気がついたら、ホールとか、気がついたらワームとか、気がついたらトロイ
ってのは、この業界 少なくないからさ、それ自身は 仕方が無いと思うんだよ。
事故はしょうがない。
でもなぁ、
ウイルスだったら、ウイルス対策ソフトを入れてるかどうかは、事故なのか過失なのかの大きな分岐点になるよな。
今回みたいなサービスだったら、セキュリティーの試験をしたかどうか?は、事故なのか過失なのかの大きな分岐点になると思うんだよ。
で、どう考えても、これ、まともには試験されてない。
なんだろうな、チェックリスト作ればいいのかね?
最低限このぐらいは・・・リスト
>パスワードを平文で保存しない
保存する場合は、特別な手段をとらないと社員でもパスワードを読めないようにする。
保存する場合は、ユーザーに電子的な手段でパスワードを回答しない。かならず、受取人指定の郵送とする。
ユーザーのパスワードが必要な場合は、無人システムに投入する等する
ただ一般的には、住所氏名電話番号生年月日で代用することがほとんど
>パスワードを暗号化する場合は、暗号化ではなくハッシュ化する。
暗号化とハッシュ化の違いが分からないなら、勉強させる。知らない人間を担当者にしてはいけない。
GETのパスワードはログに残るため。ログからパスワードが流出する
ユーザーの代わりに管理者アカウントでその操作を行い、だれが、いつ、その操作を行ったかはシステムで記録する
よく管理者アカウントが1つでだれだか操作したわからないというシステムがあるがナンセンス。
かならず、いつ、だれが、というのはシステムで明確にログを取る。
>URLの後ろに、ユーザー毎 取引毎 セション毎のランダムなセッションキーが付いていると良い
COOKIEも併用すること。URLはキャッシュ等の対策のため
>セッションキーを他のユーザーの物に変えてログイン出来ないことを十回以上は確認する
又は、何らかの理由でセッションキーのみでログインする場合は、十分に長い文字数にすること。
数字を1つ2つ変えても他人のログがみられないように、十分にセッションキー同士を離れさせ
機械的に、総当たりでログインが試みられて場合検出して遮断する機能を入れること。
遮断装置が無いのに、セッションキーのみでのログインは、ガードしていないのと同じ。
>ユーザー パスワードを適当に変えて、他のユーザー名で同一パスワード などの組み合わせが通らない事を10組み以上は確認する。
>一定時間以上操作がない場合は、自動ログアウトする機能をつける
漫画喫茶など対策
>クレジットカードなど課金情報は同一サーバーに持たない。可能な限り記憶しない
(こう思ってるかしらんが) 発注者側だからしらなくてもいいとか言う企業として無能だと言わざるを得ない。 こんなんサイト自体を作成する事は数百万とか最低限かかるっつーのに ...
たぶん普通の(多くの一般的小売店)企業は、 「こっちが金払ってるんだから、ちゃんとやってくれるだろう。システム内部までこっちが面倒みなくていいよね」って思ってると思うぞ...
「こっちが金払ってるんだから、ちゃんとやってくれるだろう。システム内部までいちいちチェックしなくていいよね」って思ってると思うぞ。 「こっちが金払ってるんだから、ちゃ...
ごく簡単な例で言えば、 レストランが 食肉を買いました。あきらかに品質がおかしかったけど、店で出したら食中毒になりました。 おれは肉を買っただけだから問題ない。 というよ...
まさにそこがポイントだと思うんだけど すくなくとも、まっとうな、第3者機関ならこれを良しとするひとは少ないと思うけど。 ほとんどの零細な小売業者ってのは決して、WEBリテラ...
気がついたら、ホールとか、気がついたらワームとか、気がついたらトロイ ってのは、この業界 少なくないからさ、それ自身は 仕方が無いと思うんだよ。 事故はしょうがない。 で...
いやいや、今回はそれ以前の問題らしいと小耳に挟んだんですが、どうなんでしょう。 http://www.hogehoge.co.jp/cgifolderxxx/kokyaku-data.csv みたいなのがモロに流出したって聞いたけど。論外だよ...
うん。だからそれ以前の問題だと再三再四いってる。 ネタ追いかけたりGoogleさんの動きとかは見たけど・・・本当にひどい。 他人のパスワードで全員の情報が引っこ抜けてるんだから、...
今回のメッセサンオーの件は あきらかに品質がおかしかったけど これには該当しないんじゃないか?品質がおかしかったのは確かだが「明らかに」の部分が成り立たない。 そりゃあ...
残念だけど、SQLインジェクションとか、セッションキーのコリジョンとかだったら、まだわかるが・・・ URLをちょっと変えただけで他人のデーターがみえちゃいますとか、どんだけだよ...
開発者に要求するレベルとユーザーに要求するレベルを多いに混同してないか? 年中パソコンの前で在宅IT技術評論家やってられる人たちばかりじゃないんだって事を分かってないんじ...
巡回タイムですか?w
同感。WEB技術に詳しくない人がどのくらい存在するか知らないとしか思えない。
その前に結局検証作業、受け入れ作業を通してる訳で、 結局悪いのは受け入れた側なんだよ。 受け入れる側でも知識を持つのは当然なんだよ。 こちらが要件を出してそれに準じたモノ...
その前に結局検証作業、受け入れ作業を通してる訳で、 結局悪いのは受け入れた側なんだよ。 受け入れる側でも知識を持つのは当然なんだよ。 こちらが要件を出してそれに準じたモノ...
中小企業はWEB上で販売するなって話に聞こえるんだが。 需要を縮退させてどうするんだ。 WEBシステム導入を免許制にしろというなら話はわかるが。
パッケージとかそういうので販売すりゃいいんじゃね? 結局それでも最低限の知識はいるよ。 楽天とか利用しても馬鹿なやつは個人情報流すからな。 そういう最低限の事も出来ないや...
べき論かざす前にまず現実はどうなのかってことぐらい考えたほうが良いと思うな。 現実をみずにべき論かざすのはただの「在室経営コンサルタント見習い代理補佐心得」だ。 「情報強...
在宅IT技術評論家 っていいフレーズだな。今度どこかで使わせて貰うよ。
じゃあ今回の店舗が相手した「顧客」がそんな「年中パソコンの前で在宅IT技術評論家やってられる人たち」の集団であることを認識しないとね
これはレイプされるのは女にも責任があるって言ってるのと同じだ! ま、責任あってもいいんだけどさ。
この場合、レイプされたのは、個人情報をさらされた購入者で 犯行を犯したのは あくまでも、PCソフト販売店な で、犯行を犯す事になった原因を作ったのがWebシステムのベンダー
文系って日本の学術誌に論文載るより新書○万部売った方がステータスなんじゃないの? 欧米誌に投稿するほどの根性ある人滅多にいないし