アカウント名:
パスワード:
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なものばかりではないという点に注意が必要です。「セキュリティ対策=ウィルス対策」みたいな風潮が一部にありますが、特定の相手を狙った攻撃というものも現実性が十分にあると思われます。特定の人物のメールを盗み読むといった行為の動機を想像してみるとよいでしょう。 そのような場合には、罠はすぐに消されるでしょうから、見つからないのかもしれません。
次に、被害状況と対策の必要性とをどう関連づけるかですが、自動車(あるいは包丁)の欠陥の場合と比べてみると、それによって引き起こされるものは事故であるのに対し、セキュリティ脆弱性の場合には、悪意ある者の意志によって起きるか起きないかが決定されるという点が異なります。まさに攻撃されやすい(vulnerable)と表現されるとおりです。しかも、コンピュータにおけるセキュリティ脆弱性の場合には、(1) 100%の再現性がある、(2)犯人が身を隠し易いといった点で特徴的であるので、現時点で被害がないことから対策の必要性を低く見積もることを本当にやってよいのかどうか疑問を感じます。
最後に、「ここは別に脆弱性が残っていてもOK」という点についてですが、cookieを盗まれる問題以外の脅威については、ユーザが気をつけることで回避できるものです。よそのサイト(あるいはメール中)にあったリンクを辿ってやってきた画面は、たとえアドレスバーのURLが本物のようでも、ニセの内容を見せられているかもしれないと疑う目を持つ、つまり、世の中にはそういう攻撃方法があるのだということを知っておけば、回避できるでしょう。
ですから、cookieを使っていないサイトであれば、コストの都合でクロスサイトスクリプティング対策をしないというのもアリだと私は思います。ただしその場合は、
当サイトはクロスサイトスクリプティング対策を行っていません。これこれの危険性がありますので、当サイトご利用の方は、あれこれ、ご自身でお気をつけください。
1年前を思い返してみると、IEのセキュリティホールにパッチをあてることの重要性をいくら訴えても、あまり耳を貸してもらえる状況ではありませんでした。新聞やテレビで取り上げられることはけっしてありませんでしたし、パソコン雑誌ですら頑なに取り上げることを拒否するほどでした。あるセキュリティ専門機関に訴えても、「それって実際の被害が出るの?」と疑われる始末。そのときもやはり「個別のターゲットを狙った攻撃は起きていても知ることは困難」と先のコメントと同じことを説明したものです。
それがどうですか、9月18日のNimdaワームの登場で世の中はすっかり変わりました。もう一般の方にでさえ説明はいらなくなりました。
つまり、どういうことですか。
そういう解決をjbeefさんにしていただけるとも思いませんし。
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかったので、それを知らずに利用したため自分たちの個人情報の流出し損害を受けた(ないしは危険性に晒された)」という内容の訴訟でも起きて、多額の賠償金を支払う羽目になる実例が出来れば、こぞって明記してくれるでしょう。:-P
少なくとも上記のように訴訟沙汰をおこされて万が一・・・を考えた 場合の損失が書いたことによる損失を上回らない限り、最終判断をするお偉いさんも納得しないのが現実ですね。
人んちの郵便受けもつついて回ったらどうかね? 郵便受けの中身を見られる可能性がありますよって。
書留は途中で開封されなかったとみんな信じて受け取るだろうけど、
でも発送する郵便は全部書留にすべしなんて誰も騒ぎ立てない。 それはコストとのバランスがわかっているからさ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
被害が知りたい (スコア:2, 興味深い)
1.これまでにどういう被害があったか?
2.そのさい、どういう対策がとられたか?
3.被害総額はいくらくらいか?
という、実際に被害にあった例とその損害を数字で知りたいです。
なぜかというと、たとえば「包丁は危険です。だから使わないようにしましょう」ということはありえな
Re:被害が知りたい (スコア:3, 興味深い)
被害者が漏洩の原因に気付くことは極めて異例なケースでしょうし、被害があったことにすら気付かないことが多いでしょう。サービスサイトの管理者なら、詳細なログを採っていれば攻撃の可能性を検出することができるかもしれませんが、見つけても自ら外部にそれを明らかにすることはないでしょうし。
実際に悪質なクロスサイトスクリプティング攻撃の罠が仕掛けられているのが発見されたことがあるか?という点でいうと、あまりないようではありますが、攻撃が無差別なものばかりではないという点に注意が必要です。「セキュリティ対策=ウィルス対策」みたいな風潮が一部にありますが、特定の相手を狙った攻撃というものも現実性が十分にあると思われます。特定の人物のメールを盗み読むといった行為の動機を想像してみるとよいでしょう。 そのような場合には、罠はすぐに消されるでしょうから、見つからないのかもしれません。
次に、被害状況と対策の必要性とをどう関連づけるかですが、自動車(あるいは包丁)の欠陥の場合と比べてみると、それによって引き起こされるものは事故であるのに対し、セキュリティ脆弱性の場合には、悪意ある者の意志によって起きるか起きないかが決定されるという点が異なります。まさに攻撃されやすい(vulnerable)と表現されるとおりです。しかも、コンピュータにおけるセキュリティ脆弱性の場合には、(1) 100%の再現性がある、(2)犯人が身を隠し易いといった点で特徴的であるので、現時点で被害がないことから対策の必要性を低く見積もることを本当にやってよいのかどうか疑問を感じます。
最後に、「ここは別に脆弱性が残っていてもOK」という点についてですが、cookieを盗まれる問題以外の脅威については、ユーザが気をつけることで回避できるものです。よそのサイト(あるいはメール中)にあったリンクを辿ってやってきた画面は、たとえアドレスバーのURLが本物のようでも、ニセの内容を見せられているかもしれないと疑う目を持つ、つまり、世の中にはそういう攻撃方法があるのだということを知っておけば、回避できるでしょう。
ですから、cookieを使っていないサイトであれば、コストの都合でクロスサイトスクリプティング対策をしないというのもアリだと私は思います。ただしその場合は、
と明記しておくべきというのが正論かと思います。が、無理ですか?全部の場合は無理と思います。が (スコア:2, 興味深い)
技術的に見て「これは脅威だ!」というのは大変によくわかる。たとえて言えば、道路の真ん中に大きな穴があいているのは、誰でもわかっている。なのに「その脅威にはまって」「実際に穴に落ちる人がいない」ということであれば、誰もその穴をふさぐ必要を感じない、ということも会社も含めた世の中にはあるんです。
いいことではないとは思うけれど、「実際に道路の真ん中にある穴に落ちて怪我をしたことがある」という人がいない限り、穴をふさぐ作業に誰もお金をかけようとは思わないわけです。
たしかに、現状ほとんどの企業や団体がお金をあまり使えない状態にあるし、XSS対策をとる=道路の穴をふさぐより、もっと緊急で大きな問題を抱えていることが普通です。だから、対策の優先順位を上げてもらうために、どこかにその実例はないか?と探しているところなのですが、この実例が全然ないんですよね。。。。挙句の果ては「技術屋が趣味でみつけたどうでもいいことをさも大変なことのように、自己顕示欲を満足させたいために騒ぎ立てている」なんて言われちゃう始末なんです。
システム管理者の愚痴になってしまいましたが。。。。
Re:全部の場合は無理と思います。が (スコア:1)
1年前を思い返してみると、IEのセキュリティホールにパッチをあてることの重要性をいくら訴えても、あまり耳を貸してもらえる状況ではありませんでした。新聞やテレビで取り上げられることはけっしてありませんでしたし、パソコン雑誌ですら頑なに取り上げることを拒否するほどでした。あるセキュリティ専門機関に訴えても、「それって実際の被害が出るの?」と疑われる始末。そのときもやはり「個別のターゲットを狙った攻撃は起きていても知ることは困難」と先のコメントと同じことを説明したものです。
それがどうですか、9月18日のNimdaワームの登場で世の中はすっかり変わりました。もう一般の方にでさえ説明はいらなくなりました。
つまり、どういうことですか。
全くおっしゃる通りなんですが (スコア:1)
技術に強い人じゃないですし。。。。私を責められても私が困るだけで、解決にはならないのですが。
「そんな会社やめちゃえ!」ということを言われているのでしたら、それは私の事情もあって今はできないことですし、こちらの会社の事情や私の個人的な事情をお話しても、そういう解決をjbeefさんにしていただけるとも思いませんし。
おふとぴになるので、ここはこれで失礼させていただきますが。
Re:全くおっしゃる通りなんですが (スコア:0)
しかし、ほんとに必要と思ったら、そういう拒否パターンに関する情報集積も重要だと思いますよ。(外務/農水/雪印と見ていると…)
#怖いのでAC
Re:全部の場合は無理と思います。が (スコア:0)
実例でわるいが (スコア:0)
※うちの上司はビビってくれた
Re:被害が知りたい (スコア:1)
それは無理というより、やることに対してメリットがないということで誰もやらないでしょうね。
たぶん、「(クロスサイトスクリプティング対策に限らず)個人情報の流出の危険性を明示していなかったので、それを知らずに利用したため自分たちの個人情報の流出し損害を受けた(ないしは危険性に晒された)」という内容の訴訟でも起きて、多額の賠償金を支払う羽目になる実例が出来れば、こぞって明記してくれるでしょう。:-P
少なくとも上記のように訴訟沙汰をおこされて万が一・・・を考えた 場合の損失が書いたことによる損失を上回らない限り、最終判断をするお偉いさんも納得しないのが現実ですね。
Re:被害が知りたい (スコア:0)
カネのからまない個人情報が盗まれるぐらいならガタガタ騒ぐほどの被害じゃないよ。
個人情報っつったっていろいろあるでしょ。
ネットワークだからコスト度外視しなくちゃいけないの?
例えば個人情報(住所や氏名)という個人情報が書かれた郵便ってメディアはたとえ通信経路上が安全かどうかもわからないし、郵便受けで盗み見られるかもしれないような*脆弱性*を持ってるよ。
でも発送する郵便は全部書留にすべしなんて誰も騒ぎ立てない。
それはコストとのバランスがわかっているからさ。
WEBの設計
Re:被害が知りたい (スコア:1)
コスト度外視して対策しろ、なんて誰も言ってないと思うけど。
むしろ、「極めて必須に近いコストだから出来るだけ高い優先順位であらかじめ組み込んでおきましょう」という見方が一般的でしょう。XSS に関する知識、技術は、Web 関連技術者にとって、そうとう優先度の高い技術になっていると僕は思いますよ。それこそデザイナーにとってなら HTML、デベロッパーにとってなら HTTP と同列くらいに。
Only Jav^Hpanese available :-)
Re:被害が知りたい (スコア:0)
>であらかじめ組み込んでおきましょう」という見方が一般的
そう、そうやってこの程度の知識レベルが必須だという。
現場を知らないのかね。
そういう知識技術レベルを備えた人は値段も高いのよ。
たいしたリスクもないところだったら、もっと安く見た目におんなじ
ようなモノができれば、それでいいじゃん。
Re:被害が知りたい (スコア:0)
の間違いでは?
意図的な間違えなら悪質ですね。
Re:被害が知りたい (スコア:0)
ばーか、本質的にどうでもいい。
自宅の郵便受けが盗みみられないようにガードしておくことも
必要だろうけどそんなことしたって途中の郵便局がわの施設でも
どうなってるかわからんでしょ。
あんたがたは、こういうことに対しても
「こういう脆弱性を抱えているんだから、
もっと安全な方法で書面を送れ!」
って言っているのに等しいのよ。そんなことできる?
個人の郵便受けからパスワードが記載されたISPからの連絡書面が
盗まれる可能性はゼロで無いし、手法としてはすごくカンタンだが、
だれかそういう危険を指摘して騒ぎ立ててくれたかい?
本質を見な
Re:被害が知りたい (スコア:0)
> 自宅の郵便受けが盗みみられないようにガードしておくことも
> 必要だろうけどそんなことしたって途中の郵便局がわの施設でも
> どうなってるかわからんでしょ。
だから郵便局側(だけ)を問題にしているんだろ?何言ってんの?
誰が自宅郵便受けのガードを問題にしたかよ?アホかおまえ。
> あんたがたは、こういうことに対しても
> 「こういう脆弱性を抱えているんだから、
> もっと安全な方法で書面を送れ!」
> って言っているのに等しいのよ。そんなことできる?
郵便局が、「郵便は安全です。安心してお使いください。」って
Re:被害が知りたい (スコア:0)
みんなそこそこ安全だろうと思って使ってる、
だけど、そんなこと起こらないだろうと思い込んで
(実質安全なメディアと同格に)扱ってる、
そのことが問題だとこの人は書いてるんじゃない
Re:被害が知りたい (スコア:0)
できないの?
そういう話だろ。
Re:被害が知りたい (スコア:0)
WEBなんてあったっけ?
0990ダイヤルアップツールをインストールさせられるようなサイトなら
話は別で、みんなOKですOKです連発するだろうけどな。
そういうサイトしか知らないかい?(ぷぷぷ)
Re:被害が知りたい (スコア:0)
> WEBなんてあったっけ?
いくらでもある。
http://www.goo.ne.jp/help/id/gooid.html#11
「ご入力いただいた情報は保護されますので、どうぞ安心してご登録下さい。」
少しは自分で調べたらどうだ?人を罵倒するくらいならな。
お前、「Officeキモイ」って言いたいだけちゃうんかと。
Re:被害が知りたい (スコア:0)