MovableTypeの古いバージョンを使い続けること

Posted by
ぴろり
Posted at
2008/08/30 16:58
Trackbacks
関連記事 (0)
Post Comment
コメントできます
Category
開発メモ カテゴリ

 特にセキュリティ不具合が報告されたバージョンを使い続けているユーザは真剣に考えた方が良い。例えば、MovableType 4.1 を未だに使い続けているユーザだ。「Powered by MovableType 4.1」なんて掲げていること自体、「私はユーザの皆さんを危険に晒していますよ」と鼻水垂らして宣伝していることに等しい。これは MovableType に限らず WordPress や Nucleus、Wiki などにも当てはまる話だ。サイト管理者は自分だけでなく、サイトを訪れるユーザまでもセキュリティ面での危険に晒していることを自覚すべきだろう。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  

 こういったソースコードがオープンになっているプロダクトは、セキュリティアップデートが行われたバージョンと以前のバージョンの差分を取るだけで、ソースコード上のどこがどのように修正されたかを簡単に突き止めることができる。修正内容がわかれば、どのような攻撃方法が有効だったのかも簡単にわかってしまうというわけだ。
 アップデートが面倒だから、時間がないからというのはサイト管理者の怠慢でしかない。プラグインのバージョンの問題や他システムの兼ね合いですぐにアップデートできないのなら、問題のある箇所はアクセスを禁止しておくなどの処置をとるべきだろう。

 セキュリティアップデートの内容は、例えば、直接訪問者を攻撃するのものや、データが消失してしまう不具合など様々だ。ビジタに直接危害を及ぼすようなセキュリティアップデートには優先度を上げて対応すべきだろう。管理画面などでデータが消失するようなものは、ユーザに直接危害が無いとは云え、考え様によってはユーザのデータ資産(コメントやトラックバック)を蔑ろにしているとも言える。オープンソースのプロダクトを使う以上、サイト管理者はこれらのアップデート情報には敏感にアンテナを張り、即座に対応できるようでなければならない。

この記事を Delicious に追加する   このエントリーをはてなブックマークに追加  



関連記事/トラックバック

関連記事/トラックバックはまだありません

この記事にトラックバックを送るには?

コメントを投稿する

 
 (必須, 匿名可, 公開, トリップが使えます)
 (必須, 匿名可, 非公開, Gravatar に対応しています)
 (必須)
スパム コメント防止のため「投稿確認」欄に ランダムな数字 CAPTCHAについて を入力してから送信してください。お手数ですがご協力のほど宜しくお願いいたします。