アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
FAQより (スコア:2, 興味深い)
A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、
既に使われていない古いプログラムは対策されておらず、
結果的にそのプログラムから攻撃を受けています。
SQLインジェクション対策って、どの程度なんだろう?
バインド機構なのか、エスケープなのか、サニタイジングなのか・・・
通達が遅いのもそうだけど、事故が発生しているにも関わらず、
サイトを停止して、総点検しないショッピングサイトとか使いたいと思わないなぁ。
Re:FAQより (スコア:1, 興味深い)
> 結果的にそのプログラムから攻撃を受けています。
今入ってる客先にそーゆーのがたくさんある。
新しいプログラムを入れる際にはチェックのルールがあるらしいが、
(と言っても、そのチェックのコストを忌避して新しいプログラムを入れないらしい)
過去のもの、特に今現在使われてないものはノーチェック。
最近ようやく「使わないものはサーバから消しましょう」と言う話になったが、
どう考えても「まっさらのサーバに使っているものを移す」方が早い。
本当にやれるんだろうか...
Re: (スコア:0)
"うっかり" rm -rf / してあげたら皆から感謝してもらえそうですね。
Re:FAQより (スコア:1, 興味深い)
Re:FAQより (スコア:2, 参考になる)
…が、ほとんどの機種はSSL通信の中を見られません。
キーを呑ませて、中身をチェックできる機種はお高いです。
・お高いファイアウォールでチェック
・SSLアクセラレータを噛まして復号化したあとで、ファイアウォール噛ます
どっちもイマイチなので、ウチは導入をあきらめましたが。
Re: (スコア:0)
コメントにあるSSLアクセラレータの下にFWというよりは、
IPSをかます感じじゃないでしょうか?
基本がシグネチャベースだし、"1=1"みたいな値が常に真になるリクエストを
検知してブロックするシグネチャを柔軟に書くことができます。
IPS屋をやってたんだけど、ブロックできるかはチューニング次第だと思います。
サウンドハウスの事件と重なる部分はあるんですかね。 (スコア:1)
一応資料として、サウンドハウスの漏洩時の経緯についてのPDFおいてきますね。
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ [soundhouse.co.jp]