パスワードを忘れた? アカウント作成
1559 story

Webサイトにも安全マークを 34

ストーリー by wakatono
まずは危険マークから 部門より

isi 曰く、 "インターネットセキュリティ情報サイトNet Securityでは、スクリプトおよびクッキーの使用を「強要」しているサイトは「R-MS」マーク、さらに、過去に危険なスクリプトで利用者に被害を与えたことやサイト改竄、個人情報漏洩などの事件を起こしたことがあるにも関わらず、スクリプトをオンにしないと利用できないメニューや機能があるサイトには、より危険度の高いサイトとして「R-MSX」マークを表示することを提唱しています。まるで旅館の安全マークみたいですね。内容は逆ですけど。
 ちなみに「R-MSX」マーク対象サイトにはmsnオリコ など、Nimda騒動で名を馳せた勇名どころが挙げられています
 なお、「R-MSX」マークは デザイン募集中、だそうです"

まぁ、一度やっちゃったところが「もう対策したから大丈夫」といっても、にわかには信じがたいものがありますな。具体的に「どういう対策をどう打ったからどう大丈夫」というのが「素人目にも」分かるようになってればいいのですが、なってないというのが現状だし…つぅか、特定の会社の特定の実装だけでしか満足に見れないってだけですでにアレですな…

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • クライアント側のjavascriptは使わずにどうにかするとしても、セッション管理をクッキー使わずに実装しているECサイトってあるの?
    • セッション管理云々に関しては、

      欧州議会がcookie禁止法案を来週採決 [srad.jp]
      のコメントで色々議論されてます。

      最近、Cookieへの風当たりが強くて、Web系技術者としては頭の痛い限りです。セッション管理はやっぱCookieがいいですよね。そのうち「hiddenのみが許された世界」とかになりそうで怖いです。(^^;

      親コメント
      • しかし、hiddenって htmlコンテンツに埋め込まれる
        情報なので、ローカルに保存して改変し、それを
        ブラウザで読み込んで処理を継続する事でなんらかの
        行為も可能ですよね。

        それを防止するためには HTTP_REFERER を参照し
        サーバから正しく送り出されたコンテンツに
        基づいているか確認するという手はありますが
        HTTP_REFERER は必ず得られるものと
        • hiddenに埋め込んだセッションIDが漏れなければよいのでは?

          漏れる漏れないの話と、ローカルで改竄される話は、別です。

          親コメント
          • HIDDENに埋め込んだセッションIDは、FORMで渡さないと いけないんですよね。
            でも、それだと全部SUBMITボタンでページを移動しないといけなくなっちゃう気がするんですが。

            PHPとかでセッション管理をすると、FORMなしでセッションIDが渡せるcookieは便利です。
            いちいちSUBMITボタンによる遷移をしなくても、ただ表示するだけのページでもセッション確認できますから。
            なりすましや漏洩が心配なら「セッションの切断」のページを用意して、そこでcookieを消すとかすればいいんじゃないでしょうか。
            もちろん、セッションcookieの有効期限は過去の時間にしてブラウザが終了した時点で消えるように。

            cookieに代わるセッション管理の手法があれば(もちろんJavaScriptを除く)R-MSもいいと思いますが、今のところ思いつきません。
            原文を書いた人は、代替案も書いてくれるともっと説得力があって支持してくれる、採用してくれる人も多かったと思います。

            --
            --- Sato4.
            親コメント
          • もしかして、漏れるということを気にしているのでは
            なくて、改変して(何らかの手段でうまく)偽装できれば
            他人に覗き見されてしまうという可能性を言っているの
            かも。(そんなことが可能なのかどうか分かりませんけど)
            でもそれは cookieも同じような... 永続保存では
            なくセッションのみの cookieなら大丈夫なのかな。
            ほへ、よー分からん ^^;
            • クライアント側で予測し得る値で偽のhiddenをセットして、それで何かできてしまうようなサイトは、cookie云々以前の別のより低次元な脆弱性があるということになります。

              「cookieでなくhiddenで」という発言の意味は、cookieだとクロスサイトスクリプティング脆弱性を確実に排除せねばならないがそれに自信を持てないという点と、ブラウザのMS01-055のような欠陥の影響を受けて危険だから、hiddenでという話なのでしょう。

              詳しくは例えばここの資料の一つ目と五つ目が参考になるかもしれません。 http://www.shoeisha.com/event/sec/session/index.html [shoeisha.com]

              親コメント
  • 極悪度ちぇーっく!

    EC でもなんでもない、ただ単に見るだけのサイトなのに、
    1. JAVAスクがないとトップのページから一歩も動けない
    2. クッキーを返さないと「アクセスできません」と言われる
    3. REFERER がそのサイト内でないと「だめだよん」と言われる

    1は大企業などにわりとよく見かけるパターンで、まあ、「善意の出来損ない」くらいに解釈 してあげてもいいけど、2, 3 は「悪意に満ちたサイト」としか思え無いなあ。

    例を挙げるなら、

    1 は J-PHONE [j-phone.com]
    2 は http://www.cardginza.com/ [cardginza.com]
    3 は NIKKEI NET 記事検索 [nikkei.co.jp]

    など。アクセスしてむかつくこと間違いなし。

  • by hatoku (1188) on 2001年11月15日 14時02分 (#38285) 日記
     何の略なんでしょう?.....
    • Re:R-MSって (スコア:3, おもしろおかしい)

      by brake-handle (5065) on 2001年11月15日 16時32分 (#38336)

      MSはMalicious Siteかなぁ。「悪意があるサイト」。意味は間違いないけど。

      心配なのは、Recommended-by-MicroSoftなんて解釈が出てくることだったり。宣伝されたら完全に負ける。

      親コメント
    • "R"は映画などの"R指定"の"R"かと思うんですが、そもそも何の略でしょうかねえ。
      "MS"ってのはやっぱりMicrosoft?
      親コメント
      • by hatoku (1188) on 2001年11月15日 14時49分 (#38301) 日記
        別にWinNT-IIS-系列でなくても、cookieとjavaScript無理じい
        するサイトは作れるからなぁ。MSがMicro$oftの略というのは
        違うような。でもこの業界でMSといえば、マイクロソフトかモビルスーツの
        どちらかでしょうし。

        #M$--Microsoft
        #MS--モビルスーツ
        #にしようか
        親コメント
        • Re:R-MSって (スコア:2, おもしろおかしい)

          by wosamu (4952) on 2001年11月15日 15時31分 (#38314) 日記
          >#MS--モビルスーツ
          ミッションスクールの人が困ります。
          かつて"MS系のお嬢様学校"とか言う記述を見つけて
          あの素敵な稼動音鳴り響かせるお嬢様方が闊歩する学校を想像したのは言うまでも無い。
          Your comment has too few words per line 出るなあ。
          親コメント
        • でもこの業界でMSといえば、マイクロソフトかモビルスーツのどちらかでしょうし。
          この/.Jという表現なら解らなくもないが、この業界にはそこまでガンダムが浸透しているのか?
          • >この/.Jという表現なら解らなくもないが、この業界には
            >そこまでガンダムが浸透しているのか?

            おっしゃる通り+1

            一見「ガンダム世代」が多そうにみえるけど、そうじゃないかもしれないものね。
            事実、サーバー名に「zaku.xxx.co.jp」とかつけてるのって見たことないし
            親コメント
          • >この/.Jという表現なら解らなくもないが、この業界
            >にはそこまでガンダムが浸透しているのか?
            /.J以外として,ZDNetの
            携帯から「アムロ行きます!」は“ストロングバイ!”に認定? [zdnet.co.jp]に
            次の記述があるが...

            > ZDNetが,いつからガンダムサイトになったのかは
            >不明だが(笑),ここまで言われてしまってはレビ
            >ューしないわけにはいかない。脇で編集長が「うち
            >はIT情報サイトなんだよぉぉお」と吼えていても,
            >読者の期待を裏切るわけにはいかないのだ。ガンダ
            >ムサイトの名誉にかけて――。いや,ちがうか。

            少なくともマイナーではないと思うが.
            親コメント
      • by Anonymous Coward
        > "R"は映画などの"R指定"の"R"かと思うんですが、そもそも何の略でしょうかねえ。

        Restrict もしくは、Restrictionの略では?

    • by kutakuta (4580) on 2001年11月15日 14時21分 (#38289)
      Restrict MxxxxSoft じゃん。
      親コメント
    • by enigma (866) on 2001年11月15日 15時57分 (#38322)
      Richard M. Stallman ...のはずはないですね。
      親コメント
  • by Anonymous Coward on 2001年11月15日 14時05分 (#38286)
     なお、「R-MSX」マークは デザイン募集中、だそうです

    MSXのロゴにR-付けただけのものが多数応募されそうですな。
    • MSX TurboRのロゴのTurboを消すだけ、サルでも出来る。
      バランスが激しく悪いのがまた乙。
      •  個人的には「バーチャルリアリティは悪である!」クラスの、インパクトあるデザインを期待したいですね。
         腕に覚えのある方、アイディアをお持ちの方は、是非投稿して欲しいです。

         もうひとつ問題があります。それは「どうやって猫に鈴をつけるか?」

         「R-MSX」マークは、あくまでも「Net Security」が提唱しているだけで、法的拘束力もなにもありません。当然、msnやオリコが自発的につけてくれる訳がありません。

         でも方法はあります。Webサーバー側で付けてくれないなら、Webブラウザで付けるようにしてしまえば良いのです。

         別の問題でこれを実践 [bugnosis.org] しているところがありますね。「Net Security」も「提唱」だけでなく、「実践」を期待したいところです。

        親コメント
    • by Anonymous Coward
      MSX(turboR)ユーザとしては、その名前&ロゴやめて欲しいかも…(笑

      それより、MSX って名前、引っかからないんだろうか。アスキーさん、どうなの?
  • by Anonymous Coward on 2001年11月15日 15時05分 (#38306)
    一旦「R-MSX」になってしまったら、「R-MS」への復活って無いんでしょうかね?
    一回のミスがいつまでも付きまとうのはどうかと。

    まあ、スクリプト使うの止めれって事なんだろうけど。
typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...