今月の半ばに、MovableTypeのバージョンアップが発表されました。
内容は、セキュリティの問題に対する修正だったようです。
どんな問題だったかというと、管理画面から特定のコードを入力するとクロスサイトスクリプティングが発生するというものでした。
今日は、この「クロスサイトスクリプティング」について説明いたします。
クロスサイトスクリプティングとは、セキュリティ上の不備を利用して、悪意のあるスクリプトを訪問者に実行させるものです。
では、悪意のあるスクリプトがどんなことをするのかというと
- クッキーの改ざん
- 強制的に別のサイトへ飛ばす
- ページ全体を改ざん、偽装
- フォームから情報を盗む
Webに詳しい人間であれば、悪意のあるスクリプトが実行されていることに気づく場合もあります。
しかし、普通のユーザーはそれに気付かないまま、フォームに個人情報を入力して送信してしまったり、パスワードを盗まれる恐れがあります。
対策としては、サイト管理者がしっかりセキュリティ対策を行うことが第一です。
訪問者側に有効的な対策はありませんが、ブラウザの「Javascriptを有効にする」設定をOFFにすることで、一部のクロスサイトスクリプティングを防ぐことができます。
しかし、最近のWebサイトはJavascriptを活用して制作されている場合が多く、あまりお勧めできません。
安心して使うことができないサイトには、アクセスしないことが一番です。
