Webサイトにも安全マークを 34
ストーリー by wakatono
まずは危険マークから 部門より
まずは危険マークから 部門より
isi 曰く、 "インターネットセキュリティ情報サイトNet Securityでは、スクリプトおよびクッキーの使用を「強要」しているサイトは「R-MS」マーク、さらに、過去に危険なスクリプトで利用者に被害を与えたことやサイト改竄、個人情報漏洩などの事件を起こしたことがあるにも関わらず、スクリプトをオンにしないと利用できないメニューや機能があるサイトには、より危険度の高いサイトとして「R-MSX」マークを表示することを提唱しています。まるで旅館の安全マークみたいですね。内容は逆ですけど。
ちなみに「R-MSX」マーク対象サイトにはmsn
やオリコ
など、Nimda騒動で名を馳せた勇名どころが挙げられています。
なお、「R-MSX」マークは デザイン募集中、だそうです"
まぁ、一度やっちゃったところが「もう対策したから大丈夫」といっても、にわかには信じがたいものがありますな。具体的に「どういう対策をどう打ったからどう大丈夫」というのが「素人目にも」分かるようになってればいいのですが、なってないというのが現状だし…つぅか、特定の会社の特定の実装だけでしか満足に見れないってだけですでにアレですな…
スクリプト(javascript)とクッキー使わずにECサイトは (スコア:2)
Re:スクリプト(javascript)とクッキー使わずにECサイ (スコア:1)
欧州議会がcookie禁止法案を来週採決 [srad.jp]
のコメントで色々議論されてます。
最近、Cookieへの風当たりが強くて、Web系技術者としては頭の痛い限りです。セッション管理はやっぱCookieがいいですよね。そのうち「hiddenのみが許された世界」とかになりそうで怖いです。(^^;
Re:スクリプト(javascript)とクッキー使わずにECサイ? (スコア:0)
情報なので、ローカルに保存して改変し、それを
ブラウザで読み込んで処理を継続する事でなんらかの
行為も可能ですよね。
それを防止するためには HTTP_REFERER を参照し
サーバから正しく送り出されたコンテンツに
基づいているか確認するという手はありますが
HTTP_REFERER は必ず得られるものと
Re:スクリプト(javascript)とクッキー使わずにECサイ? (スコア:1)
漏れる漏れないの話と、ローカルで改竄される話は、別です。
Re:スクリプト(javascript)とクッキー使わずにECサイ? (スコア:1)
HIDDENに埋め込んだセッションIDは、FORMで渡さないと いけないんですよね。
でも、それだと全部SUBMITボタンでページを移動しないといけなくなっちゃう気がするんですが。
PHPとかでセッション管理をすると、FORMなしでセッションIDが渡せるcookieは便利です。
いちいちSUBMITボタンによる遷移をしなくても、ただ表示するだけのページでもセッション確認できますから。
なりすましや漏洩が心配なら「セッションの切断」のページを用意して、そこでcookieを消すとかすればいいんじゃないでしょうか。
もちろん、セッションcookieの有効期限は過去の時間にしてブラウザが終了した時点で消えるように。
cookieに代わるセッション管理の手法があれば(もちろんJavaScriptを除く)R-MSもいいと思いますが、今のところ思いつきません。
原文を書いた人は、代替案も書いてくれるともっと説得力があって支持してくれる、採用してくれる人も多かったと思います。
Re:スクリプト(javascript)とクッキー使わずにECサイ? (スコア:0)
なくて、改変して(何らかの手段でうまく)偽装できれば
他人に覗き見されてしまうという可能性を言っているの
かも。(そんなことが可能なのかどうか分かりませんけど)
でもそれは cookieも同じような... 永続保存では
なくセッションのみの cookieなら大丈夫なのかな。
ほへ、よー分からん ^^;
Re:スクリプト(javascript)とクッキー使わずにECサイ? (スコア:3, 参考になる)
「cookieでなくhiddenで」という発言の意味は、cookieだとクロスサイトスクリプティング脆弱性を確実に排除せねばならないがそれに自信を持てないという点と、ブラウザのMS01-055のような欠陥の影響を受けて危険だから、hiddenでという話なのでしょう。
詳しくは例えばここの資料の一つ目と五つ目が参考になるかもしれません。 http://www.shoeisha.com/event/sec/session/index.html [shoeisha.com]
R-MSだけならごまんとある (スコア:2)
EC でもなんでもない、ただ単に見るだけのサイトなのに、
1. JAVAスクがないとトップのページから一歩も動けない
2. クッキーを返さないと「アクセスできません」と言われる
3. REFERER がそのサイト内でないと「だめだよん」と言われる
1は大企業などにわりとよく見かけるパターンで、まあ、「善意の出来損ない」くらいに解釈 してあげてもいいけど、2, 3 は「悪意に満ちたサイト」としか思え無いなあ。
例を挙げるなら、
1 は J-PHONE [j-phone.com]
2 は http://www.cardginza.com/ [cardginza.com]
3 は NIKKEI NET 記事検索 [nikkei.co.jp]
など。アクセスしてむかつくこと間違いなし。
Re:R-MSだけならごまんとある (スコア:1, 参考になる)
Re:R-MSだけならごまんとある (スコア:0)
事がサイトにとって意味があるので、特定のページ
だけを見てもらう事を避けて正しいルートでページを
たどって欲しいという要求は理解できます。
で、それを実現するために REFERER を要求すると
いうのはまぁ..「悪意に満ちたサイト」とまで
言うのはためらうなぁ。
#悪意ってなに? :-P
悪という字そんなに印象悪いか (スコア:2)
つまり「事情を知らずに」というのが善意。悪意はその逆ということで。
Re:悪という字そんなに印象悪いか (スコア:2)
char *A;
モータースポーツ部 [slashdot.jp]
Re:悪という字そんなに印象悪いか (スコア:0)
極悪とかむかつくとか書いてあったので
てっきり「他人に害を成す意思」の方かと
思っていました。
R-MSって (スコア:1)
Re:R-MSって (スコア:3, おもしろおかしい)
MSはMalicious Siteかなぁ。「悪意があるサイト」。意味は間違いないけど。
心配なのは、Recommended-by-MicroSoftなんて解釈が出てくることだったり。宣伝されたら完全に負ける。
Re:R-MSって (スコア:0)
Re:R-MSって (スコア:2)
"MS"ってのはやっぱりMicrosoft?
Re:R-MSって (スコア:1)
するサイトは作れるからなぁ。MSがMicro$oftの略というのは
違うような。でもこの業界でMSといえば、マイクロソフトかモビルスーツの
どちらかでしょうし。
#M$--Microsoft
#MS--モビルスーツ
#にしようか
Re:R-MSって (スコア:2, おもしろおかしい)
ミッションスクールの人が困ります。
かつて"MS系のお嬢様学校"とか言う記述を見つけて
あの素敵な稼動音鳴り響かせるお嬢様方が闊歩する学校を想像したのは言うまでも無い。
Your comment has too few words per line 出るなあ。
MSって (スコア:1)
私立白丘台女子高校?
はげしくオフトピやね(^^;
MS=Mobile Suite Re:R-MSって (スコア:0)
Re:MS=Mobile Suite Re:R-MSって (スコア:2)
>そこまでガンダムが浸透しているのか?
おっしゃる通り+1
一見「ガンダム世代」が多そうにみえるけど、そうじゃないかもしれないものね。
事実、サーバー名に「zaku.xxx.co.jp」とかつけてるのって見たことないし
Re:MS=Mobile Suite Re:R-MSって (スコア:1)
>にはそこまでガンダムが浸透しているのか?
/.J以外として,ZDNetの
携帯から「アムロ行きます!」は“ストロングバイ!”に認定? [zdnet.co.jp]に
次の記述があるが...
> ZDNetが,いつからガンダムサイトになったのかは
>不明だが(笑),ここまで言われてしまってはレビ
>ューしないわけにはいかない。脇で編集長が「うち
>はIT情報サイトなんだよぉぉお」と吼えていても,
>読者の期待を裏切るわけにはいかないのだ。ガンダ
>ムサイトの名誉にかけて――。いや,ちがうか。
少なくともマイナーではないと思うが.
Re:R-MSって (スコア:0)
Restrict もしくは、Restrictionの略では?
Re:R-MSって (スコア:1)
Re:R-MSって (スコア:1)
ロゴデザインはやっぱあれ? (スコア:1, おもしろおかしい)
MSXのロゴにR-付けただけのものが多数応募されそうですな。
Re:ロゴデザインはやっぱあれ? (スコア:0)
バランスが激しく悪いのがまた乙。
どうやって猫に鈴をつけるか? (スコア:1)
腕に覚えのある方、アイディアをお持ちの方は、是非投稿して欲しいです。
もうひとつ問題があります。それは「どうやって猫に鈴をつけるか?」
「R-MSX」マークは、あくまでも「Net Security」が提唱しているだけで、法的拘束力もなにもありません。当然、msnやオリコが自発的につけてくれる訳がありません。
でも方法はあります。Webサーバー側で付けてくれないなら、Webブラウザで付けるようにしてしまえば良いのです。
別の問題でこれを実践 [bugnosis.org] しているところがありますね。「Net Security」も「提唱」だけでなく、「実践」を期待したいところです。
Re:どうやって猫に鈴をつけるか? (スコア:1)
Re:というか、 (スコア:0)
それより、MSX って名前、引っかからないんだろうか。アスキーさん、どうなの?
敗者復活戦は無いの? (スコア:1, 興味深い)
一回のミスがいつまでも付きまとうのはどうかと。
まあ、スクリプト使うの止めれって事なんだろうけど。
Re:敗者復活戦は無いの? (スコア:1)
R-X68000 とか R-TOWNS とかにはならないのでしょうか?
Re:敗者復活戦は無いの? (スコア:1)