[情報SEC]第20回 HTTP及びWebアプリケーションの脆弱性と対策

第20回　HTTP及びWebアプリケーションの脆弱性と対策

セッション管理の脆弱性と対策
これについては第9回前後でやったので、
ここでは省略します。

HTTPの仕様による脆弱性と対策
HTTPは平文でデータがネットワーク上で流れます。
当然ですな。敢えて暗号化していないあらゆるプロトコルは平文で流れます。

ベーシック認証の脆弱性
ベーシック認証というのは、特定のURLに仕込んで置いて、
そのURLにアクセスした時にポップアップ画面を出して、ユーザID/パスワードを入力させるものだ。

通常のWebシステムは、ベーシック認証ではなく、CGI(プログラム)による認証を使っている。
ベーシック認証は飽くまで簡易的な認証。
で、これの脆弱性とは事実上平文でユーザID/パスワードがネットワーク上を流れるということだ。

事実上というのは、生データではなく、base64というエンコード方式で送るため。
base64は、postで日本語などを送る場合にも使われる。
base64とは、あらゆる文字列(バイナリ含む)を文字通り64文字に変換するものだ。

使われるのは、アルファベットの大文字（26文字）、アルファベットの小文字（26文字）
数字（0～9までの10文字）、記号（「＋」と「／」の2文字）の64文字。
いずれも人間にも機械にも扱いやすい記号だ。

詳細はこちらをご覧下さい。
というわけで、ロジックは簡単なので、誰でもデコード(元に戻す)できます。
簡単に。というわけで、事実上。というわけです。

ちなみに、base64に変換したり元に戻したりするのはJavaScriptでもできますし、
フリーのソフトにもたくさんあります。
結局これもHTTPS(暗号化)で対応することになります。

なんでも暗号化ですな。
安易だけど確実。
けれども、SHA-1も解読可能との話もあり、暗号化も完全ではない。

Webサーバの実装や設定不備による脆弱性と対策
一つは、ディレクトリへのアクセス権の設定。
たまに、ファイルリストが出るページなどがあるが、それはその典型。

ディレクトリ構造が分かるし、隠してあるファイル(どこからもリンクが張られてないファイル)も見えてしまう。
これで問題になっているのは、ロボットによる情報収集だ。
googleもロボット式。

ロボット式でないのは、人間式。つまり全部手作業。
古き良き時代yahooは人間式だった。
今はgoogleになってるんだっけ？(yahooは行かないので。)

エラーメッセージの出力設定不備により情報が漏れる可能性もある。
単なるfile not foundならまだよいが、Webシステムのデバッグ情報が
表示されるようなことがあると、そっから何らかの情報が漏れる可能性がある。

Webアプリケーションの仕様や実装による脆弱性
XSS、SQLインジェクション、OSコマンドインジェクション。
これらについては、前に書いたので省略。

また日は昇る

こんばんは。
水神です。
疲れてます。

精神疲労はピークに達し、すべてのことがやになっています。
とまあ、そんな日もあるということで、
あまり思い詰めずに今日という日を適当に過ごして、はよ寝ましょう。

でも、明日もまたくるんだよね。
肩凝るし。
明日は今日よりは良い日であることを願って。

ちくちく

こんにちは。
水神です。
ちくちくしてます。

なんか女の子に嫌われたようです。
はぁ。
わからんの。

原因不明なので対処のしようもなく。
拒否に拒否で返しても人間関係悪くなるだけだしな...
なぜか仕事以外で悩んでいる昼休みでした。

なんか思いこんでしまった(誤解だな。)ようですが、
それがなんなのか、さっぱり。
むつかしいの。

偽10億ドル札

偽10億ドル札

おもろい。
アメリカでの偽札事件。
100ドル札ならふつーだが、今回見つかったのは10億ドル札。

ざっと1180億円札ということになるな。
ちゃんとアメリカの大統領(グロバー・クリーブランド)の顔が印刷されていたらしい。
発行年は1934年だそうだ。

まあ、古い紙幣ということでだまそうと思ったんだろうか。
その昔はアメリカでも当然ドルは高かった、つまり同じ一ドルでも価値があった
だろうし、その時代の10億ドルは現在価値ではどのくらいなんだろうか。

...そこまで考えてないな。きっと。
しかし。これ偽札ではないでしょう。
おもちゃの紙幣。子供銀行と同じレベルだな。

なので、偽札を持っていたあるいは使ったら罰せられるという法律があるのなら、
それで罪を問うのは難しい(無理がある)と思うぞ。
これでまんまと金をせしめた場合、ふつーの詐欺罪になると思われる。

しかしすげーの。
10億ドル札って...せめて1万ドル札とかさ。
しゃれとしてはおもろいけど。

とどめは刺したくない

とどめは刺したくない

フジテレビのライブドアへの対応。
損害賠償を行う。
随分前からゆうとることだ。

そのためには損失を確定する必要があり、株式の売却を急いでいた。
交渉相手としてUSEN登場で渡りに船。
このニュースのゆうことがほんとなら、とどめは刺したくなかったわけだ。

フジテレビが市場でライブドア株を投げ売りすれば、株価は暴落。
とはいえ、もう上場廃止が決まっているので、その影響は限定的か。
ライブドアを直接支援はしたくないが、自分のせいで潰れても困る。

そんなジレンマがあった模様。フジには。
ライブドアもライブドアで、USENは支援先として最有力。
海外の投資ファンドが何社か話を持ってきている。

でも、やはり事業会社であるUSENと組むのが一番メリットがあるし、
解体されずに済みそうなので、最有力候補となっている。
あとは、買収金額の駆け引きだけでしょ。

個人株主も大変だけど、周囲もいろいろと悩んでおるようだ。
けどまあ、つぶすにはちと惜しい組織な気もするし(当時の経営陣を除いても。)
USENはいい相手だと思うが。

でも。USENも実は大赤字。
事業拡大のせいでしょう。
ちょっと前のソフトバンクと同じだな。

なので、現金がないらしい。つまり買収する金がない。
どっかから借りるんかの。
ライブドアの資産価値なんて、あやしいものだし。

それでも数百億円の現金・預金があるらしい。
すげーの。ライブドア。
でも、訴訟くらってるし、いくら残るか分からん。

対策：使うな

対策：使うな

Winny問題。
いろんなところで、いろんなものが漏れておる。
で、政府がこういう。使うな。と。

国民に。政府が。特定のソフトを。
Winnyは別に違法ではない。
個人が個人の責任で使うのは自由だ。

それにもかかわらず、政府のこの対応。
批判多数なのはいうまでもない。
あまりにも、批判が集中したか、内閣官房はこう釈明した。

「ウィニーというソフトがそもそも問題だから使うべきではないとしたものではありません」
しかし、問題だから使うなゆうとるようにしかきこえんぞ。
安易に国家権力が声明を出すもんではない。

さて。
Winnyはまだ裁判中。
その裁判の中で、ウイルスの話も出たらしい。

ほれみたことか。危険ではないか。お前(作者)のやったことは違法だ。と。
しかし、この作者も反撃をする。
逮捕されていなければ、バージョンアップしてウイルス対応できた。と。

うむうむ。
確かにその通りだ。
これだけ、ウイルスが猛威をふるっているのも、その対策ができないからだ。

対策できなくてもユーザは多数いる。
少々大げさだが、これがWindowsで起きたらと考えてみれば分かることだ。
もし、パッチが突然でなくなったら？

最高の対策はWinnyのバージョンアップだと思うのだが。
政府と検察のみなさん。
使うなゆうても無理なのはわかっとるはずだが。