アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
セキュリティは防御だけでは不完全。。。 (スコア:1, 参考になる)
とりあえず入出力のサニタイズですかね。。
後出来る限りPreapareでのDBアクセス。
ただDBアクセスせずに式入力(そんなのあるか?)みたいなのだとコマンドインジェクションも。。。
やはりサニタイズ??
ただ、それでも漏れはありますし、プラットホームの脆弱性でサニタイズだけでは対応できないこともありますから。
おきた場合の対処のマニュアルも重要。
>慢心した馬鹿。
ええ。思います。
オフとぴ気味、別議論になりそうですが、セキュリティ対策とは侵入対策、改竄対策、ウィルス感染対策などの受けだけを、また技術的防御策だけを指すもので
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
被害者は被害認識後、適切な対応が出来ないと加害者ですか・・。ほんとに迷惑な被害だな。
攻撃者は「今対応することを強制」することができるんだもんね。
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
”最高のセキュリティ対策”を詠ってるIT企業なら2次感染対策は当たり前でしょう。 ”今対応すること”も。 (自分が感染し2次感染がおきることがわかっていた上で)何も対策せず、多くのユーザーの2次感染を引き起こしたのですから、言い訳は効かない。
今回のカカクコムの一番の間違いは個人的にはここだと思ってる。 #SQLインジェクション対策や防御をおざなりにしていいという話ではない。
#例えるなら、防火壁で建物建てて、防火は完璧といって室内にスプリンクラーつけず、消火器設置もなし。窓も一般の窓。家の中には可燃物一杯ww。
#で、最高の火災対策と吹聴すると。あほかと。
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
#いくらやっても平行線でしょうな。
としたうえで
見物客からは金取らないで直接経済的な利益のある情報を与えるサービスで
「知ってて理解してて対策出来てる」事や
「非常時にどうするかをあらかじめ ないしは 納得されるほど迅速に的確な対応をするための知識や知恵を持ってて適用する」
事を要求するってのは どうも「知ってる側」のエゴのようなきがするんでさ。
経営的に見ても
・分間○○○万稼ぐ
・社会的意義も大きいサイト
・ウィルス感染してしまいました
・でもまだ運用できてます
ってなったときに
1.運用全止めで直るまで対策する。
2.運用しながら対策。(直ったら自分から報告 or だまっとく)
3.放置。
だったら カカクコムの取った対策は 3の様に言われているが
普通の経営者だったら2を取りたいしカカクコムもそうしたでしょ。
1だったら1で(結果しかみない)ステークホルダー様が(彼らにとって訳のわからない)サイトの停止にお怒りなすったでしょう。
また技術者にしても、結果的に対策できなかったカカクコムの技術力はばれてしまったわけですが、そんなピンチの超高緊張時にゃ 技術者も技術的な問題の対策力も調査力も判断力も半減ですよ。
#この意味からも、あらかじめ調べておくってのは大事だね。
「知らない人」ってのは「知らない」事を「知らない」んだよ。
だから自分の知ってる中で最高とか誇っちゃうの。
どんな状況であれ「知ってる」事に金を払っている訳じゃなければ相手に「自分が知ってる」事を強要するのは勝者の論理とおもうぜ。
でも だんだん良くなってるじゃん カカクコム。
それでも俺は使いたいなぁ。
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
問題はカカクコムは
”2次感染が起きる事を知ってた”って事。
2次感染が起きる事を知った上で数日間運用をつづけた。
語幣を恐れずにいえば2次感染が起きる事を知ってた上で利益を優先し、故意にユーザーを2次感染させたって事。
+知らなかった以降、問題を起こし、知った後でも、
過失はない
なんて発言をしている。
http://itpro.nikkeibp.co.jp/free/SI/NEWS/20050525/161513/
防御技術がもし本当に完璧だったとしても、運用過失は間違いなくあった訳だ。
なのに過失はないなんて発言をしている。
”考えられる最高レベルのセキュリティ対策をしてきたつもり”
も事件後の言葉。事件に何も学んでいる様には見えない。
こういう企業は同じ事を繰り返す。学ぶつもりも無いし、学んだとしても利益優先でそれを生かすモラルが無いわけだから。
私には本当の意味で、何も反省しているようには見えない。
だから、カカクコムには厳しい事をいうべきだと思う。
それが私の考え。
平身低頭謝るなら、まだ対策していこうという気があるように見えるんだけどね。
口だけで証拠は出さない。運用は滅茶苦茶だったじゃ擁護の価値はない。
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
”過失はない。”
”最高のセキュリティが破られた”
なんていわずに、
”最高のつもりがガタガタでした。ごめんなさい。一から出直します。"
って言えばいいんだよ。。
それならまだ反省してるな。これからは大丈夫になっていくな。。と見えるのに。。
Re:セキュリティは防御だけでは不完全。。。 (スコア:1)
ならば2次感染者を故意に出していいとでも?
>また技術者にしても、結果的に対策できなかったカカクコムの技術力はばれてしまったわけですが、そんなピンチの超高緊張時にゃ 技術者も技術的な問題の対策力も調査力も判断力も半減ですよ。
だからこそ一時的に止めた上でログなり何なりを元に、ゆっくり調査・対策すべき。
結果的にその方が判断力の回復が早い。
ログすら取ってないんなら、運用として最悪。
Re:セキュリティは防御だけでは不完全。。。 (スコア:0)