hamada
bungu****@leo*****
2004年 4月 9日 (金) 17:03:19 JST
こんにちわ。 On Wed, 07 Apr 2004 14:03:08 +0900 TAMURA Toshihiko <tamur****@bitsc*****> wrote: > このあたりは、個人的にも大変興味深いんですが、 > 今回は、ウェブサイトの脆弱性の責任については、 > わりとあいまいなことが書かれていますね。 週末で時間が取れましたので、まとめて読んでみました。 脆弱性への対策自体はすごく大事な事だと思うんですが、脆弱性を見つけるため のプロセス(要するに「(疑似)アタック」)に対して ・不正アクセス禁止法 ・刑法 によるブロックががっちりかかってますんで、ちょっとその辺が怖いな〜という 印象です。 たとえば入力フォームに対してSQL文を入れてみる(いわゆる「SQLインジェクショ ン」攻撃)ような場合、ただSQL文を入れただけで不正アクセス禁止法に引っか かっちゃう「違法な」アクセスにされる可能性が高いですよねこれだと。 悪い言い方をしますと 「脆弱性は自分で見つけろ。アタックは自分のとこにだけ行なえ」 という風にも読めます(というか、たぶんそう書いてると思う)んで、少なくと もワタシなら、 「もしかするとこれはヤバいんじゃないかなぁ?」 と思っても、SQL文や<>を含むような文字列は絶対にフォームに入れない→逆に、 脆弱性の発見に対してブレーキが掛かっちゃうと言う危惧も。 > (osCommerceのような)ウェブアプリケーションの脆弱性についての責任は、 > 第一にはサイトの運営者が負うことになりますが、 勿論サイトの管理者は管理責任を果たさなきゃならないと思うんですが、ワタシ のようなど素人ではログ等から「攻撃予備行動」を読み取る事が難しい→実質的 に「コミュニティの善意」に頼るしかないんで、上記のような 「自分のシステムは自分で何とかしろ。他人のところで迂闊なテストをすると不 正アクセスとしてしょっ引く」 的なお上の基本方針は、 「わざわざ俺が不正アクセスに挙げられるリスクを冒してまで脆弱性を見つける ことはないや」 という方向の「悪い」影響をコミュニティに与えるんじゃないかと心配になりま す。逆に、ゼロディアタックの危険性を増やしてるような気も。 ワタシも少し前の投稿で 「osCommerceから問答無用に個人情報を引っこ抜く」 スクリプトとか出しちゃったんですが、アレは確信犯的にスクリプトの名前を指 定しませんでした。 たとえばアレにtest.phpとか名前を付けてて、(これは管理ツールの一種ですか らまさか/catalogのほうに置くようなことはないでしょうが:^^;) /catalog/test.php に対するアクセスがあった場合、これって不正アクセスになるのかどうか、もし 不正アクセスじゃないにしても、それで確実に顧客の個人情報を抜かれてしまう →しつこく 「これは非常にヤバいスクリプトです」 と念を押すべきだったんでしょか?? ・apacheか.htaccessで-Indexesを指定 ・出来れば.htaccessでこのスクリプトに対するアクセス制限を くらいは言っとかなきゃダメだったかなぁ?とか、いまちょっと気になってます。 スクリプトに認証の仕掛けを作り込まなかったことで、これで個人情報の流出が 起こった場合、ワタシも責任を問われるのかなぁ?とか。 はまだ
