投稿日:

ホームページの掲示板

ホームページに掲示板を付けることは、初期のサイトにはよく見られた。これは、

サイトを作成→コメントをもとめる

と言う自然な流れであった。ある意味、Web2.0の大元である。しかし、現在、日本では掲示板と言えば、スパムによる書込、出会い系、学校裏サイトなど犯罪や暗い面がクローズアップされている。弊社では企業などのホームページに掲示板を設置することは勧めていない。どうしてもという場合はブログシステムの採用を勧めている。

それでも、まだ多くの掲示板が、個人サイトには設置されていたり、放置されている。その掲示板に脆弱性が見つかった。(CNET記事:CGI RESCUE製の電子掲示板にクロスサイトスクリプティングの脆弱性

CGI RESCUEのサイトには多くのフリーのプログラムが公開されていて、利用しているサイトも多く、影響は大きい。残念ながら、掲載されているプログラムは最新の脅威に対応できていなかった。しかし、これら、フリーソフトの作成者を一方的に責めることはできない。ソフトの採用を決定する責任はあくまで、サイト主催側にある。どういう目的のサイトかよく考え、闇雲に無料だからとフリーのプログラムの採用をするのは、危険である。企業サイトでは、フリーソフトの採用はあり得ないが、オープンソフトの採用でも、その制作者やプログラム自体を良く吟味する必要がある。

投稿日:

ブログの検索結果掲載止まる

ついに、グーグルにブログの検索結果の掲載が止まった。発見から6ヶ月、対策を始めてから5ヶ月ぐらいかかった。

現象は、少し複雑である。まず、ブログシステムの記事検索を使用していることが条件である。このブログにもある検索窓の設置である。しかし、グーグルやヤフーの検索窓ではなく、ブログシステムの検索窓である事が必要である。

この検索窓で検索を行うと、その検索結果表示URLは、[ブログのURL]?s=[検索キーワード]と言う形になり、直接リンクができる。グーグルはなぜか、このURLを[検索キーワード]の検索結果として登録してしまう。

検索キーワードが意味のあるものであれば、それほど、気にならないが、なぜか、送りがなだけや接尾語など、それだけでは意味のない語が多かった。これでは、検索エンジンが判断するこのサイトの重点キーワードも変わってしまうと考え、対策を行った。

対策は “ブログの検索結果掲載止まる” の続きを読む

投稿日:

ホームページから電話する

IP電話などを調べている時に、ホームページにボタンをつけて、問い合わせの電話ができるようにしたいと言う話があった。IP電話(インターネット回線でパソコン同士を音声でつなぐ電話。スカイプをイメージしてもらえれば判りやすい)なら、できると考えたが、これにはパソコン上にIP電話ソフトとヘッドセット(スピーカーとマイク)が必要で、一般的ではないと考えていた。

ところが、「PCが家庭用PBXに」と言う記事を読んでいて、JaJahのホームページにそのような技術が有ることを知った。ホームーページ上のボタンをクリックすると、自分の手元にある固定電話機の電話番号を入力する画面が開く。入力後、しばらくすると先方から電話がかかってくるのである。ソフトの導入も、ヘッドセットも入らない。電話があれば先方からかけてくれるのである。

ホームページは24時間稼働で、オフィスが開いていない間も、問い合わせフォームから連絡を受けられるが、誰かいるなら、電話で話した方がお客さんも安心することが多い。フリーコールなどより、ホームページでは、電話を先方からかけてもらうサービスは有効かもしれない。

投稿日:

Web改ざん急増

このブログでも、何回かとりあげたが、いろいろな方面で、SQLインジェクションという方法によるWeb改ざんが急増していることが報告されている。今度は、セキュリティソリューションサービスの株式会社ラックがそのレポート、CSL(コンピュータセキュリティ研究所)レポート「ビジネス化がさらに加速するサイバー攻撃」のなかで、これらの脅威について発表している。

要約すると以下のようになる

  • グーグルの検索機能を使い脆弱性の有るサイトを見つけている
  • 一連の作業はプログラムで完全に自動化されている
  • SQLインジェクションを糸口に改ざんされる(データベースから公開されていないデータを取得する)
  • 改ざんされるとJavaScriptプログラムが埋め込まれ、重要情報などを盗まれる

最近弊社がチェックしたサイトも、データベースを操作される可能性を残していた。別のサイトではログインの部分ですらSQLインジェクションが可能であった。

攻撃は自動化されているので、自社のサイトは有名でないから大丈夫などと考えず、チェックを行って欲しい。チェックポイントとしては

  • データベースを使っていないか?
    ブログや問い合わせで使用していることがある。
  • 開発を依頼した検索、登録などのフォームにSQLインジェクションの脆弱性がないか
    IPAのホームページにツールがある。あるいは、開発を依頼した先とは別の所にチェックを依頼する。
  • アクセスログに異常なアクセスがないか?
    データ転送量が急に増えたり、作成していないページにアクセスがないか?

アクセスログはホームページの改善にも役立つので、ぜひ、チェックして欲しい。

投稿日:

サイト脆弱性関連情報増加

IPA、独立行政法人 情報処理推進機構が、また、脆弱性関連の情報届出が増加していると公表している。

ウェブ関連では、SQLインジェクションが増えているとしながらも、攻撃成功には至っていないようである。多いのは、クロスサイトスクリプティングで、どうやら、攻撃側も簡単で効果が大きい方を優先しているようである。

クロスサイトスクリプティングはホームページの問い合わせなどのフォームを制作する際に、配慮が足りない場合に引き起こされる。安全と思われるURLをクリックしたのに、いつの間にか、架空請求のサイトが表示されるといった具合である。オープンソースのプログラムなどを問い合わせフォームなどに使用する場合は、十分注意が必要である。オープンソースの作成者のなかには、このような配慮に思い至っていなかったり、ウェブ制作会社でもプログラムの知識がまったくなかったりすると、見落としがある。企業サイトでは、内容の理解や出所を知らないまま、オープンソースを使用するのはリスクが大きい。

改めて、自サイトの申込フォームなどの点検をしてほしい。