パスワードを忘れた? アカウント作成
16522658 story
インターネット

企業のWebブラウザの半数以上は設定ミス状態。LayerXレポート 37

ストーリー by nagazou
IE使っているのも設定ミスカウントかな 部門より
セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている(2023 Browser Security Annual ReportTECH+)。

またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年03月10日 7時15分 (#4424305)

    どうしてもWeb鯖にアクセスしたい人はport 80 or 443をtelnetで(マテ

    • by Anonymous Coward

      どうしてもWeb鯖にアクセスしたい人はport 80 or 443をtelnetで(マテ

      せめてsshを

      • by Anonymous Coward

        あんた意味わかってないだろ

        • by Anonymous Coward

          貴君もわかってないかも。
          「既にスラドは字面通り真に受けて反応する『背景も行間も読めない民』で溢れている」事を。

          # こんなスラド( ≒ 世の中)になったのは トゥイッター と ライン のせいだと思う。

          • by Anonymous Coward

            もとから世の中はこんな奴らばっかだよ。インターネットができる前からね。

        • by Anonymous Coward

          telnetで443だと!?(ゴクリ

          って言いたかったのかも。curl使おう。

      • by Anonymous Coward

        そんな君にはsslhをおすすめしよう。

        https://github.com/yrutschle/sslh [github.com] A ssl/ssh multiplexer

  • Re:やかましいわ! (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2023年03月10日 7時34分 (#4424309)

    >企業のWebブラウザの半数以上は設定ミスをしているという。
    やかましいわ!

    だったらお手本となる設定一覧を提示しろや、ぼうけが!
    こう言う煽りセキュリティコンサルが居るのがむなぐそ

    • by Anonymous Coward

      わざわざ変な設定にするのは少数派だろうしデフォルト設定がミスっているとしか思えない。

      • by Anonymous Coward

        Salesforceの事例 [security.srad.jp]が頭をよぎった
        正しい設定かどうかは別途サポート契約して確認してくださいなビジネスかもよ

      • by Anonymous Coward

        変な設定どころかさわってすらなさそうなのに半数て…。

      • by Anonymous Coward

        そもそもビジネス向けのWebブラウザ利用しているところが少ないんじゃない?

        • by Anonymous Coward

          インターネットエクスプローラーとかエッジはビジネス用ウェブブラウザだろ。

    • まずいんたーねっとせつそくをホワイトリスト式にします

    • by Anonymous Coward

      >だったらお手本となる設定一覧を提示しろや、ぼうけが!

      「ぼうけが」ってなに?

      • by Anonymous Coward

        ぼけとほうけのキメラじゃね?
        しらんけど。

      • by Anonymous Coward

        普段コメントしても相手にされてなくてもっと僕に構って欲しいってサイン。

      • by Anonymous Coward

        てめぇなんか、米を食いつぶすしか能がない、箆棒みてぇなやつだ!

    • by Anonymous Coward

      「やかましいわ!」は誰へのReなの?

      • by Anonymous Coward

        LayerXじゃね?
        直接的にはそのレポートという事になるか。
        多分ね。

        信じるか信じないかは(ドーン)アナタシダイですっ!!

  • by Anonymous Coward on 2023年03月10日 8時06分 (#4424325)

    SaaS、お前まだ生きてたんか。
    # で、SaaSってなんだっけ?もうaaS多すぎて覚えられない。

    • by Anonymous Coward

      CSS拡張するやつ

    • by Anonymous Coward

      クラウドの本流(一丁目一番地でも可)はSaaSである。
      バッググラウンドシステム運用をサービス提供者側に渡せるのはSaaSだけ。
      IaaSやPaaSではユーザー側のシステム管理の負担は減らない。調達と構成の初期コストが減るぐらい?

  • by Anonymous Coward on 2023年03月10日 8時11分 (#4424329)

    いまだにjavaスクリプトで帳票表示のシステムが動いていますが、それが特定のバージョンでないと動かない。
    改修する気も無い。組織内のマニュアルにjava自動アプデはオフにしろと書く。
    なんならそれ以外のシステムも、特定のブラウザ依存で、「これはEDGEね、こっちはChromeで、あ、そっちはね、EDGEのIEモードね」

    その割には、突然スパムメール訓練とか言い出して、コンサルに大金払って偽スパムメールを全社配信して
    「結果はこうでした。君たちの意識改革を求めます。」
    みたいな上から目線。

    もちろん赤字です。よくもってるなぁ。

    • by Anonymous Coward

      2025年にDXの崖から転落しそうな企業ですね
      そこにまだお勤めなのは理由あるの?崖から突き落とす汚れ仕事の予定?

      • by Anonymous Coward

        2025年まで安泰なのか・・・

    • by Anonymous Coward

      > いまだにjavaスクリプトで
      > 組織内のマニュアルにjava自動アプデはオフにしろと

      これがおかしいとも思っていなさそうな猿の管理には実に適正としか思えないが

      • by Anonymous Coward

        Javaスクリプトと言ったらJavaFXのことだよね。

      • by Anonymous Coward

        1周回ってJavascriptとJavaの違いがわからない若年層が発生してきた説

    • by Anonymous Coward

      数年前まで公共の電子入札システムがそういう感じでしたね。
      特定バージョンのjavaを要求したり、かなりギリギリまでWin7/32bit/IE限定してきてたり。

      # 最近は入札システムの統合が進んでマシになってる
      # 都道府県毎に違うの使ってたりカオスな時代は個別にPC用意せざるを得なかった

      • by Anonymous Coward

        XPのSP未適用必須だったときもあるし、公共系は酷すぎだな

    • by Anonymous Coward

      > 偽スパムメールを全社配信

      これほんと最近流行してるんですかね…
      「メールに書いてある怪しいリンク開くな」はまだしも「怪しいメールは(メール本文そのものを)見るな」
      とか言い出されて困ってます…

      • by Anonymous Coward

        怪しいメールは開くなというポリシーの弊社。
        あるとき、開いたことを管理者に通知する訓練メールサービスを購入。
        某超有名ベンダーのメールゲートウェイで全数サンドボックスに投げ込む設定がされており、
        しかも外部宛て通信はスルーな設定だったため、開封率はお察しに。

      • by Anonymous Coward

        まあ、「怪しいメールはメール本文そのものを見るな」は言い換えると「Fromをちゃんと見ろ」って話で、
        それに加えて、グローバル企業でもない限りは母国語以外は身に覚えがないなせ見ず捨てろ、
        母国語でも少しでも怪しいと思ったらせめてリンク・添付ファイル開く前に相手に確認しろ。ってことかと。

        もうフィッシングメールはある程度ブロックできずに届くこと前提で定期的にこれを唱えるぐらいしか方法が無くなってる。
        大抵文体が違った足り、普段正しい相手方がやらない送り方をしてくるのでまだ助かっているが、文体まで似せてきたらもうお手上げ。

        • by Anonymous Coward

          ビジネスでの話ならCcも重要ですね。適切なアドレス(差出人側の部署代表とか)が追加されていなかったりすると危ないかもしれません。

    • by Anonymous Coward

      でも未だにOSのセキュリテイパッチ当てない奴いるしな。
      そんな奴らでも自動更新を無効化する術だけは知っているという。
      一度痛い目みないと学習出来ないんだろうね。

typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...