オープンソースのCMSを納品する際の注意点

2009年8月2日

オープンソースのCMSは開発費用を抑えれることで多くのWEB制作会社が利用していると思いますが、MTなどでは月に1度くらいの頻度でクロスサイトスクリプティングの脆弱性が発見されている。

最近ではEC-CUBEのクロスサイトスクリプティングの脆弱性も発見され、悪用されるとユーザーのウェブブラウザ上で任意のスクリプトを実行されてしまう。そうなると偽ページの表示や、偽情報の流布による混乱、フィッシング詐欺による情報の漏えいなどが起きる可能性がある

「EC-CUBE」の利用サイトは迅速なバージョンアップを：読売新聞

WordPress 2.8.4未満を使用している場合は要アップデート

納品後のアップデートを行う取り決め

保守契約を結んでCMSを納品しているケースであれば、このような問題が発生した際にアップデートを行うことは当然であるが、そうでないケースの場合は無料でアップデート、もしくは別途料金を頂いてアップデートのどちらかになるだろう。

数百単位のクライアントがいる場合、アップデートを行うことはかなりの労力を必要することになる、その際には必要労力としても制作会社としては痛手になると想像する。

保守契約を結ばない際にも、クロスサイトスクリプティングの脆弱性が発生した際のアップデートを有料、もしくは無料で行う際の取り決めをきっちり結んでおかないといけない。個人で仕事を行う際には特に注意しておかないといけないなと感じました。