイトスクリプティング』なる言葉が意味不明。

で、調べてみましたが・・・ややこしいねぇ。

wikipediaによると

クロスサイトスクリプティング (Cross Site Scripting) とは、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させること。また、それを許す脆弱性のこと。広義にはスクリプトを混入させずとも、任意の要素を混入させられうる脆弱性を含む。略記としてCSS、XSSがある。CSSは同分野でよく使用されるCascading Style Sheetsの略でもあるので、混乱を避けるためにXSSと表記されることが多い。

攻撃者が対象となるサイトとは異なるサイトからスクリプトを送り込み、訪問者に実行せしめることから、クロスサイト（サイトを横断した）スクリプティング（スクリプト処理）と呼ばれる。

• クッキーの値を取得あるいは設定することにより、セッションハイジャックする
• 強制的なページ遷移を起こさせクロスサイトリクエストフォージェリの踏み台とする
• ページ全体を置き換えることにより、偽のページを作り出す（典型的にはフィッシングに用いられる）
• フォームの送信先を置換することにより、入力を第三者サイトに送信するよう仕向ける

これらの攻撃が成立することにより、秘密情報の窃取や、回復不可能な権利侵害につながるおそれがある。

と、説明があります。（細かすぎて読む気も失せます・・・）

はい、納得した人手をあげて～

はい、少ないですねぇ～

つまりは専門的知識が必要で、コピペなんぞを多用している人には意味不明と言うことですかね（笑）

簡単に言えば、

アップデートしないとやばいことになるぞっ

ということでしょう。

よくわかりにくいので探してみました。

@ITのセキュリティー用語辞典によると

検索エンジンなどのWebサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることを、クロスサイトスクリプティングと呼ぶ。当事者の意図しないところで情報が引き抜かれる点を考えると、一種のハッキング行為に相当すると見ても筋違いではない。

このように、脆弱性のスキを突いた攻撃によって、サーバで認証を行うユーザーのcookieが盗まれ、他人によって認証をパスされるなどのセッションジャックが可能になる場合もある。特に商用サイトにおいては重大な問題として取り上げられているが、いまだに解決されていないところも多いのが現状。

と、ありました。

これなら少しは判りやすいのではないでしょうか？

いかがでしょ？

PC用語はやはり難しいです。

うちの母曰く

宇宙語

ですからね（笑）

はい、無事にアップデートも終了～