- 雑感
- 前著作を読んでいるので、興味があった
- 開発者だけでなく、発注側の観点で知っておくべき概要が記載されている
- ただ、面白い部分もあるが、知っている人にとっては新鮮さは少ないかな
- 要点
- 新たな手口は登場するが、本質は変わらない
- 攻撃の本質は以下の通り 対抗するには最新の攻撃手口を把握して対策を講じる必要性がある
- ソフトウェアの脆弱性を悪用する SQLインジェクションなど
- 認証を突破する パスワードを何らかの手段で知られた場合など
- 脆弱性の原因
- 実装
- SQLインジェクション、XSS、バッファオーバーフローなど:初歩的なルールを怠ったことが原因
- 設計
- ディレクトリトラバーサル:外部からファイル名を指定できる設計が問題(こういった設計を避けることが第一だが、入力文字制限も対策となる)
- 仕様
- 会員番号がログインIDで電話番号がパスワード:比較的容易に知りうる情報を利用したのが不適切
- JSには同一生成元ポリシー(スキーム、ホスト、ポートが同一でないと実行できない)の制限があるが、HTMLフォームのaction属性には制限がないのでCSRF攻撃が可能になる
- 実装
- 攻撃の本質は以下の通り 対抗するには最新の攻撃手口を把握して対策を講じる必要性がある
- 開発者だけの問題ではなく、発注者も理解が必要となる
- ゆくゆくは法規制しなければならないのではないか、という話に繋がるかもしれない
- エンジニアが自発的にセキュリティを学べば防げるはず、というのは理想論でしかない
- 先進企業は対応できるが、それ以外の企業はボロボロであることが多い 現状では格差が広がる
- 脆弱性が作りこまれるのは、開発者に対する教育に問題があるため
- 入門書に脆弱性がある
- QAサイトの回答の質が低い 誤った情報が満載
- 発注者の立ち場としては、セキュリティに関する要件を仕様に盛り込むことが重要になる
- ゆくゆくは法規制しなければならないのではないか、という話に繋がるかもしれない
- 利用者のリテラシーも重要となる
- フィッシングにひっかかったり、ウイルスに感染したり
- パスワード 単純なものや、他サイトと同様のものを設定するのは危険
- 新たな手口は登場するが、本質は変わらない
Created
March 5, 2017 02:57
-
-
Save itomakiweb/51996dc2227b8025fa66a1bd55a5f5f3 to your computer and use it in GitHub Desktop.
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment