« ココログ投稿 究極のプレビュー機能 | Main | Firefox1.5のiframeネスト対策 »

脆弱性とセキュリティホール

 Movable Typeの「【重要】 第三者による不正アクセスを許す危険性の対策について」という記事に関して、これが脆弱性なのかどうかということで意見が分かれているようです。

 私自身は、ここで話題となっているMTのセッション管理の仕組みは、MT自身の脆弱性を示していると考えています。また、
 危険度:低
 緊急度:低
で、セキュリティホールにはあたらないとも考えています。

 この辺の考え方は「脆弱性」や「セキュリティホール」の定義によって変わってくるのだと思います。
 私の考える「セキュリティホール」とは、誰でも一定の手順を踏めば保護されているはずの情報にたどり着くことができる欠陥です。

 一方、「脆弱性」については、まず次のような考え方が前提としてあります。それは、どのようなシステムも弱点を抱えており、あらゆる手段を尽くすことによって保護しようとする情報にたどり着ける可能性があるということです。
 例えば、ID、パスワードを入力して認証するシステムでは、その2つキーを盗み出したり、推測したり、総当たりで試す事によって突破できる可能性があるため、「脆弱性を抱えている」と言えます。

 ただし、一般にはこの例で示した程度のことで「脆弱性がある」とまでは言わないと思います。一般に「脆弱性がある」といった場合、保護しようとする情報の重要度に見合わないレベルの脆弱性が認められた場合に使われるのではないでしょうか?

 今回のMTの件でいうと、脆弱性があると思うか、ないと思うかは正に使う人の使い方次第であろうかと思います。

|

« ココログ投稿 究極のプレビュー機能 | Main | Firefox1.5のiframeネスト対策 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 脆弱性とセキュリティホール:

» [セキュリティ][脆弱性] 昨日の件の続き (11:46) [tdiary.ishinao.net]
「Marklet BLOG: 脆弱性とセキュリティホール」にある、 例えば、ID、パスワードを入力して認証するシステムでは、その2つキーを盗み出したり、推測したり、総当たりで試す事によって突破できる可能性があるため、「脆弱性を抱えている」と言えます。 一般に「脆弱性がある」といった場合、保護しようとする情報の重要度に見合わないレベルの脆弱性が認められた場合に使われるのではないでしょうか? ってあたりから考... [Read More]

Tracked on May 15, 2005 12:17 PM

» それは脆弱性じゃないと思います、せんせー。 [spanstyle::monolog]
5月12日にシックス・アパート株式会社から公開されたMovable Typeの脆... [Read More]

Tracked on May 15, 2005 10:52 PM

« ココログ投稿 究極のプレビュー機能 | Main | Firefox1.5のiframeネスト対策 »