|
Webアプリケーションは制作環境を準備するコストもかからず、知識があれば手軽に作ることができるので極端な話、誰でも構築することができる。 しかし、その安易な構築が落とし穴につながることがある。 例えば会員制のショッピングサイトでは、会員登録済みの購入者は一度配送先を入力しておけば以後入力し直す必要がない。 運営側は商品管理はもちろん、誰がいつ何を買ったかなど把握することができる。 ところがこのWebアプリケーションにセキュリティホールがあり、そこを突いた攻撃をするとデータが抹消されたり、最悪個人情報を盗まれる事態に陥る。 導入者は便利な反面、十分なセキュリティ対策とリスクを検討すべきなのだ。 しかし、構築したWebアプリケーションがどのような穴があって、どのような攻撃でダメージがあるのかは把握しづらいこともあるし、うっかり見落とすこともある。 最近ではそのような穴を探すソフトやサービスが提供されており、また新しいサービスが出てきた。 アシアルはWebアプリの脆弱性(セキュリティ・ホール)を検査できるサービス「Chorizo!」を開始した。ブラウザでプロキシとしてChorizo!のサーバーを指定し,対象サイトを閲覧するだけで検査できる。サーバー内部からの検査やスキャンの履歴・解析,アドバイザ機能などを備えた有償版も提供する。  私はまだ使ってはいないが、どうやらログインしてURLを指定して使うようだ。 使ってみたいのはやまやまだが、プロキシとして使うということはこの運営会社に誰がどのサイトの運営者ということもある程度わかるわけで、最悪セキュリティホールが見つかった場合は情報が流出して突かれる可能性だって考えなければならない。 一番はセキュリティホールのパターンを知ることと、怪しいと思う部分は徹底して調べるにつきる。 特に作業時間を短縮できるオープンソースのものには気をつけたい。 |
| << 前記事(2007/04/17) | トップへ | 後記事(2007/04/19)>> |
| タイトル (本文) | ブログ名/日時 |
|---|
| 内 容 | ニックネーム/日時 |
|---|
| << 前記事(2007/04/17) | トップへ | 後記事(2007/04/19)>> |
