なんか｢Movable Type｣に脆弱性発覚っていう話なんですけど、内容読んでみると、数ヶ月前から｢Movable Type｣使ってblogを構築している技術系blogサイトが指摘していた脆弱性なんですよね。なんか、ニュースサイトとかでも大々的に取り上げられていたりして、なんか今更大騒ぎって感じなんてけど、ひっそりとした知られていた事が公になっちゃっいましたよ。次のバージョンで、こそっと修正してくれりゃ問題ないモノを...。

愚痴を言っても仕方がないので、開発元のサイトに書かれている方法で、修正を試みてみました。

【重要】 第三者による不正アクセスを許す危険性の対策について

Movable Type(ムーバブル・タイプ)の脆弱性により、第三者による不正なアクセスが可能であることが確認されました。Movable Typeのセッション管理で使われるCookieの値に、ハッシュ化されたユーザーアカウント情報が含まれており、以下の条件を全て満たした場合に、第三者による不正なアクセスが可能になります。

引用先：Six Apart Japan：Movable Type：ニュース

と・こ・ろがっ、

システムをSSL化したらいいとか、リネームしたらいいとか、書いてあったんですが、コレやっちゃうとシステムの設定とかを、けっこういじる事になるので、次のバージョンアップが激しく面倒になりそうな予感がします。

とりあえず、他に方法がないかと、よく読んでみると、自分のブラウザーから、cookieを使ってパスワードとかを盗むようなので、変なエロサイトとかアングラサイトをブラウザーで開けている状態でblogの編集はしないようにする事と、作業が終わったらちゃんとログアウトするように習慣づけておく事、パスワードをブラウザーに記憶させない事、そして、ログアウト後にcookieが削除されないブラウザーを使用している場合は、手動で削除するようにしておけば、システムいじらなくても問題無いようですね。

実は、脆弱性発覚の数ヶ月にこの作業が書かれていたサイトを読んでから習慣づけていたので、個人的には苦じゃないんですが、自分は面倒くさがりだと思われる方は、システムをいじちゃった方がいいかもしれませんね。後でまとめて面倒な方がいいか、毎日ちょっとだけ面倒か、どちらを取るか、それだけです。けど、ここまで大々的に報道されてしまったので、とりあえず、新しくエントリーを書く度に、ログのバックアップをとっておくことにします。侵入されてデータを消されても修復は可能だと思うので...。

ただ、自分としては、この約束事を守らないといけないのは6月の次期バージョンリリースまでと分かったのは、ちょっとうれしいですね。ただ、こんだけ重要な脆弱性を放置しておくのはまずいと思うので、6月上旬とは言わず、5月下旬に前倒ししてリリースしてくれるとおもっとうれしいのですが、それはダメ?