- ベストアンサー
セキュリティ対策が甘い理由
プログラマーになろうと思い、IT企業の事業内容とかを調べています ついでにお問い合わせフォームでセキュリティ対策がされているか調べているのですが、 2社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが…
- セキュリティ対策
- 回答数18
- ありがとう数21
- みんなの回答 (18)
- 専門家の回答
質問者が選んだベストアンサー
>なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか 職業プログラマー=ネットワーク管理者ではないからでしょう。 職業プログラマーの天下な会社だったらどうかは判りませんが……。 平社員が役員より権限が上。なんてこともまずないですしね。 対策コストが流出コストより大きいと判断しているか、経営陣がそういう事に無頓着だったりするとか…まぁ、いろいろあります。 ついでに、職業プログラマーにしてもピンキリです。 簡単なバッファオーバーランとか見逃すようなレベルでもお給料を貰っている限りは職業プログラマーでしょうし、詳細設計書をプログラミング言語に翻訳するだけの簡単なお仕事って場合はそのコードがなにをやっているのか理解していない可能性だってあります。
その他の回答 (17)
- Picosoft
- ベストアンサー率70% (274/391)
本題からそれていますが(笑) > セキュリティーツールを入れた場合、リファラを送らないようにすることも可能です > 仮に送ることができたとしても、リファラはいくらでも偽造可能です(「リフェラ 偽造」で検索してみてください) 「攻撃者が、何も知らないユーザに意図しないフォーム送信を行わせてしまう」のがCSRFです。 何も知らないユーザのリファラが第三者によって偽装されている時点で、CSRF以前の話になります。 > mixiはリフェラでチェックしてました 「ぼくはまちちゃん騒動」は知っていますが、 mixiがリファラでチェックしていたというのは聞いたことも読んだこともありませんね。 調べてもでてこなかったのでソースを教えていただけますか?
お礼
>何も知らないユーザのリファラが第三者によって偽装されている時点で、CSRF以前の話になります。 http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html 古いバージョンのフラッシュを使用している場合は第三者がリフェラを偽造可能なようです >調べてもでてこなかったのでソースを教えていただけますか? これについてはソースはありません。ただ、上のリンク先を見ればわかるのですが、リフェラ偽造を併用していた可能性があります
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
>お問合せフォームでCSRF対策がなされていないことを利用して、大量のお問い合わせを行ってサーバー自体をダウンさせることもできなくはないですし(確実に足がつくのでやる人はいないと思いますが…) >三社が誰かに成りすましてお問い合わせフォーム経由で殺人予告が送ったら、成り済まされた誰かは確実に困ると思うのですが >それに外部から大量にお問い合わせフォームの内容を送ることでサーバーをダウンさせることもできますし、業務を妨害することもできます >2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした >実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます 外部から大量に・・・に関してはリファラの参照、同一IPからの問い合わせについて一定の時間、拒否。 第三者が誰かに・・・お問い合わせフォームであれば正規のルートでも成りすまし可能(だって俺が俺じゃない名前で問い合わせできるでしょ?) ようは、ランダムな文字が無い = 何も対策できていない にはならない。考えが浅はか 自信を持つのはいいけど、やっぱり実務を知らないなぁって毎度思ってる。
お礼
>外部から大量に・・・に関してはリファラの参照、同一IPからの問い合わせについて一定の時間、拒否。 同一IPで問い合わせればDos攻撃は防げますね ただ、リフェラのチェック程度で意図しない投稿を防ぐことはできませんが リフェラはいくらでも偽造できるので >第三者が誰かに・・・お問い合わせフォームであれば正規のルートでも成りすまし可能(だって俺が俺じゃない名前で問い合わせできるでしょ?) 何か誤解してますね 名前を偽るという意味の成りすましではありませんよ 誰かが攻撃用のHTMLを作成。HTMLではリフェラも偽造済み。HTMLをレンタルサーバーに置く。レンタルサーバーに対するリンクを何らかの方法で踏ませて、ユーザーが意図しない送信をさせるという意味での成りすましです >ようは、ランダムな文字が無い = 何も対策できていない mixiはリフェラでチェックしてましたが、CSRF対策をしていなかったがために「ぼくはまちちゃん」事件を起こしてしまったと聞きます リフェラ程度じゃあ何の対策にもなりません
- zwi
- ベストアンサー率56% (730/1282)
>>自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか? >2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした >実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます 私も専門家ではないですがリファラで対策できたと思います。自分が間違っているかもと、そういう可能性を調べられないのが頭が固いと思ってしまいますよ。 「クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記」 http://blog.tokumaru.org/2013/03/csrf-and-cookie-monster-bug.html
お礼
セキュリティーツールを入れた場合、リファラを送らないようにすることも可能です 仮に送ることができたとしても、リファラはいくらでも偽造可能です(「リフェラ 偽造」で検索してみてください)
補足
>「クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記」 このケースの場合はもう白旗を上げるしかないと思います。 本気になればリフェラーをごまかすことぐらいはできるので、リフェラー判定をしたところで無意味ですし ただ、こんな面倒なことはせずとも、「(魅力的な商品を用意しておいて)欲しかったら、○○サイトのソースコードをコピーしてください」という内容のフォームを用意して、ユーザーに送信ボタンを押したら、殺人予告を書き込む方がはるかに手っ取り早いと思います。
- zwi
- ベストアンサー率56% (730/1282)
> IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが… 誰に対してですか? すごく自分よがりな評価だと思います。 誰かが困るなら対処しないと行けませんが企業にも金になる仕事するためには優先順位が有ります。新人が練習に書かされたサイトかもしれませんよね。 そう言う想像が及ばないのが、コミュニケーションに問題があると言われる元凶かもしれません。 あと仕方がないのかも知れませんが、今回の質問とお礼を見てもすごく融通がきかないと言うか頭が固く見えます。思考が柔軟じゃないというか。見えていないことが多すぎというか。そこも面接時に会話の中で採用担当に感じられるレベルで出てしまっているんじゃないでしょうか。 >2社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました >なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか 自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか?
お礼
>誰に対してですか? すごく自分よがりな評価だと思います。 スキルがないという理由で落とされた人に対してですよ >誰かが困るなら対処しないと行けませんが企業にも金になる仕事するためには優う先順位が有ります。 第三社が誰かに成りすましてお問い合わせフォーム経由で殺人予告が送ったら、成り済まされた誰かは確実に困ると思うのですが それに外部から大量にお問い合わせフォームの内容を送ることでサーバーをダウンさせることもできますし、業務を妨害することもできます >あと仕方がないのかも知れませんが、今回の質問とお礼を見てもすごく融通がきかないと言うか頭が固く見えます。 どういう部分でそう感じたのでしょうか? >自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか? 2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした 実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます
- FEX2053
- ベストアンサー率37% (7991/21371)
ええと・・・。 自社サイトを作るほど暇じゃないって場合も少なくないですよ。 意外にこの業界、内容が細分化されてますから、自社サイトを 必ずしも自社で作ってるとは限りませんもん。 他社に丸投げした方が安くつく場合、迷わず他社に丸投げし ますよ。丸投げした会社の設計能力まで詳細にチェックなんて しませんもん。 逆に言えば、そこが気になるなら、その会社にはいかないこと です。内部は「他社に丸投げして平気」って会社かもですから。
お礼
自社の鏡だからてっきり作っていたのかなと思ったんですが、他社に頼むケースもあるんですね それは知りませんでした。
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
プログラマのスキルはピンきりなんだよ。 できるやつがやったら1週間のものを4週間かけてやっと完成する。 >IT未経験30代お断り・実務経験がないとだめだというなら それでも新卒で入って、のほほんとでも仕事してれば表面上は職業プログラマなわけ。 自分で設計すらできないコーダーに近いプログラマだって実務経験があるってことになる。 >CSRF攻撃が簡単にできそうな状況 サーバ側で対策できているかもよ? 実際にできたわけじゃないんでしょ? お問い合わせフォームくらいなら別にいいやって考え方をしているのかもしれない。 くっそ、俺のほうがスキルあるのに!って思う気持ちわかるけど、 やっぱり30代・未経験が飛び込むには厳しい業界。 ただ、会社自体はいくらでもあるから、拾ってくれる会社があるかもね。
お礼
スキルは人によって違うんですね 全員が全員おれよりスキルが高いのかと思ってました >サーバ側で対策できているかもよ? サーバー側だけでsession_start()を呼び出せば、ある程度は対策できますが、それでは不十分です ページを開いた状態で攻撃用のHTMLを開くという方法でCSRF攻撃を実行することはできます >実際にできたわけじゃないんでしょ? それはその通りですが、そんなことしてしまえば、こっちの立場が危うくなります >お問い合わせフォームくらいなら別にいいやって考え方をしているのかもしれない その可能性はありますね ただ、本人が知らぬ間にお問合せフォームから殺人予告が送られていたなんて事例があるので、対策しておくに越したことはないと思います お問合せフォームでCSRF対策がなされていないことを利用して、大量のお問い合わせを行ってサーバー自体をダウンさせることもできなくはないですし(確実に足がつくのでやる人はいないと思 いますが…) >やっぱり30代・未経験が飛び込むには厳しい業界。 30代・未経験は勘違いでした 実は自営業でソフトウェアを作り販売したことがあります 別の人に相談したら、自営業も経験になるといわれました
- Picosoft
- ベストアンサー率70% (274/391)
> なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか。 今の技術レベルで満足しているプログラマが少なくないからです。 (自社HPの保守はあまりお金にならないから後回し、というのもあるのかもしれませんが) > IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが… これまで何度も指摘されていますが、「技術がないと判断されて不採用」なのではなく 「コミュニケーション能力に不安があると判断されて不採用」なのです。 採用されないこととセキュリティ対策が万全でないこととは関連性がありません。 少し冷静になってはいかがですか?
お礼
ありがとうございます そういう事情で甘いんですね 参考になりました
- 1
- 2
お礼
ありがとうございます スキルレベルが人によってまちまちなのですね