まずはとは?/ ノーローン
[ 1086] 第1回 まずは「クッキー」を理解すべし:ITpro
[引用サイト] http://itpro.nikkeibp.co.jp/article/COLUMN/20080221/294407/
|
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気付けない。 最近,セッション管理に関連するぜい弱性が顕在化するようになってきた。例えば2007年秋にはGmailや無線LAN製品に付属する管理アプリケーションなどに相次いでCSRFのぜい弱性が報告された。2008年1月にはヤマハのブロードバンド・ルーターにも同様のぜい弱性が発覚した。潜在的にこれらのぜい弱性を抱えているアプリケーションは少なくない。今後も同様の報告が増加することが予想される。 開発者が対策を講じるには,セッション管理の原理を理解したうえでアプリケーションを見直す必要がある。本稿では,セッション管理を悪用する攻撃と対策,および更なる問題の例としてセッション変数使用時の注意点を,クッキーの仕組みを基に解説する。 携帯電話向けアプリケーションを除き,Webアプリケーションにおけるセッション管理ではクッキーを使うことが多い。そこでまず,クッキーの仕組みを解説しよう。 Webアプリケーションは本来,アプリケーションの「状態」を持たない。プロトコルとしてHTTPを使うためだ。あるユーザーから送られてきた前回のリクエストと,今回のリクエストを関連付けることはできない。ただ,これではユーザー認証を必要とするようなアプリケーションを実現できない。そこでWebアプリケーションの黎明期には,ユーザーはURLに識別情報を含める方法でセッション管理を実現していた。 ところがこの方法は,実装が複雑な上,セキュリティ上の問題が発生しやすいなどの欠点を抱えていた。そこで考案されたのがクッキーである。起源は米ネットスケープ・コミュニケーションズが提案した仕様である。その後,RFC 2109,RFC 2965と規格化が進められたものの,現状では主要なブラウザはネットスケープ仕様を採用している。以下ではNetscape仕様に基づいて解説を進める。 攻撃者は自分が送信するリクエストに盗んだクッキーを含めることで,本来のクッキーの持ち主になりすますことができる(図2)。サーバーはクッキーの内容を見てクライアントを判別するだけで,送信されてきたクッキーが盗まれたものであるか否かは判断できないからだ。 クッキーの盗難に関する問題は軽視されがちである。クライアント・パソコンに記録されたクッキーを盗み出すのは容易ではないというのがその理由だ。それでも,なりすましが成功すれば個人情報漏えいなど重大な被害が発生してしまうことは,直感的に理解できるだろう。 では,どのようにクッキーを保護したらいいか。対策は,クッキーの仕様で定義されている属性のパラメータを注意深く設定することである。クッキーの属性としては,secure属性,expires属性などが挙げられる。これらは正しく設定されていないことが多い。 secure属性が指定されていないと,暗号化されていない通信経路上にクッキーが送信されてしまい,盗聴される危険がある。最近の開発環境では,アプリケーション・サーバーや,フレームワークがsecure属性の設定を自動的に設定することが多いため気付きにくいかもしれない。マニュアルを確認し,正しく設定する必要がある。 expires属性は,被害が発生してしまう可能性と関連する。この指定がある場合,指定された日時までクッキーが送信される。つまり,クッキーは指定された日時までファイル上に保存され,ブラウザ再起動後もその値が読み込まれ使用される。指定がない場合,有効期限はブラウザが終了するまでとなる。 この属性が指定されていなければ,ブラウザを起動していないユーザーが被害に遭うことはない。しかし,この属性が指定されていると,ブラウザ起動時にクッキーが自動的に読み込まれ送信されるため,ブラウザを起動していないユーザーも被害に遭う対象となる。この属性は,オートログイン機能を実現するために設定されることが多いが,このようなリスクが発生することは認識しておかなければならない。 「次の要求があった場合,ブラウザは保持しているクッキーを検索し,送信先のURLにひも付けられたすべてのクッキーをHTTPヘッダーに含めてリクエストを送信する」ことは前述した。 ブラウザがクッキーを送信するサーバーのドメイン名。ブラウザがアクセスするURL内のドメイン名がこれに後方一致(一部制限がある)する場合のみクッキーを送信する。後方一致しない場合はブラウザにセットしない。省略した場合は,アクセスしたURLに含まれるホスト名が使用される。 ブラウザがクッキーを送信するサーバーのパス。ブラウザがアクセスするURL内のパスがこれに前方一致する場合のみクッキーを送信する。前方一致しない場合はブラウザにセットしない。省略した場合は,アクセスしたURLに含まれるパスが使用される。 クッキーが送信される条件は,普段はあまり気にとめられない。ただ,Webアプリケーションのセキュリティ上の問題の多くは,クッキーの仕組みゆえに発生する。ぜい弱性を理解するために必要な知識である。次回からは,クッキーの仕組みを使ったセッション管理に潜むぜい弱性と,それを悪用した攻撃手法について解説する。 安西 真人ユービーセキュア 技術本部 テクニカルサービス部 セキュアナレッジコンサルタント 兼 Webアプリケーション検査ツールVEX開発エンジニア 野村総合研究所(千手インフォメーションセンター) コストメリットに優れた運用管理ツールの導入が監視サービスの展開を支える 松下電器産業 パナソニック システムソリューションズ社 i-Proシリーズが牽引する映像監視セキュリティの進化 NTTコミュニケーションズ 迷惑メール対策はアウトソーシングサービスが有効 〜決め手は振り分け精度の高さ 製品&サービス・ディレクトリ業務アプリケーション設計開発OS/DB/ミドルウエアサーバー/ストレージ |著作権・リンクについて|個人情報保護方針/ネットにおける情報収集/個人情報の共同利用について|サイトマップ| |
[ 1087] Google マップが携帯電話向けアプリで登場、まずはドコモに対応:ニュース - CNET Japan
[引用サイト] http://japan.cnet.com/news/media/story/0,2000056023,20354824,00.htm
|
Javaアプリケーションを使うことで、表示地区を移動する場合に毎回ページをロードすることなく、PCからGoogleマップを使用するのと同じような感覚で地図上をスクロールできるようになった。 またアプリ版のGoogle マップは、できるだけ少ないクリック回数で操作できるようにボタンの割り当てや表示方法が工夫されている。 具体的には、重要でない情報は意図的に表示せず、さらに色使いを調整したことで情報の視認性も向上しているという。もちろん、よく見る場所はお気に入りとして登録できる。 トラックバック一覧からリンクされているウェブページはこの記事にリンクしている第三者が作成したものです。内容や安全性について当社では一切保証できませんのでご注意下さい。 ※サービス名をクリックするとこのページをブックマークできます。また、人数をクリックするとブックマークしている人やコメントを一覧できます。なお、サービスによってはログインが必要な場合があります。 「位置情報に付随して表示するマッチング広告」を武器に大学在学中に起業したシリウステクノロジーズ代表取締役社長の宮澤弦氏に聞いた。 米国時間3月11日にグーグルによるダブルクリックの買収が完了したことを受け、金融アナリストや投資家たちは、マイクロソフトから受けている買収提案についてヤフーにかかるプレッシャーは大きくなるだろうと見る。 昨今の日本の有力家電メーカーの動きを見ると、今、改めて「日本にとってのモノづくり」とはなにかを問う必要があると感じる。その源泉は特定の職人や遺産的な過去の栄華ではなく、もっと別のものだろう。 インターネット普及率で遅れていたフランスで、固定ブロードバンドが一気に普及した。成功を後押ししたのは、トリプルプレイとして各種IPサービスをパッケージにし、料金を抑えたADSLサービスだ。 YouTubeはAPIを拡張して、動画サービスプラットフォームへの転身を図る。親会社のグーグルにどんな狙いがあるのか、ブログ界の意見も紹介しながら考えてみる。 オーバーチュアが「新スポンサードサーチ」と呼ばれる新プラットホームに移行してから数カ月が経つ。今回はこの新スポンサードサーチでの効果を上げるテクニックをいくつか取り上げたい。 インターネットサービスで会員登録した際のIDやパスワードの管理方法について調査を実施したところ、半数以上のユーザーがIDやパスワードを自分の記憶で管理しているという結果が出た。また、約9割がパスワードなどを忘れて問い合わせや再発行を実施しているという。 スイスで開催された世界経済フォーラムで、B・ゲイツ氏は「創造的資本主義」を訴えるスピーチを行った。裕福な国々の企業は発展途上国を支援すべきだというものだが、それは世界にとって本当にプラスになるのだろうか? 米マイクロソフトが、再び米ヤフーに買収を持ちかけている。ヤフーの主事業領域は、マイクロソフトのOSやアプリケーションなどといった主事業領域ではないにもかかわらず、巨額の買収額を提示している。それはなぜなのか。 シャープが今春にも中国市場に携帯電話を投入すると、日本のメディアが報じた。上海や北京、深センなど高所得地域においては、中国でも利用できるように改造したソフトバンクモバイルの携帯電話が販売されていて、特にシャープ製の電話が人気なのである。 「画質」でも「記録メディア」でも、さらには「保存方法」でも選べる今シーズンのビデオカメラ。その機能と ソニーから登場したアナログレコードプレーヤーが注目を集めている。USB端子搭載で、PCへの取り込みも行え |
ノーローンの最新サイト、 ノーローンの情報、 ノーローンの借り方申し込み方、 ノーローンの比較情報など、 ノーローンに関することのキャッシング総合情報サイト。
