IPA Webサイトにおきまして、

・JVN#74012178：Movable Type におけるセッション管理の脆弱性 - http://www.ipa.go.jp/security/vuln/documents/2005/JVN_74012178_MovableType.html

として公開されております脆弱性問題について、Webアプリケーション開発者の立場としては、上記ページの図に書かれている2番目のステップ「悪意あるユーザーにセッション情報を盗み取られる」を実現するための具体的な手段（欠陥）が存在しない限り、それは「脆弱性」として扱うべきではないのではないかと考えております。

というのは、「悪意あるユーザーにセッション情報を盗み取られる」ステップの具体的手段を考慮しなかった場合、現在標準的なWeb関連技術で作成されているWebアプリケーションの大多数が「もしもセッション情報を盗み取られたら」「不正アクセスされてしまう」に該当してしまい、それらは「脆弱性」を持つということになってしまうからです。

もしよろしければ、この件が「脆弱性」として扱われることになった詳しい経緯をお聞かせ願えませんでしょうか。また、もしご回答をいただける場合は、その内容を私のWebサイトで公開する許可をいただけないでしょうか。

この件に関しては、私のWebサイト（http://tdiary.ishinao.net/20050514.html）において、より詳しい思考の過程を書いておりますので、もしよろしければ参考情報としてご覧ください。

以上、よろしくお願いします。

想定する（というか納得できそうな）回答例としては

• 「セッション情報が盗まれたら不正アクセスされる」が問題なのではなく、セッション情報として「無期限に」「他の認証でも利用可能な」情報が使われていたことが問題である。→そのポイントを明確にする文書にして欲しい
• MTが企業系情報サービスなどにも組み込まれており、それらの事例においてはこの仕様が重大な問題を引き起こす可能性があるため。→その辺のニュアンスを文書に盛り込んで欲しいなー

といった感じかなー。