嘘を嘘であると見抜ける人でないと難しい

  • このエントリーをはてなブックマークに追加
  • LINEで送る

こんにちは、なめろうです。

先日別のサイトでセキュリティー診断がありました。レポートの結果を見るとXSS(クロス・サイト・スクリプティング)の脆弱性があり、リスクレベルが「高」となっている箇所がありました。

簡単にXSSについて説明しますと、例えば掲示板サイトに書き込みをします。

スマートフォン@2ch掲示板.png

この時、入力欄にプログラムコードを入力し書き込みをしたとします。するとこの書き込みを見た別のユーザーのコンピュータ上でプログラムコードが実行され、例えば個人情報を攻撃者のサーバーに送信したりといったことが可能になります。

本当に簡単な説明です(・.・;)

これを対策するには入力値としてそもそもプログラムコードと思しきものを受け付けなかったり、画面を生成する時にプログラムコードを単に文字列として出力するようにするなどの対策が必要です。実際の対処策は検索すると多数ヒットしますし、最近のWEBフレームワークでは最初から対策がされている場合が多いです。

XSSの脆弱性ではTwitterの投稿でプログラムコード(Javascript)が実行される事案がありました。これはハッカー(いい意味で)が単純にページのある部分にマウスをあわせると、画面が崩壊するようなアニメーションを実装して話題になり、その後、Twitterが対策を行いました。悪意のあるコードが埋め込まれていなかったのでとりあえず良かったのですが、悪用される可能性もありました。

さて、長々とXSSについて書いて来ましたが、送られてきたレポートの内容を見ると、操作中のユーザーにしか影響を与えられないものでした。それをリスクレベル「高」といっていたずらに顧客の不安を煽るのはどうなのかと。

レポートでは「ユーザの重要情報が漏洩するリスクがあります。」とか平気で書いていますが、自分で作ったプログラムを埋め込んで自分で実行させるとでも言うのでしょうか。一応自分で埋め込めば実行される状態だったのでそれは直しましたが。

なにかしらの専門的なツールを使用して機械的に判定しているのでしょうからしょうがないですが、セキュリティー診断のレポートを専門でやっているのなら、最終的なレポートのチェックは人が行うべきで、知識のない顧客に対して不安を煽るだけのレポートを提出しないで頂きたいです。

今回、セキュリティー診断のレポートは非常に有名な企業が作成したもので、顧客が信じてしまうのも無理ありませんが、盲目的に情報を鵜呑みにすることは危険です。2ちゃんねる創始者、ひろゆきの言葉ではないですが、嘘を嘘であると見抜ける人、自分の頭で考えられる人でいることが重要だなーと改めて思いました。

 

  • このエントリーをはてなブックマークに追加
  • LINEで送る

SNSでもご購読できます。

コメントを残す