2005年11月23日

セキュアプログラミング講座で、試験対策する

テクニカルエンジニア(情報セキュリティ)試験は、情報セキュリティアドミニストレーター試験にはない、「セキュアプログラミング」から出題される予定だ。現在のところ、てごろなテキストが少ないのだが、以下は、IPAが準備したテキストのようなものだ。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02.html

今回は、データベースをテーマにした部分を読む。インターネット経由で、データベースにある情報を提供するサービスというのは、よくある話だが、プログラミングを誤ると、悪意ある第三者にデータベースを自由に操作されてしまう。不要なデータが書き込まれたり、データが改竄、消去されたり、場合によっては、完全な管理者権限を乗っ取られてしまうこともありうる。

商品の情報ぐらいならまだしも、個人情報や機密情報をそっくり盗まれてしまうこともあるわけで、不注意なプログラミングは責任重大である。試験対策ではなく、上のテキストがなぜ用意されているのか、よく分かる。
posted by tamaso at 23:06| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

テクニカルエンジニア(情報セキュリティ)サンプル問題で、クッキーの勉強もする

テクニカルエンジニア(情報セキュリティ)試験、サンプル問題を続ける。「会員認証の検討」の後半は、クッキーについての説明が書かれている。クッキーについては、基本的な技術だし、日常のインターネットのアクセスでしょっちゅう使われる。できれば、情報セキュリティアドミニストレータを目指す人も、テキストに一度はあたった方が良いと思う。

そもそも、HTTPのパケットの交換は、1回ずつが使い捨てのように、先のやり取りの情報を引き継いでいくということがない。しかし、現実にはネットショップで買い物をしたりする場合は、買った情報を引き続き保持しながら、Webを行ったり来たりする。そこで使われるのが、クッキーということらしい。

ID・パスワードで認証を受けたクライアントに、サーバから認証した内容をクッキーとして送信する。次回のアクセス(直後もある)の際に、クッキーとともにサーバにリクエストすると、サーバは、以前にアクセスがあったクライアントとして認識するわけである。

サンプル問題では、2つのドメインというか、サーバを使うことになっていて、一方はネット販売のための受注Web、もう一方はカタログとして使う掲載Webだ。カタログには、会員の要望に応じてカスタマイズする機能(パーソナライズ機能)があるので、これもクッキーを使って特定の会員であることをサーバに伝える必要がある。

問題文では、決済という金銭のからむ受注Webがあり、ID・パスワードが盗聴されると、なりすましによって商品が騙し取られる恐れがある。カタログを見せるだけなら、被害らしいものもないのだが、カタログと買い物のサイトを行き来する場合、クッキーが盗聴されないよう、どちらのサイトにも暗号化が必要になるというわけである。暗号化は、問題文に書かれてあるように、SSLを使う。


posted by tamaso at 00:16| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。