メッセージ。 - お使いのWiki、セキュリティは大丈夫ですか？

この件について、「それって脆弱性か？」と、議論がされているみたい。
http://www.hizum.net/00meta/01request/zz000159.read
http://slashdot.jp/security/05/05/19/088246.shtml?topic=16

言われてみればたしかに。個人的には、ファイルのアップロードを誰でもできるというのは危険性が高すぎるという認識です。基本的に、現在のWebではそのサイトのURLやどこからリンクされているかを見て、人は安全か危険かを認識していると思います。5W1Hでいうと、who—「誰が」—でしょうね。

危険そうなURLだと思えばアクセスしないというのが、一般性もあるし普通のインターネットのユーザーでもできる防御策でしょう。Wikiサイトは誰でも書き換えできるから、who—「誰が」—の部分が非Wikiサイトに比べて確度が低いわけですね。でも、管理者や普段のメンテナンス状況を見て、人はある程度信頼できるかどうかを判断しています。

Wikiですから、たとえばスパムや不快な書き込みを見ることもあるでしょう。それは「誰でも書き換えできる」というメリットに付随するリスクとして許容できるものだと考えます。でも、たとえばクライアントのファイルを消す可能性がある（悪意のあるソフトウェアをクライアントPCで実行される）ようなリスクは、メリットに比べて許容しにくいというのが、現在のWebユーザーの認識じゃないでしょうか。

「誰でも書き換えできる」ことは、Wikiの機能として必須だしリスクも少ない。でも「誰でも添付ファイルをアップロードできる」というのは、メリットに比べてリスクが大きい。このリスクを小さくするために、「添付ファイルをアップロードできる」機能には送信元IPアドレスを明示したり、パスワードを知っている人しか利用できなくしたりといった機能があるぐらいで、いいバランスになるんじゃないかと思います。