Web サービス時代に現れた脅威 (Eiji Yoshida)
Cross Site Scripting について・・・
Web サービス時代とはなんぞ・・・
(Web を通したやり取りが成り立つ時代のこと)
- 本セッションの Topic
-
- それぞれに対策が必要。おのおのに対し影響を及ぼすことがある、
この 3 つのうちどれかに問題があると、ほかのものに影響がある・・・。
- それぞれに対策が必要。おのおのに対し影響を及ぼすことがある、
- Web Application Side
-
- メリット
- Web Client からの情報を元にコンテンツの生成が可能
- デメリット
- 悪意のあるデータを受け取ると、悪意のあるコンテンツを返答してしまう
- メリット
- Web Client Side
-
- Web Client とは
- Browser
- Web Application や Web Server との通信に HTTP を使うアプリケーション
- HTML を解釈して Web コンテンツを表示するアプリケーション
- Web Client とは
-
- メリット
- HTML を解釈し、コンテンツを表示してくれる
- デメリット
- 情報解釈時に意図しない解釈を取る可能性がある
- メリット
-
- 受動的攻撃とは
- 能動的攻撃は、攻撃者が主体となるもの
被害対象がサーバー? - 受動的攻撃は、攻撃対象が基点となる攻撃、要するにトラップとか。。。黒板消しはさんだり? (笑
- 能動的攻撃は、攻撃者が主体となるもの
- 受動的攻撃とは
被害対象がクライアント?
-
- 受動的攻撃が引き起こす問題
- ウィルスの感染、NIMDA とか SWEN とか・・・
- その結果、社内に侵入されたり、データを四の五のされてしまったり。
- 受動的攻撃が引き起こす問題
-
- 受動的攻撃対策
- 修正プログラムを適用する
あたりまえなので充ててください。
ここで失敗するとどのよう
- 修正プログラムを適用する
- 受動的攻撃対策
-
-
-
- 必ず行なうこと
-
-
にでもされてしまう・・・。
-
-
- Administrator 権限でブラウザを起動しない。
ブラウザの権限を制限する。 - ウィルス対策ソフトウェアを適用する
- 念のための処置
- Administrator 権限でブラウザを起動しない。
-
-
- 社内サーバーにおいて、受動的攻撃は非常に弱い。
ウィルス対策も万全ではない。
- 社内サーバーにおいて、受動的攻撃は非常に弱い。
- Web Server Side
-
- FrontPage Server Extensions (FPSE) とは
- FrontPage Server Extensionsって何? (ワニ chan のうぇぶわーるど)
- Web Server のリモート管理 (コンテンツ作成、システム管理)
- Office FrontPage によるコンテンツ管理 (これと FPSE 間は HTTP 通信)
- FrontPage Server Extensions (FPSE) とは
-
- FPSE の注意点
- HTTP を通すようにフィルタリング設定をし、FPSE の設定をミスしている場合、悪意ある改ざんをさせるかのうせいがある。
- IIS のアクセス権は関係が無い。修正プログラムを適用したとしても、設定ミスは保護できない。
- FPSE の注意点
-
- FPSE の対策
- 使ってないのならアンインストール
- NTFS アクセス権を適切に設定する
- FPSE の対策
- まとめ
- すべての要素をセキュアに
- 管理者だけではなく、一般ユーザー、プログラマもセキュリティ意識を
- セキュリティに関する情報、考え方をコミュニティから吸収
- あとでセキュリティでなく、まずはセキュリティ
- 安全だと思い込まない
現状は危険であると考えるべき
- 参考資料
- http://www.microsoft.com/japan/technet/columns/security/essays/tradeoff.asp
- http://www.microsoft.com/japan/technet/security/prodtech/win2000/win2khg/01intro.asp
- http://www.microsoft.com/japan/technet/security/prodtech/win2000/secwin2k/default.asp
- http://www.microsoft.com/japan/technet/security/prodtech/win2003/w2003hg/sgch00.asp