« 2006年10月 | メイン | 2006年12月 »

2006年11月のアーカイブ

2006年11月16日

ベクターに学ぶウイルス対策

ベクターがウイルス感染事故の再発防止策を完了、5つの問題点に対応

実は私もベクターでオンラインソフトを公開していたりするので、他人事ではなかったりします。
公開している関係で、ベクターより対策完了の通知が来ていたので、その中から対策内容を引用します。

> 【1】ウイルス検出能力の向上
> 【2】未知のウイルスへの対応
> 【3】公開サーバへのファイル転送処理
> 【4】公開準備サーバの独立性の確保
> 【5】ウイルス検出時の対応方法の整備

今回の事件があったのが9月27日、対策完了が11月15日なので実に1ヶ月半もの時間が掛かっています。
正直な感想として、あまり迅速な対応ではなかった印象があります。

そもそもウイルスの発生源が社内であったことを考えると、あれだけのソフトをダウンロードできるようにしていながら対策されていなかったことがありえないですね。
客観的に見て、
・リスクに対する検討が不足していた
・技術的な側面からの対策および確認が不足していた(単一のウイルス検査ソフトメーカーの製品に頼っていた等)
・社内のセキュリティ対策が徹底されていなかった
・事故発生時の対策マニュアルに不備があった
などの問題点があったように思います。

特に、単一のウイルス検査ソフトメーカーの製品に頼っていたというのは驚きですね。
セキュアドでもこの手の問題が出ることがありますが、未知のウイルスへの対策は極めて重要になります。
価格.COMのときも、確か同様の問題点が指摘されていたように思います。

投稿者: ♪ 日時: 22:33 | | コメント (0) | トラックバック (0) このエントリーをはてなブックマークに追加 このエントリーをYahoo!ブックマークに登録 Save This Page to del.icio.us このエントリーをlivedoorクリップに追加 このエントリーをニフティクリップに追加 このエントリーをBuzzurlに追加このエントリーをBuzzurlに追加 このエントリーをBlogPeople Tagsに追加 このエントリーをBlogPeople Instant Bookmarkに追加 このエントリーをPingKingポッケに追加 このエントリーをFC2ブックマークへ追加 このエントリーをnewsingへ追加 Yahoo!ブックマークでこのサイトを登録している人数 人が登録

2006年11月15日

URLを変更しました

個人的な都合により、サイトのURLをサブディレクトリ形式からサブドメイン形式に移行しました。

ブックマーク、リンクして頂いている皆様には、リンク先を「http://shiken.yaminabe.info/」に変更して頂けますよう、お願いいたします。

※ リンクは全て新しいURLとなりますが、従来のURLでアクセスしても中身は同じなので問題なくアクセスが可能です。

投稿者: ♪ 日時: 12:36 | | コメント (0) | トラックバック (0) このエントリーをはてなブックマークに追加 このエントリーをYahoo!ブックマークに登録 Save This Page to del.icio.us このエントリーをlivedoorクリップに追加 このエントリーをニフティクリップに追加 このエントリーをBuzzurlに追加このエントリーをBuzzurlに追加 このエントリーをBlogPeople Tagsに追加 このエントリーをBlogPeople Instant Bookmarkに追加 このエントリーをPingKingポッケに追加 このエントリーをFC2ブックマークへ追加 このエントリーをnewsingへ追加 Yahoo!ブックマークでこのサイトを登録している人数 人が登録

2006年11月07日

出題範囲の一部見直し

【情報処理技術者試験センター】出題範囲の一部見直しについて

来年春からの試験範囲が若干ですが、変更になったようです。
Webデザイン、オープンソース、オブジェクト指向プログラミング等が追加というか、明示的に書かれるようになったようです。
ただ、この辺は過去にも出題されているので、時代の流れに合わせた形で書き直しただけなのかもしれません。
特に慌てることなく、地道に過去問題を解くという従来のスタイルのままでいいと思います。

セキュリティ分野の午後は文言を少し変えた程度で、特に新しいのは無さそうですね。
暗号応用システムを署名技術に置き換えているので、電子署名あたりは要注意かもしれません。

投稿者: ♪ 日時: 21:17 | | コメント (0) | トラックバック (0) このエントリーをはてなブックマークに追加 このエントリーをYahoo!ブックマークに登録 Save This Page to del.icio.us このエントリーをlivedoorクリップに追加 このエントリーをニフティクリップに追加 このエントリーをBuzzurlに追加このエントリーをBuzzurlに追加 このエントリーをBlogPeople Tagsに追加 このエントリーをBlogPeople Instant Bookmarkに追加 このエントリーをPingKingポッケに追加 このエントリーをFC2ブックマークへ追加 このエントリーをnewsingへ追加 Yahoo!ブックマークでこのサイトを登録している人数 人が登録

2006年11月03日

【情報セキュリティ】クロスサイトスクリプティング

SQLインジェクションと並んで試験に出る頻度の高い「クロスサイトスクリプティング」もまとめておきます。

クロスサイトスクリプティング(Cross Site Scripting:略称 XSS)は別名ジャバスクリプトインジェクション(JavaScript Injection)とも言います。
不正なJavaScriptが実行されることにより、クッキー情報が漏洩する極めて単純な脆弱性です。
通常、この不正なJavaScriptは攻撃対象とは別のサイトになるため、クロスサイトスクリプティングと呼ばれています。

リスクとしては、クッキーを利用してセッション管理を行うサイトの場合にクッキーが漏洩することにより、セッションを乗っ取られることで他人へのなりすましが成立してしまうことです。
もう少し具体的に言うと、クッキーの中にセッションIDが保存されているとき、このセッションIDを盗むことができれば簡単に他人になりすますことができます。
別の例えをすると、他人の家の鍵を入手することと同じなので、鍵さえ持っていればいつでも入ることができますし、正面から鍵を使って侵入するため防犯システムでも感知されなくなります。
これと同様に、セッションIDを盗まれてなりすまされると、サーバサイドでは不正なアクセスなのかを判断することができなくなってしまいます。

脆弱性が存在するかどうかは、入力画面より
javascript: alert('Hoge')
あるいは
alert('Hoge');
のように入力し、その確認画面でダイアログが表示されるときに脆弱性が存在すると言えます。
ただし、セッション管理を行っていないサイトでは特に気にしなくて良い場合もあります。

この脆弱性を防ぐためには、基本的にはプログラムでの作りこみが必要となります。
(※ASP.NETの場合は不正なタグやスクリプトを入力するとシステムエラーにすることもできます)
一般的な方法は、表示する際にタグやJavaScriptを無効にする文字変換処理を加えることで、これをサニタイズと言います。
このサニタイズ処理は表示する直前に行うことが効果的です。
入力直後に変換した場合、文字数チェックが正常にできなくなったり、再入力時にサニタイズ前の状態に再変換しなければならなくなるからです。

投稿者: ♪ 日時: 23:26 | | コメント (0) | トラックバック (0) このエントリーをはてなブックマークに追加 このエントリーをYahoo!ブックマークに登録 Save This Page to del.icio.us このエントリーをlivedoorクリップに追加 このエントリーをニフティクリップに追加 このエントリーをBuzzurlに追加このエントリーをBuzzurlに追加 このエントリーをBlogPeople Tagsに追加 このエントリーをBlogPeople Instant Bookmarkに追加 このエントリーをPingKingポッケに追加 このエントリーをFC2ブックマークへ追加 このエントリーをnewsingへ追加 Yahoo!ブックマークでこのサイトを登録している人数 人が登録