2005年11月23日

セキュアプログラミング講座で、試験対策する

テクニカルエンジニア(情報セキュリティ)試験は、情報セキュリティアドミニストレーター試験にはない、「セキュアプログラミング」から出題される予定だ。現在のところ、てごろなテキストが少ないのだが、以下は、IPAが準備したテキストのようなものだ。

http://www.ipa.go.jp/security/awareness/vendor/programming/a02.html

今回は、データベースをテーマにした部分を読む。インターネット経由で、データベースにある情報を提供するサービスというのは、よくある話だが、プログラミングを誤ると、悪意ある第三者にデータベースを自由に操作されてしまう。不要なデータが書き込まれたり、データが改竄、消去されたり、場合によっては、完全な管理者権限を乗っ取られてしまうこともありうる。

商品の情報ぐらいならまだしも、個人情報や機密情報をそっくり盗まれてしまうこともあるわけで、不注意なプログラミングは責任重大である。試験対策ではなく、上のテキストがなぜ用意されているのか、よく分かる。
posted by tamaso at 23:06| Comment(2) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
はじめまして。
今週初めくらいからこちらを密かに読ませていただいてました。
私も来春TSを受けようかと思っています。
私も昨日IPAのセキュアプログラミングの第1章を読み終えたところです。
ちなみにSSも先月受けましたがおそらく↓です。
できの悪さに自己採点する気にもなりません。(××)
そんなことはさておき私は、EC(BtoC)サイトの開発を職業にしています。
本当に2・3年前とは状況が違ってきてると感じます。
一昨日ワコールの事件がニュースになりましたし、すでに対岸の火事ではない感じです。
http://www.itmedia.co.jp/enterprise/articles/0511/22/news110.html
気をつけないとです。

とりあえず今週末セキュアプログラミング第2章を読む予定です。
お互いに勉強頑張りましょう。
Posted by hkoba at 2005年11月24日 17:05
コメントありがとうございます。
実際、今までこういうことに多くの企業が無頓着だったと思います。が、こういう啓蒙というか、危険性を知らすことは「スクリプトキディ」を生むこともあるかも知れません。「あぁそうか。いっちょ試してみるか」みたいなノリで、いたずらしてみるという。ただし、これをほんとにやってしまうと、犯罪なんですけど。
Posted by tamaso at 2005年11月24日 23:31
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。