Web サービス時代に現れた脅威 (Eiji Yoshida)

勉強会

Cross Site Scripting について・・・
Web サービス時代とはなんぞ・・・
(Web を通したやり取りが成り立つ時代のこと)

  • 本セッションの Topic
    • Web Application Side の脅威 (国分さんが説明されていた点)
    • Web Client Side の脅威 (Browser)
    • Web Server Side の脅威 (IISApache)
    • それぞれに対策が必要。おのおのに対し影響を及ぼすことがある、
      この 3 つのうちどれかに問題があると、ほかのものに影響がある・・・。
  • Web Application Side
    • メリット
      • Web Client からの情報を元にコンテンツの生成が可能
    • デメリット
      • 悪意のあるデータを受け取ると、悪意のあるコンテンツを返答してしまう
    • Cross Site Scripting とは 
      • 悪意のある情報から結果的に悪意のあるコンテンツが返されてしまう
      • スクリプトがサイトからサイトへクロスして実行されてしまう・・・
      • スクリプトの実行→Cookie の漏洩
  • Web Client Side
    • Web Client とは
      • Browser
      • Web Application や Web Server との通信に HTTP を使うアプリケーション
      • HTML を解釈して Web コンテンツを表示するアプリケーション
    • メリット
      • HTML を解釈し、コンテンツを表示してくれる
    • デメリット
      • 情報解釈時に意図しない解釈を取る可能性がある
    • 受動的攻撃とは
      • 能動的攻撃は、攻撃者が主体となるもの
        被害対象がサーバー?
      • 受動的攻撃は、攻撃対象が基点となる攻撃、要するにトラップとか。。。黒板消しはさんだり? (笑


被害対象がクライアント?

    • 受動的攻撃が引き起こす問題
      • ウィルスの感染、NIMDA とか SWEN とか・・・
      • その結果、社内に侵入されたり、データを四の五のされてしまったり。
    • 受動的攻撃対策
      • 修正プログラムを適用する
        あたりまえなので充ててください。
        ここで失敗するとどのよう
        • 必ず行なうこと

にでもされてしまう・・・。

      • Administrator 権限でブラウザを起動しない。
        ブラウザの権限を制限する。
      • ウィルス対策ソフトウェアを適用する
        • 念のための処置
    • 社内サーバーにおいて、受動的攻撃は非常に弱い。
      ウィルス対策も万全ではない。
  • Web Server Side
    • 代表例
      • Web Application、Web Client との通信に HTTP を使用するもの (IISApache など)
      • Web サービスを提供するリソースを管理するサービス
    • FPSE の注意点
      • HTTP を通すようにフィルタリング設定をし、FPSE の設定をミスしている場合、悪意ある改ざんをさせるかのうせいがある。
      • IIS のアクセス権は関係が無い。修正プログラムを適用したとしても、設定ミスは保護できない。
    • FPSE の対策
      • 使ってないのならアンインストール
      • NTFS アクセス権を適切に設定する
  • まとめ
    • すべての要素をセキュアに
    • 管理者だけではなく、一般ユーザー、プログラマもセキュリティ意識を
    • セキュリティに関する情報、考え方をコミュニティから吸収
    • あとでセキュリティでなく、まずはセキュリティ
    • 安全だと思い込まない
      現状は危険であると考えるべき