パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「アイリスプラザ」にてクレジットカード情報の漏洩」記事へのコメント

  • FAQより (スコア:2, 興味深い)

    by Anonymous Coward on 2008年07月24日 18時26分 (#1390010)
    Q.不正アクセスに対する対策はしていたのか?
    A.ファイヤーウォールやSQLインジェクション対策はしておりましたが、
    既に使われていない古いプログラムは対策されておらず、
    結果的にそのプログラムから攻撃を受けています。

    SQLインジェクション対策って、どの程度なんだろう?
    バインド機構なのか、エスケープなのか、サニタイジングなのか・・・
    通達が遅いのもそうだけど、事故が発生しているにも関わらず、
    サイトを停止して、総点検しないショッピングサイトとか使いたいと思わないなぁ。

    • Re:FAQより (スコア:1, 興味深い)

      by Anonymous Coward on 2008年07月24日 18時39分 (#1390016)
      > 既に使われていない古いプログラムは対策されておらず、
      > 結果的にそのプログラムから攻撃を受けています。

      今入ってる客先にそーゆーのがたくさんある。
      新しいプログラムを入れる際にはチェックのルールがあるらしいが、
      (と言っても、そのチェックのコストを忌避して新しいプログラムを入れないらしい)
      過去のもの、特に今現在使われてないものはノーチェック。

      最近ようやく「使わないものはサーバから消しましょう」と言う話になったが、
      どう考えても「まっさらのサーバに使っているものを移す」方が早い。
      本当にやれるんだろうか...
      親コメント
      • by Anonymous Coward
        >どう考えても「まっさらのサーバに使っているものを移す」方が早い

        "うっかり" rm -rf / してあげたら皆から感謝してもらえそうですね。
    • Re:FAQより (スコア:1, 興味深い)

      by Anonymous Coward on 2008年07月24日 19時03分 (#1390033)
      ファイヤーウォールってSQLいんじぇくしょん何とかしてくれるの?
      親コメント
      • Re:FAQより (スコア:2, 参考になる)

        by Anonymous Coward on 2008年07月24日 20時42分 (#1390081)
        怪しいリクエストをチェックできる機種もあります。

        …が、ほとんどの機種はSSL通信の中を見られません。
        キーを呑ませて、中身をチェックできる機種はお高いです。

        ・お高いファイアウォールでチェック
        ・SSLアクセラレータを噛まして復号化したあとで、ファイアウォール噛ます

        どっちもイマイチなので、ウチは導入をあきらめましたが。
        親コメント
      • by Anonymous Coward
        元ACです。

        コメントにあるSSLアクセラレータの下にFWというよりは、
        IPSをかます感じじゃないでしょうか?
        基本がシグネチャベースだし、"1=1"みたいな値が常に真になるリクエストを
        検知してブロックするシグネチャを柔軟に書くことができます。
        IPS屋をやってたんだけど、ブロックできるかはチューニング次第だと思います。
    • 以前ストーリーであったので皆さんもう読んでいるとは思いますが、
      一応資料として、サウンドハウスの漏洩時の経緯についてのPDFおいてきますね。
      不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ [soundhouse.co.jp]
      親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...