MT4i Ver2.0 の管理者モードに問題

風邪でダウンしている最中に ML に流れた話題で、反応するのが遅くなりました。

MT4i の管理者モードに問題があるそうです。Wiki にも、

2.0を使用中の方は2.1βへのバージョンアップを強く推奨いたします

と掲載されています。とりあえず急いでバージョンアップしました。

【追記】

急いで詳細を確認してみると、どうやらセッション管理方法に起因したもののようです。

MT4i では、「管理者モード用 URL」として自分の携帯などでブックマークすれば、それ以降認証なしでアクセスできます。要するに、crypt で暗号化したパスワードをセッション ID として、無期限のセッションとしているわけです。また、セッション ID の取り回しに利用されている方法は URL rewriting と呼ばれるものであり、この場合セッションID は URL パラメータとして渡されます。したがって、管理者モードからリンクを辿った場合に、リファラで漏れてしまいます。

そこで問題になるのは、リンク先がリファラログを公開している場合にセッション情報(key=****)を含んだ形の URL がどこかで表示されてしまう可能性があるということです。さらにそこが検索エンジンロボットなどで巡回され、クロール先に登録されてしまうと良くないことが起こります。

Wiki のコメントを見ると、上記のような事が実際に起こって Google bot にアクセスされ、記事が消えてしまった方もいらっしゃったようです。

エントリがどんどん消えるのでログを調べたら/mt4i.cgi?id=1&mode=entry_del&no=1&eid= 784&key=****という具合にcrawl-66-249-72-97.googlebot.comに一日40件ほどアクセスを受けていました。keyは私のパスでした。何故もれたのかは分かりません。

2.1βでは、管理者モード特有の機能メニューをアンカータグではなくフォーム(ボタン)にすることで、ボットの巡回によって記事が削除されたりといったことが起きないよう暫定的に対処されたものだそうです。

ただし太鉄さんもアナウンスされているように、上記の対処だけでは根本的に解決されたことにはなりませんので注意する必要があります。

One comment

  • Pingback: FOX通信

  • コメントを残す

    メールアドレスが公開されることはありません。