MovableType脆弱性の話

なんかMovableTypeに脆弱性があるとかで盛り上がってるみたい。
遅ればせながらちょっと読んでみた。

元報告者の意見。
Movable Type 3.151以前のセッションハイジャック脆弱性問題 - 「旅行びと日記」日記
大御所の、擁護意見。
Movable Type の脆弱性の件 - NDO::Weblog
MTの認証Cookieに関する脆弱性とされているものについて - tdiary.ishinao.net

んで、印象。
処々の事情からSixApartからの印象が悪くなるような発言はしたくないんだけど、これはやっぱり脆弱性じゃないのかなあ、という気がする。

• Cookieを抜かれたら危険、なんてのはPasswordがばれたら危険、というのと同じで、それを前提として脆弱性というのはおかしい
• Cookieがばれたら危険になるのはどんなアプリだって同じ

と、概略そういう感じの擁護意見が出ているわけですが、
確かにPasswordを他人に教えたら危険になるから脆弱だ！というのはおかしいけれど、Cookieに関しては元報告者さんの言うとおり、Passwordをうっかり漏らしてしまったというような個人の過失がなくても、続発するブラウザの脆弱性のためにCSS攻撃を受けて抜かれる、といった事があるわけであり、
それは悪いのはIEやfirefoxであってMTではないわけだけれども、これだけの頻繁に脆弱性が報告される以上、Cookieが抜かれるというのは個人の過失でのPassword漏洩と同レベルの問題ではなく、また予見可能だったと言えるんじゃないかと思う。
（もし俺がSixApartの技術者だったら予見できていたか、といえば、それはできなかっただろう、としか言えないけど、ただもし大きな問題がもし起こってしまって社会的責任を問われるような際に、第三者的立場から予見可能か否かと判断されるような事態になったら、間違いなく予見可能と裁定されるものだと思う。）
その予見可能な事態に対して危険を極小化するような措置が行われていなかったとすれば、やっぱり脆弱性と言っていいのでは？と思うのです。

Cookieが漏れればどんなアプリでも危険、という話については、これも元報告者さんの書かれているとおり、確かにどんなアプリでもCookie抜かれれば危険になるのは当然だけど、そこでセッションを使っていればその危険を一時的なものにとどめる事ができるにも関わらず、ID/PWのハッシュを使っているために危険が恒久化されてしまう事が問題なので、これもやはり反論として的外れ感。

というわけで、個人的には（そこまで重大かどうかは別として。緊急度は「低」だと思う）やっぱりこれは脆弱性といってよいのでは、と思います。
ちなみに、こう書いていることと、私がそんなレベルの脆弱性さえないようなアプリを作れるレベルの人間かどうか、という事はまた別問題ですので...。

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃
こう書くと、「通信路でパケットキャプチャされてID/PW抜かれたらどんなアプリだって危険だろうが、そしたらID/PW使ってるアプリはみんな危険なのかよ」とか、そういう事を言われたりもするのかな、と予測するのですが、
通信路を暗号化してどうこうするというのは、httpdの設定で行う事なわけなので、httpdとセットのソリューションとして出しているのでない限り、アプリ側ではどうしようもない事なわけです。
その意味では、Cookieが抜かれた際にどんな作り方をしても一時的な危険状態になってしまうのは、これもアプリ側としてはどうしようもないわけで、これはアプリの脆弱性とはいえない。
でも、そのCookieが抜かれた際の被害を一時的にとどめるか、恒久化されてしまうかは、アプリの作り方によるアプリ側の選択肢なわけで、
Webの脆弱性に関してはアプリではどうしようもないところがあるのは認めますが、それが起きた際に被害を極小化する選択がなされていなかった事が問題だと思うわけです。

というか、Cookie抜かれた際の対処考えなくてよい、というのならCookieにID/PW入れてもええやん。
通信路でキャプチャされて危険なのは、最初のログイン時も一緒だし。危険の頻度は増えるけど。

[composed and posted with ecto]