« April 2005 | Main | February 2006 »

脆弱性とセキュリティホール

 Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の対策について」という記事に関して、これが脆弱性なのかどうかということで意見が分かれているようです。

 私自身は、ここで話題となっているMTのセッション管理の仕組みは、MT自身の脆弱性を示していると考えています。また、
 危険度:低
 緊急度:低
で、セキュリティホールにはあたらないとも考えています。

 この辺の考え方は「脆弱性」や「セキュリティホール」の定義によって変わってくるのだと思います。
 私の考える「セキュリティホール」とは、誰でも一定の手順を踏めば保護されているはずの情報にたどり着くことができる欠陥です。

 一方、「脆弱性」については、まず次のような考え方が前提としてあります。それは、どのようなシステムも弱点を抱えており、あらゆる手段を尽くすことによって保護しようとする情報にたどり着ける可能性があるということです。
 例えば、ID、パスワードを入力して認証するシステムでは、その2つキーを盗み出したり、推測したり、総当たりで試す事によって突破できる可能性があるため、「脆弱性を抱えている」と言えます。

 ただし、一般にはこの例で示した程度のことで「脆弱性がある」とまでは言わないと思います。一般に「脆弱性がある」といった場合、保護しようとする情報の重要度に見合わないレベルの脆弱性が認められた場合に使われるのではないでしょうか?

 今回のMTの件でいうと、脆弱性があると思うか、ないと思うかは正に使う人の使い方次第であろうかと思います。

| | Comments (0) | TrackBack (2)

« April 2005 | Main | February 2006 »