- ベストアンサー
セキュリティ対策が甘い理由
プログラマーになろうと思い、IT企業の事業内容とかを調べています ついでにお問い合わせフォームでセキュリティ対策がされているか調べているのですが、 2社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが…
- みんなの回答 (18)
- 専門家の回答
質問者が選んだベストアンサー
>なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか 職業プログラマー=ネットワーク管理者ではないからでしょう。 職業プログラマーの天下な会社だったらどうかは判りませんが……。 平社員が役員より権限が上。なんてこともまずないですしね。 対策コストが流出コストより大きいと判断しているか、経営陣がそういう事に無頓着だったりするとか…まぁ、いろいろあります。 ついでに、職業プログラマーにしてもピンキリです。 簡単なバッファオーバーランとか見逃すようなレベルでもお給料を貰っている限りは職業プログラマーでしょうし、詳細設計書をプログラミング言語に翻訳するだけの簡単なお仕事って場合はそのコードがなにをやっているのか理解していない可能性だってあります。
その他の回答 (17)
- zwi
- ベストアンサー率56% (730/1282)
面接担当の気持ちがわかった気がします。 お礼返答は、いりません。
- hagure-bora
- ベストアンサー率33% (15/45)
>なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか 会社によって事情はそれぞれだと思いますが… 必要ないと判断したから対策してないだけだと思いますけど… >IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが… 募集要項が「IT未経験30代お断り・実務経験がないとだめ」だということと、お問い合わせフォームのセキュリティ対策が甘いことは、何の関連性もないので、示しがつくとかつかないとかの問題もないと思いますが… 仮に「そうですね、示しがつかないですよね」と誰かの賛同を得られたとして、質問者様にとって何か有益なことがあるのでしょうか?
お礼
>会社によって事情はそれぞれだと思いますが… >必要ないと判断したから対策してないだけだと思いますけど… ガイアックスという会社の導入事例からサイトをたどり、お問い合わせフォームのソースコードを表示してみました あるサイトではCSRF対策がしてあり、別のサイトではしてないなんてことがありました 必要がないと判断するならサイトによってまちまちということは考えにくいので、ガイアックスの例に限って言えば必要がないからというのはちょっと考えにくいと思います。 e-ネコショップの方は導入事例にあるすべてのサイトで見事に対策をしてなかったので、必要ないと判断した可能性もありますが… >募集要項が「IT未経験30代お断り・実務経験がないとだめ」だということと、お問い合わせフォームのセキュリティ対策が甘いことは、何の関連性もないので、示しがつくとかつかないとかの問題もないと思いますが… 関連性はありませんが、それだけ高いスキルを求めているなら、中の人はさぞかし高いスキルを持っているんだろうなと思うのが人というものだと思います
- zwi
- ベストアンサー率56% (730/1282)
貴方が会社員で、上司に会社のホームページの脆弱性を治したいと意見するとしましょう。 理由が >>仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか? >大量に送り付けてサーバーをダウンさせることぐらいはできます(ある程度送った段階で気づかれるとは思いますが) >あと考えられる被害としては業務が止まってしまうことが考えられます >たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。 >通報すれば、当然警察からは非難するように言われるので、その間、仕事はできなくなります。(会社が本気にすればの話ですが) >爆弾を仕掛けたのがどこかのイベント先なら、イベントが中止になる事態も考えられます。 全部CSRF攻撃である必然もないし、ハッカーならそれより効果的な方法が多数ありますよね。 そもそも、こんな理由で上司がホームページの脆弱性を納得して工数が貰えるわけがないと思いませんか? 起こる可能性や費用対効果が全く考えられていないのです。 皆さんは費用対効果で割に合わないと言っているのに、もしかしたらを言い続けても誰も納得しません。 このような提案をするSEを信頼しろというのは無理があると思います。 就職出来ない理由も、こういう状況を見れない発言にある気がします。
お礼
>そもそも、こんな理由で上司がホームページの脆弱性を納得して工数が貰えるわけがないと思いませんか? 確かにもらえないでしょうね 某社みたいに未対策のページがたくさんあれば、それこそ莫大な人件費がかかることになりますからね ただ、CSRF攻撃で大量のお問い合わせが送り付けられたら、別の意味で中の人はこまるだろうなと思います (お問い合わせフォームの実装にもよりますが)1件ごとに題名とメールアドレスを変えられたら、フィルタリングだけでは対応できません
- wormhole
- ベストアンサー率28% (1626/5665)
>大量に送り付けてサーバーをダウンさせることぐらいはできます(ある程度送った段階で気づかれるとは思いますが) >あと考えられる被害としては業務が止まってしまうことが考えられます >たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。 その両者はCSRF攻撃の対策をしておけば防げることですか? どちらもCSRF攻撃でなくてもできる事ですが。 CSRF攻撃でなくても多量にアクセスすれば正規の手段でもサーバーをダウンさせることはできますし、CSRF攻撃関係なく「核爆弾を○○課の○○に仕掛けた」と問い合わせがくれば何らかの対応しないわけにはいきません。 私が#14でたずねたのはCSRF攻撃でないと起こせない害の事ですよ。
お礼
>その両者はCSRF攻撃の対策をしておけば防げることですか? >どちらもCSRF攻撃でなくてもできる事ですが。 確かに対策をしても防げませんね ブラウザー経由でやればいいだけの話ですし ただ、CSRF攻撃なら、リンクを踏ませるだけで予告状を送り付けることができます。警察としては送ったやつら全員を調べないわけには行けないので、血税を浪費させることは可能だと思う まあ、警察がいくら血税を消費しようと会社には関係のない話ですが
- wormhole
- ベストアンサー率28% (1626/5665)
その会社がCSRF攻撃を受けてもたいした問題でないと考えてるだけでは? 会社側の対策としては、問い合わせをいたずらで送信されたのと大差ないと思いますし。 そもそもセキュリティ対策は、(その会社が決めた)セキュリティポリシーに従って行うものですから、そのセキュリティポリシーを知らない状態で対策が甘いとかいってる方がおかしいです。 仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか?
お礼
>仮にCSRF攻撃を受けて、その会社にどのような害が及ぶと思われていますか? 大量に送り付けてサーバーをダウンさせることぐらいはできます(ある程度送った段階で気づかれるとは思いますが) あと考えられる被害としては業務が止まってしまうことが考えられます たとえば、問い合わせフォームで核爆弾を○○課の○○に仕掛けたと送ったとします。送られた会社としては通報しないわけにはいきません。 通報すれば、当然警察からは非難するように言われるので、その間、仕事はできなくなります。(会社が本気にすればの話ですが) 爆弾を仕掛けたのがどこかのイベント先なら、イベントが中止になる事態も考えられます。
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
>>リファラはブラウザが送出するものであって、第三者(html)が変更できるもんじゃないと思うんだけど。 >http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html >条件を満たしているPCはないと思われますが、特定のフラッシュを読み込ませることでリフェラを変えることができるようです >>というか、それじゃ、サーバ経由になるから、どこからデータが送信されたかわかっちゃうし?? >ばれたくないのであれば、攻撃用のデーターを含むページを表示後、JavaScriptで送信ボタンを押させれば、クライアント側のパソコンから送らせることもできます うん、その条件はもうほぼないよね。 ばれたくないって、そのアクセスしたユーザじゃなくって攻撃先のサーバでどこのサーバ経由かわかっちゃうってことだよ。 送信ボタンを勝手に押させるとかじゃなくてさ。 IPがその踏み台を踏んだ人のIPにならないと意味ないでしょ? 乗っ取り事件だって、その乗っ取り先のIPになってるから意味があるわけだし。 というか、現状リファラの乗っ取りがかなりの条件が重なってないとできないから、この方法に対して論議すること自体無駄なんだけどさ。 ほかの回答者の方も言ってるけど素直になろうよ。 中途半端な知識で噛み付いても、回答している人はみんなスキルある人たちだよ。 (俺は微妙だけどw) やっぱ、スキルというか、それ以外の理由で落ち続けてる気がしてきたよ。
お礼
>うん、その条件はもうほぼないよね。 リフェラをチェックしていないという条件なら成立します >IPがその踏み台を踏んだ人のIPにならないと意味ないでしょ? JavaScriptはクライアント側で実行されるので、IPアドレスはリンクを踏んだPCの物となります >中途半端な知識で噛み付いても、回答している人はみんなスキルある人たちだよ。 中途半端な知識も何も…許可をもらった上で実際にやったことがあるのですが
補足
>うん、その条件はもうほぼないよね。 流れを見失ってました。今の実装ならまず成立しないですね 長々とお付き合いさせてしまいすみませんでした
- zwi
- ベストアンサー率56% (730/1282)
最初の質問に関して「断言するには問題が有りました」と謝れない人は採用したくなかなと思いました。 意固地になっているようにしか見えません。
お礼
まあ、感情としてはそうなりがちでありますよね
- Picosoft
- ベストアンサー率70% (274/391)
> 古いバージョンのフラッシュを使用している場合は第三者がリフェラを偽造可能なようです その話も知っていますが、かなり前の脆弱性ですよね、それ……。 ご提示のリンクも以前に拝見したことがありますが、 その記事をよく読むとリファラチェックをちゃんとしていれば騒動を未然に防げたことがわかります。 (もちろんワンタイムトークンも有効です) 結局何が言いたいかというと、 「ワンタイムトークンが見当たらないから対策が甘い。脆弱性がある」とは言えない、ということです。 まぁリファラチェックもユーザにリファラ送出を強制するという点では問題が全くないわけではありませんが、 現在ではCSRF対策として有効ではないでしょうか。
お礼
確かにその通りですね ただ、以下の方法を繰り返してサーバーを落とすことが容易にできてしまうので、リフェラではじくのはあまりよろしくないと思います 1.HTTPソケットを作成 2.リフェラを偽造 3.POSTリクエストを作成 まあ、こんなことをやってもすぐばれるので、やる人はいないと思いますが…
補足
>現在ではCSRF対策として有効ではないでしょうか。 お手軽といえばお手軽ですね ただ、この方法だと、ページ構成が変わった時にめんどくさいですし、わざわざユーザにドメイン名を記載させないといけないので、個人的にはあまり使いたくないです それに、ブラウザーやプラグインにリフェラ書き換えが可能になる脆弱性があった場合を想定すると…
- zwi
- ベストアンサー率56% (730/1282)
面接でこんなやり取りになったら確実に落とされます。 企業が求めているのは、こういう反論をしてもらう人ではないのです。 確実に最小限のコストで他の人と協力して必要な対処が出来る人です。
お礼
確かにその通りですねw
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
>何か誤解してますね >名前を偽るという意味の成りすましではありませんよ >誰かが攻撃用のHTMLを作成。HTMLではリフェラも偽造済み。HTMLをレンタルサーバーに置く。レンタルサーバーに対する>リンクを何らかの方法で踏ませて、ユーザーが意図しない送信をさせるという意味での成りすましです ごめん、それ俺の中で「成りすまし」の認識じゃなかった。 しかも >HTMLではリフェラも偽造済み。 の意味がわからない。 リファラはブラウザが送出するものであって、第三者(html)が変更できるもんじゃないと思うんだけど。 そりゃ、ブラウザのプラグインとかセキュリティソフトの設定でなんぼでもできるけど、アクセス先のリソースでリファラを偽造とは? phpかなんか噛ませる? というか、それじゃ、サーバ経由になるから、どこからデータが送信されたかわかっちゃうし?? CSRFとは関係ないような??
お礼
>リファラはブラウザが送出するものであって、第三者(html)が変更できるもんじゃないと思うんだけど。 http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html 条件を満たしているPCはないと思われますが、特定のフラッシュを読み込ませることでリフェラを変えることができるようです >というか、それじゃ、サーバ経由になるから、どこからデータが送信されたかわかっちゃうし?? ばれたくないのであれば、攻撃用のデーターを含むページを表示後、JavaScriptで送信ボタンを押させれば、クライアント側のパソコンから送らせることもできます
- 1
- 2
お礼
ありがとうございます スキルレベルが人によってまちまちなのですね