- ベストアンサー
セキュリティ対策が甘い理由
プログラマーになろうと思い、IT企業の事業内容とかを調べています ついでにお問い合わせフォームでセキュリティ対策がされているか調べているのですが、 2社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが…
- セキュリティ対策
- 回答数18
- ありがとう数21
- みんなの回答 (18)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (17)
- Picosoft
- ベストアンサー率70% (274/391)
本題からそれていますが(笑) > セキュリティーツールを入れた場合、リファラを送らないようにすることも可能です > 仮に送ることができたとしても、リファラはいくらでも偽造可能です(「リフェラ 偽造」で検索してみてください) 「攻撃者が、何も知らないユーザに意図しないフォーム送信を行わせてしまう」のがCSRFです。 何も知らないユーザのリファラが第三者によって偽装されている時点で、CSRF以前の話になります。 > mixiはリフェラでチェックしてました 「ぼくはまちちゃん騒動」は知っていますが、 mixiがリファラでチェックしていたというのは聞いたことも読んだこともありませんね。 調べてもでてこなかったのでソースを教えていただけますか?
お礼
>何も知らないユーザのリファラが第三者によって偽装されている時点で、CSRF以前の話になります。 http://www.atmarkit.co.jp/fsecurity/column/ueno/33.html 古いバージョンのフラッシュを使用している場合は第三者がリフェラを偽造可能なようです >調べてもでてこなかったのでソースを教えていただけますか? これについてはソースはありません。ただ、上のリンク先を見ればわかるのですが、リフェラ偽造を併用していた可能性があります
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
>お問合せフォームでCSRF対策がなされていないことを利用して、大量のお問い合わせを行ってサーバー自体をダウンさせることもできなくはないですし(確実に足がつくのでやる人はいないと思いますが…) >三社が誰かに成りすましてお問い合わせフォーム経由で殺人予告が送ったら、成り済まされた誰かは確実に困ると思うのですが >それに外部から大量にお問い合わせフォームの内容を送ることでサーバーをダウンさせることもできますし、業務を妨害することもできます >2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした >実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます 外部から大量に・・・に関してはリファラの参照、同一IPからの問い合わせについて一定の時間、拒否。 第三者が誰かに・・・お問い合わせフォームであれば正規のルートでも成りすまし可能(だって俺が俺じゃない名前で問い合わせできるでしょ?) ようは、ランダムな文字が無い = 何も対策できていない にはならない。考えが浅はか 自信を持つのはいいけど、やっぱり実務を知らないなぁって毎度思ってる。
お礼
>外部から大量に・・・に関してはリファラの参照、同一IPからの問い合わせについて一定の時間、拒否。 同一IPで問い合わせればDos攻撃は防げますね ただ、リフェラのチェック程度で意図しない投稿を防ぐことはできませんが リフェラはいくらでも偽造できるので >第三者が誰かに・・・お問い合わせフォームであれば正規のルートでも成りすまし可能(だって俺が俺じゃない名前で問い合わせできるでしょ?) 何か誤解してますね 名前を偽るという意味の成りすましではありませんよ 誰かが攻撃用のHTMLを作成。HTMLではリフェラも偽造済み。HTMLをレンタルサーバーに置く。レンタルサーバーに対するリンクを何らかの方法で踏ませて、ユーザーが意図しない送信をさせるという意味での成りすましです >ようは、ランダムな文字が無い = 何も対策できていない mixiはリフェラでチェックしてましたが、CSRF対策をしていなかったがために「ぼくはまちちゃん」事件を起こしてしまったと聞きます リフェラ程度じゃあ何の対策にもなりません
- zwi
- ベストアンサー率56% (730/1282)
>>自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか? >2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした >実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます 私も専門家ではないですがリファラで対策できたと思います。自分が間違っているかもと、そういう可能性を調べられないのが頭が固いと思ってしまいますよ。 「クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記」 http://blog.tokumaru.org/2013/03/csrf-and-cookie-monster-bug.html
お礼
セキュリティーツールを入れた場合、リファラを送らないようにすることも可能です 仮に送ることができたとしても、リファラはいくらでも偽造可能です(「リフェラ 偽造」で検索してみてください)
補足
>「クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される | 徳丸浩の日記」 このケースの場合はもう白旗を上げるしかないと思います。 本気になればリフェラーをごまかすことぐらいはできるので、リフェラー判定をしたところで無意味ですし ただ、こんな面倒なことはせずとも、「(魅力的な商品を用意しておいて)欲しかったら、○○サイトのソースコードをコピーしてください」という内容のフォームを用意して、ユーザーに送信ボタンを押したら、殺人予告を書き込む方がはるかに手っ取り早いと思います。
- zwi
- ベストアンサー率56% (730/1282)
> IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが… 誰に対してですか? すごく自分よがりな評価だと思います。 誰かが困るなら対処しないと行けませんが企業にも金になる仕事するためには優先順位が有ります。新人が練習に書かされたサイトかもしれませんよね。 そう言う想像が及ばないのが、コミュニケーションに問題があると言われる元凶かもしれません。 あと仕方がないのかも知れませんが、今回の質問とお礼を見てもすごく融通がきかないと言うか頭が固く見えます。思考が柔軟じゃないというか。見えていないことが多すぎというか。そこも面接時に会話の中で採用担当に感じられるレベルで出てしまっているんじゃないでしょうか。 >2社とも対策が非常に甘く、CSRF攻撃が簡単にできそうな状況にありました >なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか 自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか?
お礼
>誰に対してですか? すごく自分よがりな評価だと思います。 スキルがないという理由で落とされた人に対してですよ >誰かが困るなら対処しないと行けませんが企業にも金になる仕事するためには優う先順位が有ります。 第三社が誰かに成りすましてお問い合わせフォーム経由で殺人予告が送ったら、成り済まされた誰かは確実に困ると思うのですが それに外部から大量にお問い合わせフォームの内容を送ることでサーバーをダウンさせることもできますし、業務を妨害することもできます >あと仕方がないのかも知れませんが、今回の質問とお礼を見てもすごく融通がきかないと言うか頭が固く見えます。 どういう部分でそう感じたのでしょうか? >自信たっぷりに書いていますがセキュリティのベテランでもない人が簡単に断言して良いんでしょうか? 2社ともCSRF対策をしてあるのであれば、フォームにランダムな文字が埋め込まれているのですが、それらしきものはありませんでした 実際にやったら、お縄になりかねないのでできませんが、CSRF対策をしてない以上、第三者が誰かに成りすましてお問い合わせの内容を送ることは可能だと思われます
- FEX2053
- ベストアンサー率37% (7987/21355)
ええと・・・。 自社サイトを作るほど暇じゃないって場合も少なくないですよ。 意外にこの業界、内容が細分化されてますから、自社サイトを 必ずしも自社で作ってるとは限りませんもん。 他社に丸投げした方が安くつく場合、迷わず他社に丸投げし ますよ。丸投げした会社の設計能力まで詳細にチェックなんて しませんもん。 逆に言えば、そこが気になるなら、その会社にはいかないこと です。内部は「他社に丸投げして平気」って会社かもですから。
お礼
自社の鏡だからてっきり作っていたのかなと思ったんですが、他社に頼むケースもあるんですね それは知りませんでした。
- Taiyonoshizuku
- ベストアンサー率37% (183/489)
プログラマのスキルはピンきりなんだよ。 できるやつがやったら1週間のものを4週間かけてやっと完成する。 >IT未経験30代お断り・実務経験がないとだめだというなら それでも新卒で入って、のほほんとでも仕事してれば表面上は職業プログラマなわけ。 自分で設計すらできないコーダーに近いプログラマだって実務経験があるってことになる。 >CSRF攻撃が簡単にできそうな状況 サーバ側で対策できているかもよ? 実際にできたわけじゃないんでしょ? お問い合わせフォームくらいなら別にいいやって考え方をしているのかもしれない。 くっそ、俺のほうがスキルあるのに!って思う気持ちわかるけど、 やっぱり30代・未経験が飛び込むには厳しい業界。 ただ、会社自体はいくらでもあるから、拾ってくれる会社があるかもね。
お礼
スキルは人によって違うんですね 全員が全員おれよりスキルが高いのかと思ってました >サーバ側で対策できているかもよ? サーバー側だけでsession_start()を呼び出せば、ある程度は対策できますが、それでは不十分です ページを開いた状態で攻撃用のHTMLを開くという方法でCSRF攻撃を実行することはできます >実際にできたわけじゃないんでしょ? それはその通りですが、そんなことしてしまえば、こっちの立場が危うくなります >お問い合わせフォームくらいなら別にいいやって考え方をしているのかもしれない その可能性はありますね ただ、本人が知らぬ間にお問合せフォームから殺人予告が送られていたなんて事例があるので、対策しておくに越したことはないと思います お問合せフォームでCSRF対策がなされていないことを利用して、大量のお問い合わせを行ってサーバー自体をダウンさせることもできなくはないですし(確実に足がつくのでやる人はいないと思 いますが…) >やっぱり30代・未経験が飛び込むには厳しい業界。 30代・未経験は勘違いでした 実は自営業でソフトウェアを作り販売したことがあります 別の人に相談したら、自営業も経験になるといわれました
- Picosoft
- ベストアンサー率70% (274/391)
> なぜ、職業プログラマーがいるにも関わらず、対策が甘い企業が存在するのでしょうか。 今の技術レベルで満足しているプログラマが少なくないからです。 (自社HPの保守はあまりお金にならないから後回し、というのもあるのかもしれませんが) > IT未経験30代お断り・実務経験がないとだめだというなら、セキュリティ対策も万全にしないと示しがつかないと思うのですが… これまで何度も指摘されていますが、「技術がないと判断されて不採用」なのではなく 「コミュニケーション能力に不安があると判断されて不採用」なのです。 採用されないこととセキュリティ対策が万全でないこととは関連性がありません。 少し冷静になってはいかがですか?
お礼
ありがとうございます そういう事情で甘いんですね 参考になりました
- 1
- 2
関連するQ&A
- セキュリティ関連の仕事について。
現在大学3年です。 就活のことやインターンのことを考え悩んでいます。 文系の情報学科に在籍しているのですが、将来、セキュリティアナリストになりたいと考えています。 ですが、調べてみるといきなり就職してセキュリティアナリストになれる企業がほとんど見当たりません。 もしかしてセキュリティアナリストになるには他の職業を経験しなければなれないものなのでしょうか? IT企業も数多くあるのでどのような企業に行くべきなのかどういったインターンシップを経験しておくべきなのかもあまりよくわかりません。 セキュリティアナリストになるためのキャリアパス等教えて欲しいです。
- ベストアンサー
- 就職・就活
- 経験をつんでから来てください
先日、ハローワークで求人を探し、企業さんに問い合わせたところ、残念ながら対象外ということでお断りされました。 どうやら必要経験をみたしていなかったみたいです。 最後に、「必要経験を満たしたら、またぜひ応募してください」と言われました。 しかしこのご時世、経験のない人間が必要経験を満たすなんて事は出来るのでしょうか? 例えばプログラマーならば「実務経験3年以上」などが必要経験に並びます。 全部の企業がそんなことを言っていたら、経験のない人間はどう足掻いてもプログラマーなんてなれませんよね? 専門職の求人を見ると、みんなそう感じます。 正直、未経験可なんて文字を見たことがありません。 職業訓練ぐらいじゃ経験とはいえないとも聞きましたし。 どうなんでしょうか? このご時世、未経験の人間が経験を積むなんてマネが出来るのでしょうか?
- ベストアンサー
- 就職・就活
- 社員30~50人のセキュリティ対策で妥当なのは?
友人の会社について相談を受けました。 そこは社員数が30名強程度の小さな会社なのですが、社員数30~50人程度の会社という、大きい企業のようにIT経費がたくさんかけれない会社におけるセキュリティ対策はどういうものが妥当でしょうか? 現在、各PCにインストールするソフト型でやっているらしいですが、PCが増えるたびにソフトを買わないといけない(ライセンスでしょう)ので費用もかさみ管理も面倒で嫌だそうです。 このような規模の会社で十分といえるセキュリティ対策が何か他にないでしょうか? そもそも、各PCごとにセキュリティソフトをインストールする方式は避けられないものでしょうか? 宜しくお願いします。
- ベストアンサー
- セキュリティ対策
- 派遣プログラマの実務経験について
プログラマの一般派遣、常時雇用派遣として働く場合、実務経験扱い(実務経験○年)として数えることはできるのでしょうか? また、ゲームプログラマとしての実務経験年数は、一般的なプログラマやIT関係の実務経験年数として扱うことはできるのでしょうか? よろしくお願い致します。
- ベストアンサー
- 派遣
- プログラマーの実務経験を説明できる方いますか?
プログラマーの実務経験とは何かを具体的に、 分かりやすく説明できる方はおられますか? 私は情報処理の専門学校を卒業しましたが、 講義のときにその先生方が「プログラマーになるには実務経験が必要」等と 何度も言われていたことを覚えています。 今になって思えばかなり疑問を持っています。 その実務経験とやらは実際に経験しなければ分からないものでしょうか? 言葉や口頭では説明できないものなのでしょうか? IT企業に就職するつもりの方(私ではありませんよ。)、 または面接を受けられた方はこの点を疑問には思いませんでしたか。
- ベストアンサー
- 就職・就活
- プログラマとして就職したい
自分は今25歳のフリーターです。プログラマとして就職したいと考えています。最初の会社の規模は小さくても構いません。転職しながらステップアップしていくつもです。ITの専門知識は今現在ほとんどないです。 そこでお聞きしたい事があります。 採用を選考する企業からしたら、 ○実務経験無し、6ヶ月間職業訓練校でプログラミングを勉強した事がある。しかし、基本情報技術者資格を持っていない。 ○実務経験無し、職業訓練校等には通っていなくてフリーターだが、基本情報技術者資格を取得している。 どちらの男が採用される可能性が高いと思われますか? アドバイス宜しくお願いします。
- ベストアンサー
- 情報処理技術者
- プログラマとして就職するには?
自分は今25歳のフリーターです。プログラマとして就職したいと考えています。最初の会社の規模は小さくても構いません。転職しながらステップアップしていくつもです。ITの専門知識は今現在ほとんどないです。 そこでお聞きしたい事があります。 採用を選考する企業からしたら、 ○実務経験無し、6ヶ月間職業訓練校でプログラミングを勉強した事がある。しかし、基本情報技術者資格を持っていない。 ○実務経験無し、職業訓練校等には通っていなくてフリーターだが、基本情報技術者資格を取得している。 どちらの男が採用される可能性が高いと思われますか? アドバイス宜しくお願いします。
- ベストアンサー
- SE・インフラ・Webエンジニア
- Mac OS X 10.5.8のウイルス対策について
こんにちは。MacBookを使用しています。Macはまだ初心者なのでWindows歴が長かった自分には少し分からない事があります。 AppleHPにMacは「ウイルス対策も万全。セキュリティを重視してデザインされたMac OS Xなら、Windowsパソコンを狙ったウイルスや悪質な攻撃に悩まされる心配も、わずらわしいセキュリティ警告やウイルス駆除で、作業が中断されることもありません。すべてのMacには万全のセキュリティ基盤が組み込まれているので、仕事にも趣味にも安心して専念できます。」とありますが、検索してみるとMacにもソキュリティソフトはインストールが必要と掲載されています。自分は今ノートンインターネットセキュリティfor Macを入れていますが、AntiVirusだけが更新中のエラーとなってしまい困っています。なので無料ソフトのClamXavを入れていますが使い勝手がなかなか馴染めません。Macにはウイルス対策セキュリティソフトは本当に必要なのでしょうか?AppleHPは何をもってMacはウイルス対策も万全と言っているのですか?そこの所がよく分からないんです。Macをお使いになってる方々はどんなセキュリティ対策をなさってますか?それとMacのお薦めセキュリティソフトってありますか?すみませんが教えて下さい。追伸:自分は英語表記のフリーソフトは分かりづらいので使いたくないんです。
- ベストアンサー
- Mac
- Webサイトのセキュリティ対策について
当方、ITの初心者ながら、 「ホームページビルダー」で作成した自社のWebサイトを、中国で運用しています。 ある日、サイトを開いたところ、 まったく閲覧ができない状況になっていました。 業者に確認したところ、サーバーは通常通り稼働しているので、 サイト自体がサイバー攻撃を受けた可能性があるとのことでした。 業者に対応してもらい、現在のところは復旧しているのですが、 自ら作成したWebサイトのセキュリティ対策が、自分でもできるようになりたいと思っています。 どなたか良い方法をご存知の方がおられましたら、ご教示頂けますでしょうか。 宜しくお願い致します。
- ベストアンサー
- ネットワーク
お礼
ありがとうございます スキルレベルが人によってまちまちなのですね