パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

XSSは本当に危ないか?日本のセキュリティ意識は過剰?」記事へのコメント

  • あり得る被害の規模×攻撃される可能性、で「損害の期待値」を求めれば十分低いんだから、「全ての穴は塞がれなければならない」原理主義で無駄にコストを押し上げてくれるな、ってことですよね?

    コストと期待値を比較評価したと言う論拠を顧客に突きつければ説得出来そうな気がするんですが、 現実にはそんなことはなく、原理主義者とか原理主義者に煽られてその気になってる素人が多すぎる、っちゅうことでしょうか?

    素人考えですが、説得は諦めて、「○○の被害が起きたら賠償金いくら」ぐらいまで契約に盛り込んでおいて、 どこまでのセキュリティー対策をやるのかを完全にベンダ側の裁量にしてしまうとか?
    • by signed-coward (17953) on 2009年03月25日 13時57分 (#1537643) 日記

      # ここにぶら下げてみる

      原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。
      XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、
      そうではない場所については、それらに応じた対処の優先順序があるだろうということかと。

      # 親コメントの方の言うとおり、損害と利益を天秤にかけてということになるでしょう。

      親コメント
      • by Anonymous Coward

        嘘はいけない。

        原文を見る限り、別に「XSSなんて全く対策しなくてよろしい」って言っている訳じゃ無いんですよね。 XSSが致命的な問題を引き起こすような場所については、ちゃんと対策はすべきだと言ってますし、

        それどこに書いてあります?そんな文章、見あたらないのですが。

        • by Anonymous Coward on 2009年03月25日 15時38分 (#1537712)

          リスクを考える際には、脆弱性の存在とともに、その脆弱性の悪用難易度と発生頻度も考えなければなりません。悪用が難しく、発生頻度が低いリスクに関しては、リスクを保有するのが自然な考えではないかと思います。世の企業はセキュリティで100点満点を取るためにビジネスをやっているわけではありません。ビジネスのメリットとデメリットを考えて対策を選別するべきです。

          まずは掲示板、日記など、外部からデータを登録可能な内容を閲覧する機能にはXSSが存在しないようにしてください。特に「不特定多数からデータを登録可能」かつ「そのデータを不特定多数に表示する」機能については攻撃者に狙われる確率が高く、狙われた場合の被害が大きくなりますので、対策の優先順位は高くするべきです。

          これが該当するものかと。

          親コメント
          • by Anonymous Coward

            まずは掲示板、日記など、外部からデータを登録可能な内容を閲覧する機能にはXSSが存在しないようにしてください。

            つまり、セッションハイジャック攻撃は無視してよいというのが、LACの水準ですか。 もしかして、この著者は、Cookieが漏れることはたいしたことないという理解なの?

            掲示板のXSSなんかむしろ全然問題じゃないのだけど。

            • その時点で考えうるあらゆる脆弱性のパターンを列挙しろと? さすがに穿った見方すぎでしょう。
              かけられるコストの範囲で考えたら XSS 程度そんなに優先度を高める必要はないが、場合によっては優先順位を高める必要がある、と言っているだけでしょう。
              掲示板や日記は普通の人にも分かりやすい「サーバにデータを登録するパターン」として挙げているだけにしか見えませんよ。

              バランスを考えて対応しろと言っているのに、他の深刻な脆弱性はどうでもいいと判断できる意味がわかりません。

              親コメント
              • by Anonymous Coward
                > その時点で考えうるあらゆる脆弱性のパターンを列挙しろと?

                セキュリティアナリストならそれが当然では?

                LACに診断を依頼した場合に、XSSが見つかったときに、
                サイトがCookieの漏洩でセッションハイジャックで結果どんな被害が出るか、
                その分析をしないで、一律にXSSはたいしたことないなんて言われちゃうんじゃ困りますよ。

                > 場合によっては優先順位を高める必要がある、と言っているだけでしょう。

                記事にした以上、どういう場合に優先順位を高める必要があるのか書くのが常識ですよね。
                で、それを書いたのが掲示板っていうんじゃ、
                はっきり言って、専門家として程度が低いと言わざるを得ない。
              • by Stealth (5277) on 2009年03月27日 3時07分 (#1538839)

                > その時点で考えうるあらゆる脆弱性のパターンを列挙しろと?

                セキュリティアナリストならそれが当然では?

                それは実際に行っている業務中のレポートにあれば十分であり、こんな Web 中の記事内に想定されるあらゆる脆弱性のパターンを列挙する、なんてのはただの馬鹿です。

                LACに診断を依頼した場合に、XSSが見つかったときに、
                サイトがCookieの漏洩でセッションハイジャックで結果どんな被害が出るか、
                その分析をしないで、一律にXSSはたいしたことないなんて言われちゃうんじゃ困りますよ。

                LAC は別にサイト構築を一手に引き受けているような企業じゃありませんけど。
                検証するアプリがどういった情報を取り扱い、該当アプリに脆弱性があった場合にどれだけの問題が発生するかを設計しているのは検査を依頼する側の会社がやることでしょう。

                一律に XSS は大したことがないと言っているのではなく、XSS 脆弱性があるからこれは常に大問題だと考える事はプライオリティが全く理解できていないのではないかと啓蒙しているだけでしょう。

                記事にした以上、どういう場合に優先順位を高める必要があるのか書くのが常識ですよね。
                で、それを書いたのが掲示板っていうんじゃ、
                はっきり言って、専門家として程度が低いと言わざるを得ない。

                長くなりすぎる上に「普通分かるだろ……」と思ったので前コメントには書きませんでしたが、たかが掲示板であると言っても「ゲーム会社 (例えばコーエーとか) が運営する、ユーザ情報と連携した掲示板」や「mixi のコミュニティ機能」なんかは個人情報に繋がる可能性があります。
                こうした「掲示板」ではそこらに転がってる掲示板スクリプト (mini BBS とかでもいいですか) 等と比較すると脆弱性があった場合の問題レベルが全く異なる事は容易に想像できます。
                そういった事を全く想像できない時点で想像力が足りないのではないでしょうか。

                親コメント
              • by Anonymous Coward

                それは実際に行っている業務中のレポートにあれば十分であり、こんな Web 中の記事内に想定されるあらゆる脆弱性のパターンを列挙する、なんてのはただの馬鹿です。

                このようなメディアでの啓発目的の解説記事で、XSSはたいしたことない(場合がある)という趣旨のことを書くからには、そうではない場合にどのような場合があるかを明記するのが当然です。そうしないと、なんでもかんでもXSSならたいしたことないという誤った理解を誘発してしまうのが明らかだからです。実際、このスラッシュドットにもそのような影響を受けたコメントが出ていますよ。

                LACに診断を依頼した場合に、XSSが見つかったときに、

              • このようなメディアでの啓発目的の解説記事で、XSSはたいしたことない(場合がある)という趣旨のことを書くからには、そうではない場合にどのような場合があるかを明記するのが当然です。

                読解力も想像力も欠如し、書かれている内容の表面だけをさらっと見てそれが全てだと思いこむような人ばかりであればそうなのでしょうね。
                あらゆる場合において XSS は非常に危険で何をおいても対応しなければならないような問題であると考える必要はない、としか書いていないように思えますが。

                ええ?そうなの?脆弱性診断といったらそのサイトの機能に照らして具体的な影響まで示すのが仕事だと思ってましたが、LACは違うのですか。LACってツール動かしてレポート渡すだけの会社でしたっけ?

                豪快に勘違いしていませんか? 元コメントで言っているのは以下の通り。

                LAC は別にサイト構築を一手に引き受けているような企業じゃありませんけど。検証するアプリがどういった情報を取り扱い、該当アプリに脆弱性があった場合にどれだけの問題が発生するかを設計しているのは検査を依頼する側の会社がやることでしょう。

                LAC は別にサイト構築する段階から関わり、情報設計や影響範囲までを「設計」しているようなトコじゃない、と言っているのですが。

                親コメント
      • by Anonymous Coward
        オイラもそいう風に受け取ったね。

        ただ、問題は、「自称開発者」の意識があまりにも低い、という所なんだよな。
        WEBアプリ関係の質問板に質問に来る「仕事で」という連中は、そもそもHTTPも理解していないレベル、かつ、なんだか上の人に言われた為なのかおっちらこっちらプログラムを作っているだけのレベルで・・・

        そんな奴に、少々理解しただけの回答者が「得意気に」ソースをぺたり、と、貼り付けているのが現状で。
        (んで、質問者も、ソースを貼り付けてもらえると期待して、そのソースをぺたり、と、エディタに貼り付けるのを「開発」と呼んでる訳だ。)
    • by Anonymous Coward

      そりゃあトラブルが起きたときに担当者が自殺するものから
      ジュース1本おごりでナシがつく物までピンキリですから
      対応の度合いにしても穴熊囲いから両手ぶらりまで
      場合によりけりで決まるはずです

      もちろん書き手もそのつもりでしょうし、内容もそうなっていますが、
      そこへ来て「XSSは本当に危ないか?」なんてタイトルをつけたうえに

      そのときに警鐘を鳴らすことが私の義務です。

      とか言ってるのを見ると、
      あんた将来のメシのタネを仕込んでんのかと邪推したくもなります
      #そら危ないっつの

      "Take the number of vehicles in the field, a.
        Multiply it by the probable rate of failure, b.

日々是ハック也 -- あるハードコアバイナリアン

処理中...