まずはとは?/ キャッシュワン
[ 447] 第1回 まずは「クッキー」を理解すべし:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294407/
|
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気付けない。 最近,セッション管理に関連するぜい弱性が顕在化するようになってきた。例えば2007年秋にはGmailや無線LAN製品に付属する管理アプリケーションなどに相次いでCSRFのぜい弱性が報告された。2008年1月にはヤマハのブロードバンド・ルーターにも同様のぜい弱性が発覚した。潜在的にこれらのぜい弱性を抱えているアプリケーションは少なくない。今後も同様の報告が増加することが予想される。 開発者が対策を講じるには,セッション管理の原理を理解したうえでアプリケーションを見直す必要がある。本稿では,セッション管理を悪用する攻撃と対策,および更なる問題の例としてセッション変数使用時の注意点を,クッキーの仕組みを基に解説する。 携帯電話向けアプリケーションを除き,Webアプリケーションにおけるセッション管理ではクッキーを使うことが多い。そこでまず,クッキーの仕組みを解説しよう。 Webアプリケーションは本来,アプリケーションの「状態」を持たない。プロトコルとしてHTTPを使うためだ。あるユーザーから送られてきた前回のリクエストと,今回のリクエストを関連付けることはできない。ただ,これではユーザー認証を必要とするようなアプリケーションを実現できない。そこでWebアプリケーションの黎明期には,ユーザーはURLに識別情報を含める方法でセッション管理を実現していた。 ところがこの方法は,実装が複雑な上,セキュリティ上の問題が発生しやすいなどの欠点を抱えていた。そこで考案されたのがクッキーである。起源は米ネットスケープ・コミュニケーションズが提案した仕様である。その後,RFC 2109,RFC 2965と規格化が進められたものの,現状では主要なブラウザはネットスケープ仕様を採用している。以下ではNetscape仕様に基づいて解説を進める。 攻撃者は自分が送信するリクエストに盗んだクッキーを含めることで,本来のクッキーの持ち主になりすますことができる(図2)。サーバーはクッキーの内容を見てクライアントを判別するだけで,送信されてきたクッキーが盗まれたものであるか否かは判断できないからだ。 クッキーの盗難に関する問題は軽視されがちである。クライアント・パソコンに記録されたクッキーを盗み出すのは容易ではないというのがその理由だ。それでも,なりすましが成功すれば個人情報漏えいなど重大な被害が発生してしまうことは,直感的に理解できるだろう。 では,どのようにクッキーを保護したらいいか。対策は,クッキーの仕様で定義されている属性のパラメータを注意深く設定することである。クッキーの属性としては,secure属性,expires属性などが挙げられる。これらは正しく設定されていないことが多い。 secure属性が指定されていないと,暗号化されていない通信経路上にクッキーが送信されてしまい,盗聴される危険がある。最近の開発環境では,アプリケーション・サーバーや,フレームワークがsecure属性の設定を自動的に設定することが多いため気付きにくいかもしれない。マニュアルを確認し,正しく設定する必要がある。 expires属性は,被害が発生してしまう可能性と関連する。この指定がある場合,指定された日時までクッキーが送信される。つまり,クッキーは指定された日時までファイル上に保存され,ブラウザ再起動後もその値が読み込まれ使用される。指定がない場合,有効期限はブラウザが終了するまでとなる。 この属性が指定されていなければ,ブラウザを起動していないユーザーが被害に遭うことはない。しかし,この属性が指定されていると,ブラウザ起動時にクッキーが自動的に読み込まれ送信されるため,ブラウザを起動していないユーザーも被害に遭う対象となる。この属性は,オートログイン機能を実現するために設定されることが多いが,このようなリスクが発生することは認識しておかなければならない。 「次の要求があった場合,ブラウザは保持しているクッキーを検索し,送信先のURLにひも付けられたすべてのクッキーをHTTPヘッダーに含めてリクエストを送信する」ことは前述した。 ブラウザがクッキーを送信するサーバーのドメイン名。ブラウザがアクセスするURL内のドメイン名がこれに後方一致(一部制限がある)する場合のみクッキーを送信する。後方一致しない場合はブラウザにセットしない。省略した場合は,アクセスしたURLに含まれるホスト名が使用される。 ブラウザがクッキーを送信するサーバーのパス。ブラウザがアクセスするURL内のパスがこれに前方一致する場合のみクッキーを送信する。前方一致しない場合はブラウザにセットしない。省略した場合は,アクセスしたURLに含まれるパスが使用される。 クッキーが送信される条件は,普段はあまり気にとめられない。ただ,Webアプリケーションのセキュリティ上の問題の多くは,クッキーの仕組みゆえに発生する。ぜい弱性を理解するために必要な知識である。次回からは,クッキーの仕組みを使ったセッション管理に潜むぜい弱性と,それを悪用した攻撃手法について解説する。 安西 真人ユービーセキュア 技術本部 テクニカルサービス部 セキュアナレッジコンサルタント 兼 Webアプリケーション検査ツールVEX開発エンジニア 松下電器産業 パナソニック システムソリューションズ社 かつてない高画質「メガピクセルカメラ」徹底解説 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 448] Google マップが携帯電話向けアプリで登場、まずはドコモに対応:ニュース - CNET Japan
[引用サイト] http://japan.cnet.com/news/media/story/0,2000056023,20354824,00.htm
|
Javaアプリケーションを使うことで、表示地区を移動する場合に毎回ページをロードすることなく、PCからGoogleマップを使用するのと同じような感覚で地図上をスクロールできるようになった。 またアプリ版のGoogle マップは、できるだけ少ないクリック回数で操作できるようにボタンの割り当てや表示方法が工夫されている。 具体的には、重要でない情報は意図的に表示せず、さらに色使いを調整したことで情報の視認性も向上しているという。もちろん、よく見る場所はお気に入りとして登録できる。 トラックバック一覧からリンクされているウェブページはこの記事にリンクしている第三者が作成したものです。内容や安全性について当社では一切保証できませんのでご注意下さい。 ※サービス名をクリックするとこのページをブックマークできます。また、人数をクリックするとブックマークしている人やコメントを一覧できます。なお、サービスによってはログインが必要な場合があります。 増え続けるファイルデータ。高まるデータ保護と事業継続への要求。データ可用性とデータ保護に優れ、かつコスト効率の高い分散型エンタープライズ環境を実現するためのヒントとは? コールセンターのサービスレベルは検索スピードで決まる!【札幌市の自治体CRM戦略のカギを握る検索技術】 広告付き楽曲ダウンロードサイトのSpiralFrogは、4大レーベルのワーナーの出版部門とライセンス契約を締結し、一見順風満帆のようだが実態はそれほど楽観できない。 バリューコマースのコンサルタントとメディアプランナーには、アフィリエイトの仕組みやマーケティングに関する知識はもとより、仕事の進め方を自ら考え、市場動向に柔軟に対応する能力が強く求められるという。いわゆるセルフスターター型の人材だ。 携帯電話のフィルタリング問題が、モバイル業界に大きな波紋を広げている。コンテンツプロバイダーだけでなく、青少年や保護者の間からも戸惑いや反発の声が上がっているのだ。この問題の本質がどこにあるかを見ていこう。 森祐治さんによる連載の最終回。人と人がネットワークで複雑につながり合い、将来の予測がますます難しくなる中で、私たち1人1人はどう生きていくべきなのでしょうか。 携帯電話のメルマガに関する調査を行った結果、指定受信機能の設定内容やそもそも設定をしたことを忘れ、設定の変更を行わないことでメルマガを受け取れないでいるユーザーが数多くいることが分かった。 三菱電機の撤退やソニー・エリクソン・モバイルの製品計画見直しなどで揺れる携帯電話端末事業。飽和状態にあるとも言われる状況の中で、ユーザーの皆さんがどういった観点で携帯電話を選んでいるのか調査しました。 企業・機関の事故・事件における対応、最も評価できる企業は松下電器-不二家・雪印にも一定の評価- −日本ブランド戦略研究所調べ− 「悪者探しからは何も生まれない」「ネット業界はコンテンツを出してもらえるだけのビジネス提案をできていない」――著作権問題を議論するJASRAC主催のシンポジウムでは、著作権制度よりも関係者の姿勢のほうが問題だとする声が目立った。 3月5日にバージョンアップし、進化を続ける「ニコニコ動画」(ニコ動)。運営元ニワンゴの取締役で、「ひろゆき」という愛称で親しまれている西村博之氏に、人気の理由や運営のコツなどについて聞いた。その様子を2回に分けて紹介する。 PCサイトでできることも、モバイルサイトではできない場合がある。また、その使われ方も大きく異なる。モバイルサイトならではの特徴を、技術面、利用面から押さえておこう。 YouTubeはAPIを拡張して、動画サービスプラットフォームへの転身を図る。親会社のグーグルにどんな狙いがあるのか、ブログ界の意見も紹介しながら考えてみる。 「画質」でも「記録メディア」でも、さらには「保存方法」でも選べる今シーズンのビデオカメラ。その機能と 昨年に引き続き通勤・通学に欠かせないアイテムとして注目を集めているノイズキャンセリングヘッドホン。昨 |
キャッシュワンのサイトです。
