ゲームで学ぶ、安全なWebサイト運営 | スラッシュドット・ジャパン

ゲームで学ぶ、安全なWebサイト運営 24

ストーリー by GetSet 2008年09月07日 12時00分
山下章氏に攻略してもらおう部門より

あるAnonymous Coward 曰く、

@ITの記事で知ったのですが、情報処理推進機構（IPA）が、Webサイト運営に必要なセキュリティ知識を学べるアドベンチャーゲームを公開しています（ダウンロードページ）。IPAによると、

安全なウェブサイト運営入門」は、ウェブサイトの脆弱性による被害を中心とした7つの具体的な事件を題材に、ロールプレイング形式で体験的に学習できるソフトウェアです

とのことです。

ゲーム内容はネットショップを運営する企業で運営担当を任された主人公が

電子メールの誤送信

クロスサイト・スクリプティング

SSL（Secure Socket Layer）サーバ証明書の期限切れ

ウイルス感染

サービス運用妨害（DoS: Denial of Service）

セッション管理の不備

SQL（Structured Query Language）インジェクション

といった事件に巻き込まれる、というもの。ちなみに動作環境はWindows XP/Vista。

@ITの記事を見る限り、セキュリティやWebサイト運営の基礎的な内容から解説されているそうなので、入門用教材として良いかと思われます。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

すべてのコメント取得

検索24コメント Log In/Create an Account

第一問 (スコア:2, すばらしい洞察)

by Anonymous Coward on 2008年09月07日 18時13分 (#1416894)

>ゲーム内容はネットショップを運営する企業で運営担当を任された主人公が

「第一問

知識も経験もない素人に、セキュリティが求められるWebシステムの開発を任せてはいけない。（YES／はい）」
- Re:第一問 (スコア:5, おもしろおかしい)
  
  by Lurch (10536) on 2008年09月07日 19時13分 (#1416915)
  
  それは、経営者専用バージョンの内容になります。
  
  --
  
  ------------
  惑星ケイロンまであと何マイル？
  
  親コメント
  - 新人技術者版 (スコア:0)
    
    by Anonymous Coward
    
    １、あなたは知識も経験もない新人ですが、経営者よりセキュリティが求められる
    Webシステムの開発を任されました。この仕事を引き受けますか？（Y/N)
    
    YESを選んだ人は２に、NOを選んだ人は３に進んでください。
    
    ２、大変だ！あなたの作ったWebシステムで深刻な脆弱製が見つかりました。
    あなたはその責任をとらされ、最終的にはクビになりました。
    
    ＜＜ゲームオーバー＞＞
    
    ３、あなたは社長の機嫌を損ねてしまい、窓際送りになりました。
    その後も陰湿な会社ぐるみの嫌がらせは続き、最後には鬱病になり退職届にサインさせられました。
    
    ＜＜ゲームオーバー＞＞
- Re:第一問 (スコア:5, おもしろおかしい)
  
  by takl (14577) on 2008年09月08日 1時26分 (#1417027)
  
  ロールプレイング形式というぐらいだから、
  「魔王討伐の資金に120Gしか出さない王様」
  を模したと見るべき。
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    貰う方も貰う方
    
    浮浪者同然の彼は、頂いた120Gで前を隠す為の服と竹の竿を購入して旅路についたのです。
    
    --
    冒険を舐めすぎなのでAC
    - Re:第一問 (スコア:1)
      
      by manmos (29892) on 2008年09月08日 11時09分 (#1417109) 日記
      
      裸なんだから、冒険以外の何かを舐めて欲しいものです。
      
      親コメント
      - Re:第一問 (スコア:1)
        
        by renja (12958) on 2008年09月08日 15時48分 (#1417274) 日記
        
        別に裸じゃなくても [ashigaru.jp]
        
        --
        
        ψアレゲな事を真面目にやることこそアレゲだと思う。
        
        親コメント
○○で学ぶ (スコア:1, おもしろおかしい)

by Anonymous Coward on 2008年09月07日 15時36分 (#1416846)

やる夫に見えてしまった、不覚。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  やる夫って、ホモ漫画の「やらないか」って言ってる人の事だと思ってた。
つまりこうだろ？ (スコア:1)

by Chiether (20555) <spamhere@chiether.net> on 2008年09月09日 3時35分 (#1417691) 日記

1. 電子メールの誤送信
→ 相手が受信する前に、Also-Controlヘッダで取消しを試みる。

2. クロスサイト・スクリプティング
→ 静的コンテンツのみ提供し、受注等は全てメールで行う

3. SSL（Secure Socket Layer）サーバ証明書の期限切れ
→ 信頼できるサイトに提携してもらい、そこからリンクを張られているだけの「隠れた名店」サイトを構築する。　そうするとメールでの受注も問題になるので電話あるいはＦＡＸ限定にした販売形態を取る。

4. ウイルス感染
→ 抗生物質を投与する。　手のつけようがなかったらモルヒネでもいい。

5. サービス運用妨害（DoS: Denial of Service）
→ 電話あるいはＦＡＸとしたが。紙の問題が出てくるので、電話のみ。　「ただいま大変混雑しております～」の自動音声によるディレイで防衛する。

6. セッション管理の不備
→ 輻輳は、ミカちゃんの責任。

7. SQL（Structured Query Language）インジェクション
→ ＯＫ．ＳＱＬなんて使ってない。

昔ね、そういうライブチケット販売のね……。
# 95%ネタなのでA.C.

--
==========================================
投稿処理前プレビュー確認後書込処理検証処理前反映可否確認処理後……
- Re: (スコア:0)
  
  by Anonymous Coward
  
  またACしそこねたよ。　いつものことだよ。
  某MLシステムに、メール削除の仕組み(これ [rbbtoday.com]みたいな遅延送信と削除機能)を、コッソリ入れようとして、バレて、怒られたこと。あるよ。ミンナニハナイショダヨ。
  
  でも。簡単に削除できるようになったら危機感持つ人が薄れるだろうし。
  ヒューマンエラーを、完璧に防ぐためには、やはり完璧な市民となるしかないのだろうか。
wineで動かなかった (スコア:0)

by Anonymous Coward on 2008年09月07日 14時23分 (#1416820)

しぶしぶIE6とflashplayer入れたのにそれでもダメだった。2Dエロゲー並の動作環境にしてもらえませんか。Flashで完結させるとか考えなかったんでしょうか。
- Re:wineで動かなかった (スコア:2, すばらしい洞察)
  
  by hirachan (7458) on 2008年09月07日 15時49分 (#1416851)
  
  セキュリティを教えたいなら、ダウンロードしたexeファイルを
  実行した時点で、ゲームオーバーにしないとね。
  
  親コメント
  - Re:wineで動かなかった (スコア:2, すばらしい洞察)
    
    by Anonymous Coward on 2008年09月07日 17時07分 (#1416880)
    
    Verisignのコードサイニング証明書ついてるんだから、そこを確認してから実行したのならセーフかと思うのだがどうか。
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      おお、好感度アップ
      セキュリティを騙るならこういうちょっとした手間と端金でできることはちゃんとやってもらわないとね。
      当り前の事ではあっても、それすらできない業者の多い中では誉めるに値するだろう。
      - このゲームの真の狙い (スコア:0, オフトピック) (スコア:0)
        
        by Anonymous Coward
        
        つまりIPAのプログラマが/.の住人の高感度をアップして篭絡する事が目的ですね、わかります
- Re: (スコア:0)
  
  by Anonymous Coward
  
  いまどき2DエロゲーでもDirectXが必須ですよ。
- もちろん、選択肢を選ぶと指示されたページへ (スコア:0)
  
  by Anonymous Coward
  
  FlashもAdobe製プレイヤでしか動かないなら、Windowsでしか動かないのと50歩100歩。
  ここは一つPDFで。
  - Re:もちろん、選択肢を選ぶと指示されたページへ (スコア:1)
    
    by Stealth (5277) on 2008年09月08日 23時42分 (#1417622)
    
    JavaScript だの動画だのをサポートしている PDF リーダって Adobe 製以外にどのくらいあるんですか?
    何処にも差がないようにしか見えませんけど。
    
    親コメント
- IPAらしくないなぁ (スコア:-1,アンチMS) (スコア:0)
  
  by Anonymous Coward
  
  MacとLinuxしか普段づかいしてないんですが...
  Windowsだけユーザーよりかは意識もスキルも高いだろうと見ているのか、
  それとも、Windowsでないとセキュリティが保てないとでも言いたいのか...
  
  # 内容はネットショップという前提のようですので、セキュリティ以前の問題として、
  # WindowsIE6で崩れないかどうか表示確認をしないといけない。
  # そのためのWindowsくらいはもってるべきだろうという教訓ですね
  - Re: (スコア:0, フレームのもと)
    
    by little( (31297)
    
    Windowsユーザーだから、教育が必要なの。
    他は教育イラナイって事だと思う。
    たぶん。
で、そのサイトに脆弱性が見つかったりしないのでしょうか？ (スコア:0)

by Anonymous Coward on 2008年09月07日 16時00分 (#1416853)

この場合は、仕様というのかな？
敷居を低くしたいのは分かるけど... (スコア:0)

by Anonymous Coward on 2008年09月09日 10時11分 (#1417798)

こんな物で本当に役立つのか?

実際にプレイしたセキュリティ専門家の意見が聞きたい。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ゲームで学ぶ、安全なWebサイト運営 More ログイン

第一問 (スコア:2, すばらしい洞察)

Re:第一問 (スコア:5, おもしろおかしい)

新人技術者版 (スコア:0)

Re:第一問 (スコア:5, おもしろおかしい)

Re: (スコア:0)

Re:第一問 (スコア:1)

Re:第一問 (スコア:1)

○○で学ぶ (スコア:1, おもしろおかしい)

Re: (スコア:0)

つまりこうだろ？ (スコア:1)

Re: (スコア:0)

wineで動かなかった (スコア:0)

Re:wineで動かなかった (スコア:2, すばらしい洞察)

Re:wineで動かなかった (スコア:2, すばらしい洞察)

Re: (スコア:0)

このゲームの真の狙い (スコア:0, オフトピック) (スコア:0)

Re: (スコア:0)

もちろん、選択肢を選ぶと指示されたページへ (スコア:0)

Re:もちろん、選択肢を選ぶと指示されたページへ (スコア:1)

IPAらしくないなぁ (スコア:-1,アンチMS) (スコア:0)

Re: (スコア:0, フレームのもと)

で、そのサイトに脆弱性が見つかったりしないのでしょうか？ (スコア:0)

敷居を低くしたいのは分かるけど... (スコア:0)