クロスサイト・スクリプティング
参照:phpMyAdmin
いささか古い話になるが、phpMyAdminにセキュリティ上の脆弱性が発見されたとのことで、最新版(2.6.0-pl3)にアップデート。
MySQLをWebブラウザを使って操作することができる phpMyAdmin だが、これにセキュリティ上の重大な脆弱性が発見されたとの事で早急なアップデートが推奨されています。この警告アナウンスは2004-11-18に出されているので、いささか古い話ではありますが・・・
で、その脆弱性の内容ですが
Multiple XSS vulnerability were found in phpMyAdmin, that may allow an attacker to
conduct Cross-site scripting (XSS) attacks.
|
と言うことなんですが、クロスサイト・スクリプティング (XSS)って何?Macでも関係あんの?
その後、色々とネット中を徘徊していたら詳しく解説してくれている所を見つけました。これによると、悪い奴のホームページからスクリプトを送り込まれて、それが標的のホームページを通じて実行される「時限式のウィルススクリプト」みたいな感じ。根本的な原因は「標的となったホームページが外部からスクリプトの混入を許してしまう」ことだと言うけど、phpMyAdmin にこの問題があって phpMyAdmin によるページが標的にされるとウチのところでも被害がでる可能性があったってことなんだろうな。
なんだか本当に悪い奴やスクリプトを転送してしまうWebブラウザは棚に上げて、セキュリティホールのある方が悪いと言われている気がしないでもないが・・・(*1)
(*1):と、知識の乏しかった昔はこんな程度に考えていたのですが、大間違いでした。クロスサイト・スクリプティング脆弱性は、最高レベルのセキィリティバグの1つで、Webアプリケーション、ホームページ側で対処すべき問題です。
|