がるの健忘録

エンジニアでゲーマーで講師で占い師なおいちゃんのブログです。

ラッピングは気をつけないと…

セキュリティ

大本のネタとしては
オズ・インターナショナル、不正アクセスでカード情報大量流出の恐れ
http://internet.watch.impress.co.jp/cda/news/2008/05/22/19656.html

オズ・インターナショナルは20日、同社が運営するショッピングサイトがSQLインジェクション攻撃を受け、顧客のクレジットカード番号を含む個人情報が流出したことを明らかにした。流出件数は最大で約2万件に上る可能性がある。

まぁもはや失笑レベルでしか有り得ないお話なのですが。
まずそも

オズ・インターナショナルの大関和樹代表取締役社長は、今回の情報漏洩がすべて自身の監督責任であるとコメント。再発を防ぐために「侵入防止システムや脆弱性検知システムなど、米国最高の強固なハードウェアやソフトウェアを採用した」として、サイトの改善に全力を尽くすと説明した。

うんその前に技術者連中の再教育とか必要なことあるでしょ? と思うのは私だけでしょうか?
エスケープ処理するって、しつけレベルの問題だとおいらは思うですよ正直。


んで、さらに気になったのがこの部分。

また、改善の一環として、サイトの脆弱性を検査し、安全性を証明するサービス「HACKER SAFE」を導入。しかし、一部のサイトでは、オズ・インターナショナルの情報流出を伝えるにあたり、「HACKER SAFE証明済みのサイトでカード番号漏洩発生」などと紹介されたことから、「HACKER SAFE開発元のマカフィーと、その販売代理店が誤解を受けてしまった。現在は一時的にHACKER SAFEを取り下げられてしまっている状況」(大関社長)という。

ほほぉ。
そりは
http://www.mcafee.com/japan/about/prelease/pr_07b.asp?pr=07/11/01-1

マカフィー、HACKER SAFE®を提供するScanAlert, Inc.を買収
〜HACKER SAFE とSiteAdvisor を統合し、Eコマースに向けたセキュリティを強化〜

にある「HACKER SAFE」でしょうか。

当買収により、マカフィーのWeb セキュリティにおけるリーダーの地位がよりいっそう強固なものとなり、米国内のオンラインショッピング利用者1億1,600 万人以上を安全な電子商取引サイトに誘導できるようになります。

とかあるのはいいんですがね。


ただね。気になるのがこっち。
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20373146,00.htm?ref=rss

このブログでも以前扱ったとおり、誇らしげにHacker Safeのロゴを掲載しているサイトの多くが、クロスサイトスクリプティング脆弱性を抱えるなどしているのが現状だ。

ブランドを変えてみても、SQLインジェクションXSSを調べる方法しか知らないツールのにおいがするからだ。ところで、McAfeeクロスサイトスクリプティング脆弱性を持つサイトから、証明マークを外すことさえしなかった。

Dan Goodinの素晴らしい記事を扱った私の前回の記事には、McAfeeの広報担当者の無責任な発言に対して考察している部分がある。

McAfeeの広報担当者は、同社はXSS脆弱性SQLインジェクションやその他のセキュリティホールよりも危険度を低く評価していると述べた。「現在のところ、ウェブサイトにXSS脆弱性が存在してもHackerSafe証明書に不適合にはならない」と広報担当者は話した。「McAfeeXSS を特定した場合には、顧客に対しこれを通知し、XSS脆弱性について啓蒙している。」(McAfee広報担当者)

ねぇねぇねぇ「本当に安心していいの?」


なんていうか…完璧ってのは大抵「何も足す余地がない、ではなく、何も引く余地がない状態」をいうんだと思うです。
しかるに皆様。考えているのは「よくわからないから上に一枚ラッピングして以下略」って発想。
それでうまくいくかどうか。ちょっと冷静に考えればティーンエイジャーでもわかろうってモンだろうに、とか思うんですがどんなもんでしょ?


システム開発に。最低限の真っ当な教育とかなんとかしてりゃ片付く話だと思うんですがねぇ。セキュリティってか、プログラムのお作法とかしつけとかそういうレベルの、本当に最低限の。
まぁ…正直、行く現場のn割ほどが(nがいくつなのかは内緒w)「駄目じゃんここ」としか思えないスキルレベルなので & 教えようとしても学ぶ姿勢&環境がまるっきりなかったりするので(またそれで「新人君」とかで有望な子がいて、そういう子だけが学ぶ気満々で、周りがそれを嫌悪するような目でみて、その子が腐りかけてる構図ってのが切なくて orz )。
多分…開発そのものとか、そゆレベルで改善しないとまともにならんのだろうなぁとか思うわけなのですが。
大体、現場で無駄に居座ってる、年齢とか地位とかが下手に高い連中ほど保身に走るもんだから、目も当てられない状況になっている事多々。


…いかん夜中に書いてるから、妙に悲観的になってる orz