 
|
はてなキーワード: CSRFとは
どっかの動画投稿サイトの動画ソースをそのまま利用して、コメントつけられるようにしたニコニコの3番煎じぐらいのひまわり動画って知ってる人いる?
なんだかIDつくってログインできるらしいんだけど、そのなんだ…
IDとパスワードが平文でCookieに保存されているの気づいてたか?
でも、パスワード忘れたときのためにってパスワードリマインドの機能があるんだが…
http://himado.in/?mode=forgetname
こえー、マジこえー。
まぁ、いいんだけど。
え?他のサイトと同じにしてる?
いやいや、そんなに信用しちゃっていいの?
XSSやCSRFで漏えいとか以前に、自分のIDとパスワードを他のサイトで入力されてるかもしれないぞ!
こえー、マジこえー。
なにが言いたいかというと
学内Webメールシステムが、もろにCSRF&XSSのよわよわのシステムでした。NEC系のメーカーのASPだったようだけど。
WebメールにXSS&CSRFがあるというのは本当に最悪で、「開いただけでメールボックスやアドレス帳が全部どこかに送信されてしまう」ような攻撃メールが作れてしまうことを意味します。
で、担当部門がどこだかわからないのでメディアネットワークセンターというそれっぽい部署に教えてあげたんだけど、とにかく反応が遅い。対策の第一段階は即日システム停止することですよ、とまで書いてあげたのに。
2ヶ月たって何も修正がされないので、研究室内のゼミで発表してみました。情報系でも、知らない人はCSRFとか全然知らないからね、うちアルゴリズム系なのでみんな「Webってこんな攻撃ができるのか」って感心。教授はあわててどこかに電話。
そしたらすぐに、「どこがそんなにまずいのか」と相談の電話が折り返されてきて、(即時停止レベルだって教えたじゃん)と思いつつも、「このメールを開いた後、自分の送信箱を見てご覧なさい。見覚えのないメールが送信されていませんか?」と攻撃例を教えてあげました。寸止めかんちょー。
これで即時停止だろうと思ったら、結局それから4ヶ月間修正が入らないまま運営が継続、そして「これで直りましたよね」と連絡が来たのでテスト環境版を試してみると、この「修正版」は script タグを無効にするだけで onload とかまったく手を付けないザル修正でした。
それを指摘したらしぶしぶイベントトリガ系も消してくれたけど、CSSXSSとか不完全Shift-JIS文字とかexpressionとか知りもしないんだろうなー。セキュリティのこと知らないなら、HTMLメール扱う機能ごとばっさり削除が唯一の正解です。
本気でかんちょーしようと思えば簡単でした。自己増殖メールを誰かにぽんと送るだけでたぶん3日以内にメールシステムは麻痺して、実質停止に追い込めたはず。あ、それじゃかんちょーどころか直腸裂傷か。でも、それで全員のクオータがあふれてしまえば真に悪意のある攻撃メールを受信する余地なくなるし、セキュリティを保護できたことにならないかな。
で、本当にそれをしなかった理由はひとつだけ、攻撃テストメールを自分に送りまくっていたことがメールログに絶対残っているし、それで犯人とばれて退学とかいやだったから。うちの大学は中退じゃなきゃハクがつかないんです。
おい、kawango!一般人にも感じがつかめるようにセッション管理について教えてやる
一般の人にとって一番わかりにくいのが
ということ。
「えー、うちのインターネットは常時接続だよ?」とかいう奴は蓬莱の弾幕でも食らっていやがれ。
となる。接続状態(太郎くんのお家にお邪魔している状態)というものは存在しない。とにかく毎回毎回、「ピンポーン」とやって、いちいち要件を伝えないといけない。ちなみに執事はいつも受動的。言われたことしかしない。
さて、もうちょっと高度に
ことも出来る。
好きな人はさすがに一部の友達にしか伝えられないので、山田家の執事は決められたルールに従って、「太郎の様子は万人に伝えても良いが、太郎の好きな人はマブダチにしか伝えてはならない」といった篩い分けをする必要がある。今僕らが話題にしたい「認証」の問題だ。
もちろん人間の執事なら、一度覚えれば、誰がマブダチで誰がそうでないかはわかるわけだが、現実のWebサーバーは杓子定規なので、毎回毎回「名前(ユーザー名)と合言葉(パスワード)」を聞いて、本当にマブダチかどうかを確認する。
マブダチA:「太郎君の好きな人って誰? 僕は《マブダチA》、合言葉は《おニャン子》だよ」
マブダチA:「その前は誰だったの?」
という面倒な方法をとらないといけない。
要するにページを移動するたびに(ひとつまえの好きな人を聞くたびに)、認証(マブダチ確認)を行う必要がある。
それはめんどくさいから、ある一定期間の間は特殊な記号を使って、認証を楽に済ませましょうというのが、HTTPにおけるセッション管理だ。
さっきの例え話でいくと、
山田家の執事がマブダチAの手間を考えて「毎回お名前と合言葉を言ってもらうのも面倒ですから、このバッジ(セッションID)をお渡ししますので胸に付けてください(クッキーに保存)。それを見ればわかりますから。但し、最後のお問合せから30分以上すぎたらお名前と合言葉をもう一度言ってもらいます(セッションIDの有効期限)。そのときはまた新しいバッジをあげます」となる。
大事なことは、このバッジが一時的にしか使われないものということだ。どのくらいの期限を有効とするかはその家族で決めたルールによる。いずれにせよ、バッジがあれば完全スルーであるので気をつける必要がある。
要するにセッション管理を利用することで、実はマブダチじゃない人にマブダチを騙られるリスクが増すんだ。
毎回毎回、ユーザー名とパスワードを答えるのは面倒だから、バッジでよろしくね!ってなったら、バッジをジャイアンに奪われたり、スネ夫盗み見られたり、出来杉君に気付かないうちに誘導させられたりというリスクが出てきてしまう。それを心配しないといけないんだ。
ここで、もしだよ、マブダチAが、世界で自分だけが持っている変更不可能な情報をバッジの代わりに使ったとしよう。例えばDNAだ。
執事がDNAでマブダチかどうかを判断する。簡単ログインのためにあなたはDNA情報を提供しますか?となる。山田さんの家も、佐藤さんの家も、田中さんの家もDNA情報ひとつで認証を済んでしまうような社会だ。しかもマブダチAを表すDNAはひとつしかない。よって、このDNAを1つコピーするだけでマブダチAになりすませる。hatenaもmixiもNaviTimeもDNA認証を使っているサービスは全部だ。もちろん、このDNA認証を一般のセッション管理と同じように有効期限を設定して、その都度破棄することもできるが……。それはあくまで、善意の執事の場合であって……。DNA情報と本人の個人情報をマッチングして裏でほくそえむ黒執事がいたら……ざわっざわざわ……。
しかも、DNA情報を暗号化せずによこせと言ってる奴もいるッ!な……何を言ってるのかわからねーと思うが、おれも何が目的なのかわからねえ……。オレオレ詐欺だとか、クレジットマスターだとか、そんなチャチなもんじゃねえ……。DNA情報ばら撒きというもっと恐ろしいものの片鱗を味わったぜ……。
わかったか、kawango!
twitter のタイムラインから流れる都議会選の開票速報を横目に見ながら、時代錯誤な厚みと正方形に近い形状のブラウン管に映る政治家の無表情を装う苦しい顔を見つめると耳に入ってくる電車の音、ほのかな潮の香り、まとわり付くような湿った生暖かい空気を感じるとき、はてな民は自分のたるんだ白い腕が震えていることに気づき、その震えがクーラーもないような部屋や隣の住民が迷惑を省みない音量でサンボマスターがカヴァーした「あの鐘を鳴らすのはあなた」をヘビーローテーションしていることによるものではまったくないことを知る……。
はてな民はなにができるだろうか? 注目エントリー一覧から2chまとめブログの記事を探してきて読みふけること? アイマス動画をマイリストに叩き込んでいくこと? 自分のpostがさまざまなめりっとで取り上げられていないか定期的にチェックすること? ドラえもんに釘宮理恵がゲスト声優で出演したときに「くぎゅううううう」って叫ぶこと? はてなブックマークが付くことを期待して、アルファブロガーの記事を思いっきりDisる記事を書くこと? サブアカウントをプライベートモードで作ってエロサイトをブックマークしていくこと? はてサヲチスレに張り付いて特定個人を攻撃し続けること? 匿名ダイアリで「id:y_arim です。この前、美容室にいったんだけです。美容室。そしたらなんかもうヱヴァの話でいっぱいなんです。」と騙ること? 「リンクは許諾制です」という個人のファンサイトをブックマークして晒し者にすること? ブックマークにブックマークを重ねて、さらにブックマークを重ねて「馬鹿と煙は高いところに登る」とか書かれているコメントを一瞥だにせず、さらにブックマークを重ねること? ライフハック記事をブックマークして、「あとで読む」タグをつけて、あとで読まないこと? 上から目線の非現実的なブコメにはてなスターを連打すること? テレビを見ながら今までにやったことのないやり方でタダごとではない旨さのトマトソースを作ってしまうこと? ヨーロッパ旅行に行く日に空港まで行ってから、パスポートを忘れてしまっていたことに気付くこと? はてなキーワードの「子育て」を含む日記を追いかけて、主婦層の生活を夢想すること? あるいは twitter's fotolife に張り付いてかわいい女の子の写真を探すこと? 将棋オタクの取締役崩れにガツンと一言かますこと? 児童ポルノ単純所持違法問題に口は出すが、金と労力は出さないこと? 自分が炎上したら、プライベートモードに変更してアカウントを削除して何食わぬ顔で3日後にはてなに戻ってくること? 自分の書いた記事をプリントアウトして精神科に持って行くこと? 新サービスの開始と同時に XSS 脆弱性をついて遊ぶこと? あるいは CSRF のトラップを仕掛けること? 一旦ログアウトして、コメント欄で通りすがりざまに袈裟切りすること? 「原作の「櫻の園」は、簡単に言うと女子高生の同性愛を最大のテーマとしています」と書くこと? あるいは、ライトノベルに詳しくないのに「ゼロの使い魔」を「正統的なライトノベル」「非常にオーセンティックな、ライトノベルの鑑のような作品」と書くこと? iPhone を持って便座に座り、一本糞をひねり出すときの息みの勢いで 1get すること? その糞を流す前にプライベートアカウントに乗り換えて 2get して注目エントリー入りする素地を作ること? 流したらお尻を拭かずにパソコンで違うアカウントから 3get して注目エントリー入りさせること? id:finalvent の記事に100文字以内でクドクドとネガコメを書くこと? ネガコメを書きながら Air のトゥルーエンドを鑑賞すること? 病床の子供にネガコメを約束すること? あるいはたんにネガコメをすること……。
だが、できることといえば「死ねばいいのに」タグを付ける、ないしはたんにネガコメする。ネガコメする。ネガコメするのはきもちいい。ネガコメするのはいい。ネガコメはいい。あまったるくネガコメする。ねこのあたまをなでるようにネガコメする。きぬのようになめらかにネガコメする。めをとじてネガコメする。うたいながらネガコメする。きもちよくネガコメする。ブックマーク、きもちいい、ネガコメ、いい。やさしくネガコメする。どきどきしながらネガコメする。もえるようにネガコメする。かわいくネガコメする。さそうようにネガコメする。ネガタグ、めをほそめる、ほほがあがる、ネガコメ、あまったるい。ネガコメする。ネガコメにスターをつける。ネガコメにスター。へんなネガコメにスター。かわいくスター、へんな、ネガコメ、スター。ネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター、へんな、ネガコメにスター。ネガコメにスターをつける。ネガコメにスター。ネガコメにスターネガコメにスターネガコメにスター、きもちいい、ネガコメにスターネガコメにスターネガコネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター、あまったるい、ネガコメにスターメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター。
http://b.hatena.ne.jp/entry/http://d.hatena.ne.jp/Rockridge/20090504/1241415765
http://b.hatena.ne.jp/HiromitsuTakagi/20090505#bookmark-13284789
HiromitsuTakagi セキュリティ, 事件, Firefox, NoScript うわ、最悪。NoScriptはどうも嫌な感じがすると前から思ってたが、作者が信用ならないことが明るみに出た。こんなのを一般の人に推奨するJPCERT/CCとかおかしいだろと前から思ってる。(US CERTも推奨しているが。) 2009/05/05
http://b.hatena.ne.jp/entry/http://www.jumperz.net/texts/csrf.htm
http://b.hatena.ne.jp/HiromitsuTakagi/20090527#bookmark-1662791
HiromitsuTakagi セキュリティ, ニセ脆弱性, CSRF, 金床問題, bad ↓今もたくさん読まれているようだけど、根拠レスだらけの有害記事なので注意。当時沢山の指摘があったのにいまだに訂正していないのね。http://slashdot.jp/developers/comments.pl?threshold=-1&mode=thread&commentsort=0&sid=309361 2009/05/27
昔からそうなのかは検証してないが、後出しジャンケンで「俺は前から全く信用できないクソだってことを知ってたんだけどね(キリッ」と言ってくる芸風が目立ちつつあるな。
まあ、どのくらいの数の脆弱性オタがそういう彼女をゲットできるかは別にして、
「オタではまったくないんだが、しかし自分のオタ趣味を肯定的に黙認してくれて、
その上で全く知らない脆弱性の世界とはなんなのか、ちょっとだけ好奇心持ってる」
ような、ヲタの都合のいい妄想の中に出てきそうな彼女に、Webアプリ脆弱性のことを紹介するために
(要は「脱オタクファッションガイド」の正反対版だな。彼女に脆弱性を布教するのではなく
相互のコミュニケーションの入口として)
あくまで「入口」なので、時間的に過大な負担を伴うような図解などは避けたい。
できれば、秋葉原とか筑波とかから突っ込みがはいるような微妙な奴も避けたいのだけれど、つい選んでしまうかもしれない。
あと、いくら脆弱性的に基礎といっても古びを感じすぎるものは避けたい。
プログラム言語オタがCOBOLは外せないと言っても(いましたね)、それはちょっとさすがになあ、と思う。
そういう感じ。
彼女の設定は
セキュリティは専門でもなんでもないが、クロスサイトなんちゃらとか、SQLなんとかくらいは聞いたことがある。
サブカル度も低いが、頭はけっこう良い
という条件で。
まあ、なんで一番がSQLインジェクションじゃないんだよとも思うけれど、たいていのWebアプリに必ずあるという普遍性(日本語変か?)とか、文字コードネタのバリエーションとか、DOMが絡んでわくわくするとか、Same Origin Polic何じゃそりゃという点では外せないんだよなあ。長さも3文字だし。
ただ、ここでオタトーク全開にしてしまうと、彼女との関係が崩れるかも。
この情報過多な脆弱性について、どれだけさらりと、嫌味にならず濃すぎず、それでいて必要最小限の情報を彼女に
伝えられるかということは、オタ側の「真のコミュニケーション能力」の試験としてはいいタスクだろうと思う。
アレって典型的な「オタクが考える一般人に受け入れられそうな脆弱性(そうオタクが思い込んでいるだけ。実際は全然受け入れられない)」そのもの
という意見には半分賛成・半分反対なのだけれど、それを彼女にぶつけて確かめてみるには
一番よさそうな素材なんじゃないのかな。
「Webアプリの専門家からいえば、この二つはアプリネタじゃないと思うんだけど、率直に言ってどう?」って。
侵入先のファイルが見えてしまうというハッカー的なものへの憧憬と、これによる逮捕者がいるという法的な考証へのこだわりを
彼女に紹介するという意味ではいいなと思うのと、それに加えていかにもマニアックな
「よく眼にするけどあまり実害の思いつかない」/etc/passwd
「滅多に見られないけど、見つけたらゾクゾクする」/etc/shadow
の2ファイルをはじめてとして、オタ好きのするファイルを世界に公開(流出?うわ、日本語間違いが怖い)しているのが、紹介してみたい理由。
たぶん秋のDK収穫祭を見た彼女は「これCSRFだよね」と言ってくれるかもしれないが、そこが狙いといえば狙い。
そして、われらがアイドルはまちちゃんの紹介のおかげで、この脆弱性が日本で大人気になったこと、
「やっぱりWebアプリの脆弱性は個人情報DBなんかがあるサイトのものだよね」という話になったときに、そこで選ぶのは「SSIインジェクション」
でもいいのだけれど、そこでこっちを選んだのは、この脆弱性がふつーのホームページなどでも本当によく見つかるくせに、意外に問題視されていないレアっぽさが好きだから。
断腸の思いでJavaMailのAPIがTo欄やFrom欄に改行チェックいれているのに、なぜかSubject欄だけチェックがされてなくて脆弱性の原因になるかもって中途半端さが、どうしても俺の心をつかんでしまうのは、
その「チェックする」ということへの躊躇がいかにもオタ的だなあと思えてしまうから。
ほかのメールAPIでもチェックが不十分なものはあるし、そもそもsendmail呼び出すときはチェックはアプリ側でやるしかないとは思うけれど、一方でこれが
Microsoftだったら意外にきっちりセキュアに仕上げてしまうだろうとも思う。
なのに、安全なAPIを使わずに(知らずに?)脆弱性を混入してしまうというあたり、どうしても
「自分の過去から知っている書き方でないと書けないプログラマ」としては、たとえ脆弱性混入した奴がそういうキャラでなかったとしても、
親近感を禁じ得ない。脆弱性の高危険度と合わせて、そんなことを彼女に話してみたい。
今の若年層でディレクトリリスティングによる個人情報漏洩事件をリアルタイムで見聞きしている人はそんなにいないと思うのだけれど、だから紹介してみたい。
SQLインジェクションよりも前の段階で、個人情報の漏洩規模とかはこの脆弱性で頂点に達していたとも言えて、
こういう危険の高さが経産省あたりの個人情報保護ガイドラインにのっていたり、というのは、
別に俺自身がなんらそこに貢献してなくとも、なんとなく脆弱性好きとしては不思議に誇らしいし、
いわゆるインジェクション系でしか脆弱性を知らない彼女には見せてあげたいなと思う。
UNIXシェルの「セミコロン」あるいは「バッククォート」をオタとして教えたい、というお節介焼きから見せる、ということではなくて。
「ホワイトリストで対策すると安全なんだけど敢えてエスケープを究めたいマニア」的な感覚がオタには共通してあるのかなということを感じていて、
だからこそ佐名木版『セキュアWebプログラミングTips集』は20ページ以上もかけてOSコマンドインジェクション対策の説明しているのは、エスケープ手法以外ではあり得なかったとも思う。
「侵入先のコンピュータでコードが動いてこそなんぼ」というクラッカーの感覚が今日さらに強まっているとするなら、その「クラッカーの気分」の
源はOSコマンドインジェクションにあったんじゃないか、という、そんな理屈はかけらも口にせずに、
単純に楽しんでもらえるかどうかを見てみたい。
これは地雷だよなあ。昔だったら筑波方面、今だったら秋葉原方面から火のような「hiddenは危険脳」ブクマがつくか否か、そこのスリルを味わってみたいなあ。
こういう昔のIPA風味の解説をこういうかたちでブログ化して、それが非オタに受け入れられるか
突っ込みを誘発するか、というのを見てみたい。
9本まではあっさり決まったんだけど10本目は空白でもいいかな、などと思いつつ、便宜的にSQLインジェクションを選んだ。
XSSから始まってSQLインジェクションで終わるのもそれなりに収まりはいいだろうし、カカクコム以降のWebアプリ脆弱性時代の原動力と
なった脆弱性でもあるし、紹介する価値はあるのだろうけど、もっと他にいい脆弱性パターンがありそうな気もする。
というわけで、俺のこういう意図にそって、もっといい10パターン目はこんなのどうよ、というのがあったら
教えてください。
「駄目だこの増田は。俺がちゃんとしたリストを作ってやる」というのは大歓迎。
Inspired by アニオタが非オタの彼女にアニメ世界を軽く紹介するための10本
諸君 私は脆弱性が好きだ
諸君 私は脆弱性が大好きだ
PHPが好きだ
XSSが好きだ
SQLインジェクションが好きだ
CSRFが好きだ
UTF-7が好きだ
expressionが好きだ
Webで
LiveHTTPで
Filemonで
Regmonで
OllyDbgで
Perlで
セキュリティに関して口うるさく言っているサイトの脆弱性をいとも簡単に見つけるのが好きだ
大企業のサイトがGoogleによって脆弱性を発見された時など心が踊る
Perlを馬鹿にしていた奴のアカウントを乗っ取った時など胸がすくような気持ちだった
粘り強い同業者がMS Officeのシリアル認証と格闘している様が好きだ
PHP覚えたての野郎共が続々と脆弱性を作り出していく様など感動すら覚える
気に入らない奴のPCにトロイの木馬を忍ばせ奴の個人情報がWinnyネットワークに流れてゆく様などはもうたまらない
精魂込めて更新していたであろうWikiを滅茶苦茶にするのが好きだ
必死に守るはずだった同業者が次々に逮捕されてゆく様はとてもとても悲しいものだ
FBIに追いまわされ泥棒の様に捕まる恐怖と戦うのは屈辱の極みだった
諸君 私は攻撃を地獄の様な攻撃を望んでいる
諸君 私に付き従うクラッカー諸君
君達は一体何を望んでいる?
更なる攻撃を望むか?
情け容赦のない糞の様な攻撃を望むか?
鉄風雷火の限りを尽くし三千世界の鴉を殺す嵐の様な政府との闘争を望むか?
『攻撃! 攻撃! 攻撃!』
よろしい ならば攻撃だ
我々は渾身の力をこめて今まさに振り降ろさんとする握り拳だ
だがこの暗い闇の底で半世紀もの間堪え続けてきた我々にただの攻撃ではもはや足りない!!
大攻撃を!!
一心不乱の大攻撃を!!
我々はわずかに小数
ならば我らは諸君と私で総兵力100万と1人の集団となる
我らを忘却の彼方へと追いやり、眠りこけている奴らを叩きのめそう
髪の毛をつかんで引きずり下ろし 我々の方が強いことを眼(まなこ)をあけて思い出させよう
連中に恐怖の味を思い出させてやる
連中に進入される恐怖に怯えながら眠る夜を過ごさせてやる
連中に我々の技術を思い知らせてやる
天と地のはざまには奴らの哲学では思いもよらない事があることを思い出させてやる
世界を恐怖に陥れてやる
プログラミングって、インターネットにサービスを公開しなくても、十分に楽しめるんだぜ?
それなのに、XSSすら知らない初心者に「さあキミもサービス公開しよう!僕は何も知らないし教えてあげないけどね!」っていうのが主張なのか?お前がどれだけセキュリティに無知でかつセキュリティ恐怖症なのか知らないが、インジェクション対策とセキュリティアップデートくらいは教えてやれよ。
あと、「Webを舐めるな」で初心者が萎縮しちゃうかも!という意見が多かったけど、どんだけ過保護なんだと。
それならば、「セキュリティなんて小難しい事言ってるけど初心者はこれだけ守っとけばいいんだよ〜ん」と書くべきで、あんな幼児レベルの言い訳を支持したくなる奴の気がしれない。責任放棄したい奴の群れが透けて見えるんだよ。キモチワルイ。何がバランスだ。それはただの狂気だ。
何を言ってるん(ry。公開してないならセキュリティ対策なんて必要ないだろ。マジで頭が悪すぎる。そんな奴らばっかりがセキュリティを軽視しだすと思うとキモチワルイ。勘弁してくれ。
「舐めるなといいたい」とバランスとるためにはこれくらい方言しないとバランスとれないんじゃないのかな。
ひとつのプログラムを完成系までもっていける人だったらどちらの真意も理解できるとおもうよ。
自分の意見は「公開しろ」だけど、セキュリティなんてどうでもいい!という部分を支持しているわけではなくて、セキュリティに気を取られて公開することをためらうなという元増田の意見に賛同しているわけだ。
どうせセキュリティなんて教科書に載っている時点で激しく時代遅れなんだ。
誰かがしたり顔で解説しているころにはやり尽くされて対応策ができあがった頃。
そりゃね、最低限のことはやってほしいけど、それよりも大切なのはサービスを完成させるのを諦めないことであり、機能を前提にプログラムを組んで欲しいということ。
「なにかを実現するためにプログラムを組む」のであって、「脆弱性をださないためにプログラムを組む」わけじゃない。
初心者がどんなにポカをやったとしてもミスれる限度なんてたかが知れてるじゃない。
逆にサーバー管理者が頭を悩ませたりできるぐらい深刻なミスを起こせるぐらいならもう中級以上だ。
だから初心者は変な心配はしなくていいとおもう。
それこそ教科書入門書に書いてある。
世の中には初心者どころか、「これから始めよう」という人の方が多く居る。
そういう人たちが読んでしまった「舐めるなといいたい」発言には、
「気にするな!」ぐらいのインパクトのある発言が必要だとおもうし、
「ぼくがなおしてあげる!」ぐらいのケアが必要だよ。
だって、画面の向こうにはちょっとやってみよー!っと思った中学生だっているかもしれないんだよ?
その子たちが触る可能性が一番高いPHPとかでそんな風にいわれてしまったら、
その子たちはそこでもうやるのは辞めた!となってしまうこともありえるわけでしょ。
というか、辞めるでしょ。あの一連の流れを読んだら。
いくら大御所といえど若い子の芽を摘む権利はないとおもうんだ。
だから君は反対かもしれないけどこっちは何度だって言いたいよ。
脆弱性だとかそういうのは後になってから気にすればいいから、まずは気軽にやってみよう!って。
なにも無責任にいってるわけじゃないよ。
初心者が変な穴にはまらないようにわれわれ先発が一生懸命穴をふさぐ方法を考えるんじゃないか。。。
「ひとりで作るネットサービス」で紹介されてる人たちが作ったWebアプリケーションにも
CSRFとかその他考えうる諸々の脆弱性が少なからず指摘できますね。
おいおい。
んなわけない。少なくとも、積極的にこれを勧める奴はDQN。CSRFを知らないわけじゃない踏み台にされるケースがある事くらい分かるでしょ。あと、Matzの意見にも反していると言っておく。
_ まつもと (2008-01-29 14:13)
愉快犯もそれなりに居ますから、「本当にまれ」と断言する勇気は私にはありません。教育はぜひ閉じた環境で行っていただきたいものです。
(略)
_ まつもと (2008-01-29 18:46)
(略)
いざ問題が起きてから「想像してなかった」とかいうくらいなら、最初から外につながったWebアプリなんて書かない方がよいと思います。そういう意味で「舐めるな」と書いたわけで。Webアプリを書く人はちゃんと「外」を自覚した方がよいと思いますが、初心者でそれができてたらかなり奇跡的。
あとこれ何言っているの?
それに、「未熟なうちは公開するな」とか言うと、「自分、未熟ですから」とか言って秘密主義を貫くことにもなりかねない。
ソースだけネットで公開すればいいじゃん。それが嫌なら、内輪でサービスを動作させて切磋琢磨すればいいじゃん。
インターネット上で、動作するサービスとして公開するな、と一貫して言っている。そんな事も分からんの?
あと、セキュリティがわかるというのをどういう意味で使ってるのかわからないけれど、実行環境に関するもののみ考えても、セキュリティ問題は日々大量に発覚しているし、
少なくとも、ネタがPHPなので、この場合のセキュリティはXSSやCSRFやらSQLインジェクションやらが対象でしょ。これらの問題の根本は明らか。まともな開発者なら誰でも知ってること。実行環境については、とりあえず定期的にアップデートするものと覚えていればよい。
もし上記のようなWebセキュリティについてそういう認識で居るのなら、即刻改めた方がいいよ。問題の切り分けをする気持ちができてないんじゃないかとおもう。これは完全に邪推で、そうでなければいいと思うけど。
”ホームページ製作業者”でいいよね?
ASPサービス提供事業者も含めようとするから複雑になってるんじゃないの?
自分はもともとIT業界にいて今はなぜか商店街に所属してるんだ。
で、隣の芝生の青さがうらやましくなってweb屋ってたのしそうだなって思って辞めたの。
正直webなんてやってもお金になんかならなそうだなとおもったんで、
シノギがひつようだとおもって、お店ももったんだ。
商店街のおっちゃんたちの話しを聞いていると世間のwebというかITに関する認識はこんなものだと痛感しますわ。
いやね、おっちゃんたちっていっても青年団の人たちなんだけどさ。
”親父さん”たちはそもそもインターネット(以前にパソコン)になんか興味すらないから。
で、お店でパチパチとSOHOでソフトの受託なんかもやっていると、
商店街の爺たちからあの店主はパソコンで遊んでばっかりだと陰口いわれたりするんだわ。
ようやく最近わかってもらえるようになってきて、
「おたくパソコンの仕事しているならホームページ作ってよ」と言われるように成長しましたよ。
いや、まるでわかってもらえてないんだけどw
ホームページっすか!?みたいな。
難しいというかしても無駄というか……。
自分は自分のお店のホームページだったら作れるんだけど人様のを請負するのを仕事にしてないわけですよ。
今までそういう業務をしてきたわけでもないしデザインが得意なわけでもないしね。
第一たいしたお金になるわけでもないし、それなりにめんどくさいじゃない。
正直そこらの商店のページだってHPつかってなにしようってんでもなく事業目的があるわけじゃないんで、
大学生あたりにアルバイトでちょっとペラのページをつくってもらうぐらいがちょうどいいと思っているんだけど・・・さ。
もうね、なんていうか説明がめんどくさい。
次から次に同じようなことを説明しなきゃいけなくてね・・・。
自分が講師になってセミナーしたいとかそういうモチベーションもっちあわせていないんだけど、
さすがに「ホームページ製作をやるつもりは無いけどホームページは欲しい商店主のためのホームページ講座」
とかいうセミナーでもやらずにはいられないのではないかと思うぐらいめんどくささが先立ってきました。
というのも彼らの話しを聞いてちょっと義憤にかられてきたんですよ。
自分もお店をやっているのでわかるんだけど、お店やってると営業の電話がいろいろ掛かってくるわけです。
「ホームページつくりませんか?」ってね。
ひどいところなんか「ホームページみて電話してるんですけど」とか。
おまえ誰がつくったページかわかって喧嘩うってんのかと内心思いながらね。
「反響はどうですか?もっと反響集めたいとおもいませんか?うちはSEOを(ry」
そんな感じのマニュアルどおりの営業が展開されるわけですよ。
本当に山と・・・。
ひどいところなんか
「うちはYahooの代理店をしているんですが、今キャンペーン中で…(ry Yahoo!に登録しませんか?」なんてのもあるぐらいさ。
でねー…。
こういうのに引っかかるバカいるのかなとおもってたんですよ。
いやほんと。
でもね、
「うちは月々1万5000円だよ。」
「うち2万5000円。まあ電話一本で雨の日サービスとか画像いれてくれるから満足してる。」
なんて話が目の前で展開されてるのを見てさ・・・
動的部分が何もないHPに数百万かけたとか、ほんと…、ちょっと待ってくれよと。
このHPに月々…… えーーーー!!? ちょっとほんとお願いだから待ってくれよと。
ただしホスティング費用が毎月**掛かりますとか。
サポートで…とか、
ほんと山ほどパターンがあるんですわ。
と商店主に何度言いたくなったことか。
もうやっちゃってるところには酷なので言えないんですが・・・
そういう業務をしているのがweb屋ということなのかな?
ユーザー教育じゃないけど、ほんと早急に手をうたねばと思ったよ。
デザインの手間とかバカにならないし、メンテナンスまで面倒みきれないので、
自分はホームページ製作業をやるつもりはないんだけど・・・
商店街の中でバイト5??6人囲ってまわせば済む話しじゃんね・・・。
そんなわけで、だれかバイトでホームページとかつくりたい子いない?
つか、ほんと・・・もう、なんとかしたい。
前時代的な職業っていういうけど、なんていうか日本ではそれが全盛期ですよ。
ちょっとほんと助けて。
あと、ちょっとこれの反論まじえとく。
http://d.hatena.ne.jp/waseda23/20071225/1198573722
自分がSOHOなので弁明するけど、SOHOを地方って括っちゃいけないよ!
あと、SOHO同士でアライアランスくんで億単位の案件も食えるように準備してるんだぜ。
(・・・成功するかは知らん。)
PHPが馬鹿にされる一番の要因ともなっているんだけども、セキュリティの「セ」の字も理解していない「なんちゃってプログラマー気取りのwebデザイナー(?)」が、XSS,SQLInjection,CSRF,SessionHijack等々考えうる全ての脆弱性を垂れ流してるのはどういう訳?
考えうる全ての脆弱性を垂れ流してるのは別に垂れ流したところで問題ないような情報しか扱わないからでは?
さすがにカード番号とか扱うような業者でそんなところはないんじゃね?
あんの・・・?(なんかありそうで怖くなってきた…)
ま、それは発注側の意識が前述のレベルなので…本末転倒ですがユーザー教育が急務です。
らしいね。
でも正直日本国内にはいってきているインド人は相当少ないのでまだ数年は平気かな。
今の日本の仕事のやりかただと開発室の一部をカレー臭くするぐらいの働きぐらいしかできないとおもう。
オフショアというか呼んで来てるだけだしw
それよりも今の日本において深刻さをましたのは中国だとおもう。
ほんとその通り。
ずいぶん単価はあがって日本の1/2-1/3ぐらいなんだけど、かなり質があがってきているらしい。
一時期日本でどっぷり開発していた連中が帰国したからかもしれない。
多分同価格で捜すより中国に出したほうが楽というところまできてると聞くようになった。
自分も何か損害かぶれるぐらいの案件があったら一回試してみたいとおもってる。
オフショアブリッジの人に聞くと、日本のカレンダーに合わせてくれるし、日本語ができるひとが会社に1人以上いるそうだ。
スカイプで進捗の日時確認ができて、緊急の場合には携帯に電話が掛かってくる。
インドかー…。
昔いったときは市民レベル的に中国よりも30年ぐらい遅れてるとおもってたのでこの速度は予想外。
昔はムンバイとかの方だけだとおもってた。南のほうの人は質がすこし違うのかもしれないね?
さすがにインドに対してはあと数年はアドバンテージがあると信じたい。
日本人が英語が無理っていうのはあるいみマルチバイト鎖国の成功。
絶対違う
いま、自分でちょっとした Web アプリケーションなるものを作り始めたところ。プログラミングは前から趣味でいろいろやってたけれど、大学に入ってからはほとんど数値計算でしか使ってなかったから、とても新鮮な感じがしている。楽しい。
ところがちょっとでも規模が大きくなると、とりあえず MySQL が必要になって、 Perl とか Ruby とか PHP とか Python とか ... なスクリプト言語をもっと詳しくしる必要が出てきて、そしてそれ上で動くフレームワークを選んで理解して、さらに HTML とか CSS とかで表示させて、JavaScript リッチなユーザインタフェースを... なんて具合に、やらなきゃいけないことが急に増えてしまいます。どうしたらいいんですか?
HTML とか CSS の仕事っていうのは、刺身にタンポポを乗せる仕事なんですか?勉強するだけ無駄ですか?でもこの知識がなかったらみっともないデザインになっちゃいますよね。
フレームワークに頼って MySQL を学ばないなんて邪道ですか? Rails を信用しちゃだめですか? Django はどうですか?さすがにマシン語で書け、なんて言いませんよね。
それにセキュリティの知識も必要ですよね。SQL インジェクションとか、XSS とか CSRF とか、聞いたことあるけど意味なんて知りません。こういうのをちゃんとしてないと、悪用されたりしちゃいます?
C10K とか I17N とか L10n とか、もう許してください。
ここで書いたようなことが全部できないと、Web アプリケーションを作ることができないのでしょうか。
もしそうでないのなら、どの知識が必須で、どの知識は必須ではないのですか?
っていうのを疑問に思ったけれど、そういう技術の寄せ集めでできているってところが Web アプリケーションの本質なんだろうなぁ。たぶん。
一部の部外者(kyoumoeとか、kyoumoeとか、あとはkyoumoeとか)と多くの当事者にとって、はまちちゃんのやり方は迷惑極まりない。
でも、はまちちゃんが脆弱性をいたずら目的で公開することで、その脆弱性が修正され、関連する問題について認知が広まっていることもまた事実。
(恥ずかしながら、私、CSRFを知ったのは「こんにちはこんにちは!」しちゃったのがきっかけですの……)
正しいといわれている手順を踏んだからといって、それが最善のパフォーマンスを出すとは限らないのですよね。
ひろみちゅが超必死になって「サニタイズいうな」とか言って回るより、はまちちゃんが「こんにちはこんにちは!」したほうが効果的だったりするんだから。(あくまでそういうケースがあり得るというだけの話)
ところで、はまちちゃんは人を怒らせることをなんとも思っていないことじゃないかと思う。
こういう人に向かって怒りを顕にしても、スルー力を忌憚なく発揮されてしまいます。それぐらい察しろといいたいところ(怒るのではなく、もっと冷静に対処しようって意味ね)だけど、当人は怒っているんだから無理な相談でした、残念。
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。
JavaScriptを侮っていないか?AJAXが何をやっているか知っているか?
ぼくはまちちゃん!(Hatena) - 【クリスマス特別企画】mixiの「足あと」をはてなで体験してみようね!!がなにをやった?
別ににコメントを残す先、ブックマークする先はどこでもよいんだぞ。〜.jsがCGIで、動的生成されてても構わないんだぞ。
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
別アカ幾つかとって、はまちやの手法でフィッシングサイトへ飛ぶそのエントリをホットエントリ入りさせる。
ホットエントリ入りしている人のエントリにフィッシングサイトへの誘導エントリをSPAMする。
そりゃ、多くは引っかからないかも知れない。でも、数%が引っかかってもそこそこの人が被害に合うだろう。
SSL?気にしない人は気にしない。
そんな人は見捨てればいい?そんなはてなが良いのか、きみは?
というか、今回のようなケースは別にCSRFでなくてもいいような気がする。
というか、はてなってGetとPOSTをあんま区別してないよね。
img src="うんちゃらかんちゃら"とかじゃなくても、別に検索エンジンの検索結果とかのリンクを踏ませるだけで悪いことしようと思ったらいっぱいできちゃいそうだね。
でも、はまちちゃんいいやつ。
釣りバカ日誌だと思ってた。
メバチちゃんとかそのうちできるのかな?
・・・あれ?
なんでマグロなんだろう?
こんばんはこんばんは!軒先だけでも結構です。一晩泊めていただけないでしょうか!
盗賊には注意
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。