2005/05/27(金) [n年前の日記]
#10 [web][jiji][neta] _「過失はない」としながらも不正アクセスの詳細の言及は避ける〜カカクコム
_カカクコムは情報をきちんと公開すべきだ
_価格.com不正アクセス事件、IPAは「第一報のみで詳細は把握していない」
_(via Crohn Life 2005/05/26、他)
これはマズイ気がする。
つまりこれは価格コムが言うところの「最高のセキュリティ」を上回る「究極のセキュリティ」「至高のセキュリティ」への道。<いや、それは…
_(via audiofan.net: 価格.comよ、それでいいのか?)
_価格.com不正アクセス事件、IPAは「第一報のみで詳細は把握していない」
_(via Crohn Life 2005/05/26、他)
これはマズイ気がする。
◎ _「(前略)今すぐやったほうがいいことのヒントを教えて欲しい」というツッコミを記者さんに希望 :
「価格コムさんのような超大手サイトが最高のセキュリティを施していたのにああいうことになった。拙者も希望。せめてヒントだけでも。
他の弱小サイトも脅威にさらされるのでぜひ今すぐやったほうがいいことのヒントを教えて欲しい」
というツッコミを記者さんに希望
◎ もし、第2、第3の被害が出たら :
価格コムの責任追及はできないだろうか。価格コム相手に裁判起こして、○○料を価格コムから分捕ったりとか。
*1
…とバカ妄想をしてしまう法律関係に素人な自分。ていうか、社会の中で類似被害を拡大させないために必要になる技術情報を公開しないと罪に問われる、なんて感じで使える法律はないのかしら。仮にそういう法律があったとしたら…弁護士さんは稼ぎ時かも。ってまずは別の企業が被害に合わないと価格コム相手に裁判を起こせないわけで絵に描いた餅。いや、そもそも餅にすら見えない大バカ妄想だろうけど。
◎ _カカクコム改ざん事件は、SQLインジェクションによる攻撃だった :
最低限押さえておくべき仕様φ(..) メモメモ。
1. ユーザーの入力をそのまま実行していないか?
2. HTMLソースにSQLが埋まっていないか?
3. プログラムがエラーメッセージを抑制しているか?
つまりこれは価格コムが言うところの「最高のセキュリティ」を上回る「究極のセキュリティ」「至高のセキュリティ」への道。<いや、それは…
_(via audiofan.net: 価格.comよ、それでいいのか?)
◎ _【連載】Webアプリケーションに潜むセキュリティホール - 第1回 サーバのファイルが丸見え?! :
*1: 事件が明らかになった時点で、価格コムが技術的情報を公開していれば、他のサイト管理者は技術的対策を打つことができて、続く被害は出なかった…。しかし、価格コムが自社の信用をこれ以上落とさないことのみを最優先で考え、社会が緊急に必要としている情報の隠匿行為に終始したが故に、無為に被害を拡大させてしまった…。つまり価格コムは被害を拡大させることに加担・後押ししたわけで、その行いは反社会的ともいえる。とか、そんな感じで。
[ ツッコむ ]
以上です。