●[Software]CSRFによる、はまちちゃん騒動
先日、Mixiの最近の日記一覧に「ぼくはまちちゃん」というタイトルのものが大量発生してました。
きっとゴッゴルの類で流行ってるのかなーとか思ってたんですが、そうではないらしく。
・大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? [ITmedia]
なんでもCSRF脆弱性を利用した攻撃(?)だったそうで。
XSSについては、サニタイジングでの対処が一般的になってきたのでその脅威が薄れてきているのですけど、CSRFは話題に上り始めたのが2005年に入ってからということもあり対応はまだまだのようで。(Web上で配布されているスクリプトで、サニタイジングされていないものも未だにありますが)
こういったところのテストをどうやっていくか最近悩んでいるんですが、この類の問題が大きく取り上げられてくると重要性を増していきますね。
といっても、システムごとに手入力するのはほんとしんどいんで、なんとか自動化出来ないかしら…
閑話休題。
先日も話題になっていたんですが、セキュリティという言葉は無理矢理広げられてる感がありますよね。
一昔前、バッファオーバーフローがらみの問題をシステムの脆弱性=セキュリティなどという解釈がされてましたが、バッファオーバーフロウなんて単なるコーディングレベルでのメモリリーク対策実装漏れにすぎませんよね。
上の問題もセキュリティとしてのツッコミが沢山発生しそうで、何か違和感があるところです。
誰か早くソフトウェアにおけるセキュリティという言葉の定義を行ってくれないものかなぁ。
コメント
>セキュリティ
この辺の問題を良いことに、本来はバグなのに「脆弱性」という理由で修正しているんじゃないかと思ってみたり>某OSメーカー
印象が違いますからねぇ(苦笑
Posted by: ぴよ | 2005年04月25日 11:47
某OSメーカーというよりは、マスコミって感じがしますね。
いつの間にか言葉が一人歩きしてる感がありますね。(^-^;
そういえば、時々C++のコードでsprintfとかstrcpyとか使ってる物を見かけますが、驚愕です。
なんというか、初心者向け書籍でこういった関数を使っているからバッファオーバーフローにしてもバグが無くならないのかなーとか思ってしまいます。
#私がプログラムコードのテストを行う場合、こういった関数が含まれているコードを発見した際には、「不吉なにおいがする」ので見直すように、とバグとしてカウントするようにしていたりします。
Posted by: さわら | 2005年04月25日 23:41