LotusNotesな日々IBM社のLotusNotesに関係する何かを日々語ってるようなきがしないでもないブログです。 

スポンサーサイト

   ↑  --/--/-- (--)  カテゴリー: スポンサー広告
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

(記事編集) http://mesosune.blog123.fc2.com/?overture" target="_new

--/--/-- | Comment (-) | HOME | ↑ ページ先頭へ |

CSRF脆弱性/Xss-その2

   ↑  2007/11/30 (金)  カテゴリー: セキュリティ
前日が言葉を端折過ぎてごったになるような書き方してますが、ぜんぜん違います♪

CSRFとXssの違いとは、大きく分ければサーバーサイドかクライアントサイドかなのですけど、
実際のところ、脆弱性のひとつだけをつつくことのほうが稀ですから^^;

ウイルスでも初期段階だと唯一の脆弱性をつくようなのが出回りますが、
時間の経過と共に発展した多方面の脆弱性をつくようなのが出回りますよねw

CSRF
 ・サーバに対しパラメータによって実行する
 ・脆弱性を悪用した攻撃ページを閲覧させることが主で、ユーザに分からないようにポストする

Xss
 ・JavaScriptでできること(攻撃対象のCookieを盗み出すことが典型例)
 ・セッションハイジャック

Web系の開発は
ユーザの悪意にも触れることが前提なので、アタックを受ける/しちゃうことを前提にしなければならず、
常にユーザの行動を性悪説でとらえないとならない。

よって毎日最新のセキュリティ事情をチェックし,
把握していないと大変なことになる。

しかし、設計時点で考慮すべきことでありかならず対応をしなければならない…
ってやってると酷くセキュリティ対応だけで工数がかかってしまうので、
必要最低限はサーバの設定により回避、
重要なところはプログラミング上でも対応(パーツ化されたものを使用することで工数を下げることは可能)
とやっていくのがセオリーな方法として有名。。。なはず。

セキュリティ設定が低いサーバ(HTTP程度で意外とバレバレになる)も現実問題多くて、
「塞げよ。」とか思うことも多いので、有名だと信じたいです。はい;

※「塞げよ」といわれても…。
既に走っているサーバの設定を変更するのは相当にリスクが高いので容易に即時やってはいけません。
サーバを新規でたてるときに分かっている範囲できちんと設定する等ときっちり計画を立てないと、どのように管理しているのかわからなくなりがちなので、その点計画性はかなり重要。
(それ以前に契約の問題があるだろうからそんな勝手に設定変更とかしないと思うけど(笑))

※セキュリティはイントラだったら考えなくても良いということはない。
ネットワーク上にないスタンドアロンのみ論理セキュリティはみなくとも良いもよいといえると思います。
(あくまでも論理セキュリティの話。物理セキュリティは別の話)

※なんでセキュリティをしなくちゃいけないの?漏れてもいいじゃん?
個人の環境で情報漏洩するのはかなりご勝手に~なので、何の被害にあおうが知ったことじゃありませんし、個人責任ともいえます。
しかし、仕事中のPCで被害にあった場合個人保護違法とかに引っかかるんですよね。
(個人情報保護法にひっかからなくとも企業理念に反するとかいろいろあるんですけど)
昨日からなんでこんなことを書いているのかというと、
ドミノ懇談室(2006~) が503エラーを返すから。

HTTPエラーコード[e-words]
503 Service Unavailable
高負荷かメンテナンス中に表示されるエラーメッセージ。
高負荷の状態が続くとトラフィックを自動的に制限し、
同サーバ上にある全てのWebサイトへのアクセスができないように設定することも多い。

悪意のある人に攻撃をくらったか、
悪意のあるスクリプトが組み込まれたかしたのかなぁと。

フレームセットは表示されるためサービスそのものに接続できていないわけではないと思うけど、
何かはあったんだろうなぁ。

あのまま質問場としてしか使われないのなら閉鎖されてもあんまし痛くも痒くもないけど、
このまま閉鎖となるんだろうなぁかなと思うと、少々げんなりしたかんじ。
スポンサーサイト

(記事編集) http://mesosune.blog123.fc2.com/blog-entry-35.html

2007/11/30 | Comment (0) | Trackback (0) | HOME | ↑ ページ先頭へ |
この次の記事 : いまさらPS2を購入ですよ
この前の記事 : CSRF脆弱性/Xss-その1

Comment

コメントを投稿する 記事: CSRF脆弱性/Xss-その2

お気軽にコメントをぞうぞ。
非公開 (管理人のみ閲覧可能なコメント) にしたい場合には、ロック にチェックを入れてください。

  任意 : 後から修正や削除ができます。
  非公開コメントとして投稿する。(管理人にのみ公開)
 

Trackback

この次の記事 : いまさらPS2を購入ですよ
この前の記事 : CSRF脆弱性/Xss-その1
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。