アカウント名:
パスワード:
Googleアナリティクス、Google AdWords、jQueryをGoogleやMSから引っ張って使っている、TwitterやFacebook等のSNSツールを張っている人。それだけに限りませんが、第三者が管理するサーバー上にあるスクリプト使っていたら、今回と同じ攻撃を食らう可能性はあります。ちゃんと監視して、素早くサービスを切り離す手順を用意しておきましょう。
最低でもログインページや個人情報といったセンシティブな情報を扱うページに第三者が管理するスクリプトを使うのは止めるべきです。何も考えずにログインページにもアクセス解析や広告といったスクリプトを張りっぱなしのサイトが現状あまりにも多すぎます。
例えばSMBCはFraudAlert [fraudalert.jp]やYahoo!のアクセス解析といった第三者スクリプトをログインページに仕込んでます。これで暗証番号が流出して被害を受けても当然補償してくれるんだよね?>SMBC
CDNから静的なスクリプトの読み込みを行なっているならSRIの設定は効果的な改竄検出方法かと思います。https://dev.mozilla.jp/2016/04/how-to-implement-sri-into-your-build-process/ [mozilla.jp]
さらにセンシティブな情報を扱うページは外部からのリソースを読み込むべきでないというのは強く同意します。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
これは、対岸の火事ではない。今こそ再チェックを。 (スコア:2, 興味深い)
Googleアナリティクス、Google AdWords、jQueryをGoogleやMSから引っ張って使っている、TwitterやFacebook等のSNSツールを張っている人。
それだけに限りませんが、第三者が管理するサーバー上にあるスクリプト使っていたら、今回と同じ攻撃を食らう可能性はあります。
ちゃんと監視して、素早くサービスを切り離す手順を用意しておきましょう。
最低でもログインページや個人情報といったセンシティブな情報を扱うページに第三者が管理するスクリプトを使うのは止めるべきです。
何も考えずにログインページにもアクセス解析や広告といったスクリプトを張りっぱなしのサイトが現状あまりにも多すぎます。
例えばSMBCはFraudAlert [fraudalert.jp]やYahoo!のアクセス解析といった第三者スクリプトをログインページに仕込んでます。
これで暗証番号が流出して被害を受けても当然補償してくれるんだよね?>SMBC
Re:これは、対岸の火事ではない。今こそ再チェックを。 (スコア:2, 参考になる)
CDNから静的なスクリプトの読み込みを行なっているなら
SRIの設定は効果的な改竄検出方法かと思います。
https://dev.mozilla.jp/2016/04/how-to-implement-sri-into-your-build-process/ [mozilla.jp]
さらにセンシティブな情報を扱うページは外部からのリソースを読み込むべきでないというのは強く同意します。