Home > Archives > 2006年11月 Archive
2006年11月 Archive
ベクターに学ぶウイルス対策
- 2006年11月16日 22:33
- セキュリティ技術
ベクターがウイルス感染事故の再発防止策を完了、5つの問題点に対応
実は私もベクターでオンラインソフトを公開していたりするので、他人事ではなかったりします。
公開している関係で、ベクターより対策完了の通知が来ていたので、その中から対策内容を引用します。
> 【1】ウイルス検出能力の向上
> 【2】未知のウイルスへの対応
> 【3】公開サーバへのファイル転送処理
> 【4】公開準備サーバの独立性の確保
> 【5】ウイルス検出時の対応方法の整備
今回の事件があったのが9月27日、対策完了が11月15日なので実に1ヶ月半もの時間が掛かっています。
正直な感想として、あまり迅速な対応ではなかった印象があります。
そもそもウイルスの発生源が社内であったことを考えると、あれだけのソフトをダウンロードできるようにしていながら対策されていなかったことがありえないですね。
客観的に見て、
・リスクに対する検討が不足していた
・技術的な側面からの対策および確認が不足していた(単一のウイルス検査ソフトメーカーの製品に頼っていた等)
・社内のセキュリティ対策が徹底されていなかった
・事故発生時の対策マニュアルに不備があった
などの問題点があったように思います。
特に、単一のウイルス検査ソフトメーカーの製品に頼っていたというのは驚きですね。
セキュアドでもこの手の問題が出ることがありますが、未知のウイルスへの対策は極めて重要になります。
価格.COMのときも、確か同様の問題点が指摘されていたように思います。
- Comments: 0
- TrackBacks: 0
URLを変更しました
- 2006年11月15日 12:36
- 雑談
個人的な都合により、サイトのURLをサブディレクトリ形式からサブドメイン形式に移行しました。
ブックマーク、リンクして頂いている皆様には、リンク先を「http://shiken.yaminabe.info/」に変更して頂けますよう、お願いいたします。
※ リンクは全て新しいURLとなりますが、従来のURLでアクセスしても中身は同じなので問題なくアクセスが可能です。
- Comments: 0
- TrackBacks: 0
出題範囲の一部見直し
- 2006年11月 7日 21:17
- 試験テクニック
来年春からの試験範囲が若干ですが、変更になったようです。
Webデザイン、オープンソース、オブジェクト指向プログラミング等が追加というか、明示的に書かれるようになったようです。
ただ、この辺は過去にも出題されているので、時代の流れに合わせた形で書き直しただけなのかもしれません。
特に慌てることなく、地道に過去問題を解くという従来のスタイルのままでいいと思います。
セキュリティ分野の午後は文言を少し変えた程度で、特に新しいのは無さそうですね。
暗号応用システムを署名技術に置き換えているので、電子署名あたりは要注意かもしれません。
- Comments: 0
- TrackBacks: 0
【情報セキュリティ】クロスサイトスクリプティング
- 2006年11月 3日 23:26
- セキュリティ技術
SQLインジェクションと並んで試験に出る頻度の高い「クロスサイトスクリプティング」もまとめておきます。
クロスサイトスクリプティング(Cross Site Scripting:略称 XSS)は別名ジャバスクリプトインジェクション(JavaScript Injection)とも言います。
不正なJavaScriptが実行されることにより、クッキー情報が漏洩する極めて単純な脆弱性です。
通常、この不正なJavaScriptは攻撃対象とは別のサイトになるため、クロスサイトスクリプティングと呼ばれています。
リスクとしては、クッキーを利用してセッション管理を行うサイトの場合にクッキーが漏洩することにより、セッションを乗っ取られることで他人へのなりすましが成立してしまうことです。
もう少し具体的に言うと、クッキーの中にセッションIDが保存されているとき、このセッションIDを盗むことができれば簡単に他人になりすますことができます。
別の例えをすると、他人の家の鍵を入手することと同じなので、鍵さえ持っていればいつでも入ることができますし、正面から鍵を使って侵入するため防犯システムでも感知されなくなります。
これと同様に、セッションIDを盗まれてなりすまされると、サーバサイドでは不正なアクセスなのかを判断することができなくなってしまいます。
脆弱性が存在するかどうかは、入力画面より
javascript: alert('Hoge')
あるいは
alert('Hoge');
のように入力し、その確認画面でダイアログが表示されるときに脆弱性が存在すると言えます。
ただし、セッション管理を行っていないサイトでは特に気にしなくて良い場合もあります。
この脆弱性を防ぐためには、基本的にはプログラムでの作りこみが必要となります。
(※ASP.NETの場合は不正なタグやスクリプトを入力するとシステムエラーにすることもできます)
一般的な方法は、表示する際にタグやJavaScriptを無効にする文字変換処理を加えることで、これをサニタイズと言います。
このサニタイズ処理は表示する直前に行うことが効果的です。
入力直後に変換した場合、文字数チェックが正常にできなくなったり、再入力時にサニタイズ前の状態に再変換しなければならなくなるからです。
- Comments: 0
- TrackBacks: 0
- Profile
-
ハンドル名:♪
1972年生まれ、浦安在住
今年で個人事業12年目です。
IT導入や技術のアドバイザーをやっています。
お仕事の依頼は こちら からどうぞ。
どんな小さなことでもご相談ください。
所有資格等
- VSUGコードコンテスト2007 日本オラクル部門受賞
- 第二種情報処理技術者
- 第一種情報処理技術者
- 初級システムアドミニストレータ
- 情報セキュリティアドミニストレータ
- テクニカルエンジニア(ネットワーク)
- .com Master★★
- UML技術者認定(ゴールド)
- その他、微妙な資格を多数w
- Calendar
-
« 2006 11 » S M T W T F S 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 - Recent Entries
- Categories
- Archives
- Links
- Blog Parts
-
- Search
- Feeds
- Tag Cloud
-
- Recommend
