ワコールの件、トラックバックをつけていただいてありました。
で、そのブログをみて、私も同感なのですが、
どんな攻撃で被害にあったのでしょうか?被害拡散防止のためにも侵入の手口の公開を行い、注意喚起を広く一般に行うべきだと考えます。
たしかに。日経コンピューターあたりで、詳しく取り上げていただきたいものです。
で、それとは、ちょっと違った話になるけど、いつも思っていることで、最近って、安易に、HTTPサーバー側に、DB置いちゃってません?
それって、クラックされやすいし(結局社外においてあるんで)、HTTPサーバーがやられたら、おしまいになってしまう気がします(つまり、そのサーバーに入れなかったら、手が打てなくなる)。
で、こういう提案は、あまり受け入れられないのですが、これへの対策で
「サーバー側は、社内にWebでの登録内容をメールで送り
(必要なら暗号化する)、
ファイアウォールを利かした社内で、メールを自動的に解釈し、
社内DBサーバーでデータを更新して、
結果をメールでおくりかえすか、
FTPで、サーバーにおくる」
という方法があります。
これだと、サーバー側は、メールを送るだけで、DBを持たないです。
このことは、アタックに強くなると同時に、共用サーバーの場合、DBのバージョンアップが容易にできます(共用サーバーの場合、DBのバージョンアップは、レンタルサーバー屋さんに左右される)。とくに、レンタルサーバー屋さんのDBバージョンアップで、過去のソースと互換性がなかったり、そのバージョンで脆弱性があったとしても、共用サーバーなら、自分では、どーしょーもなくなってしまいます。
それに対し、メールでおくる方法にすれば、DBは社内にあるので、不正アクセスされにくいし、バージョンアップ、長時間のバックアップ、サーバー負荷などに対しても、柔軟に対応できる。
メールを自動的にDBへ登録するプログラムは、Linuxかなんかのばあい、たしか、.hostsファイルに、そのアドレスのメールが着たら、このプログラムを起動しろ!って書けばよかったんじゃなかったっけ?
最後の、登録成功に関しては、
・登録後、「メールで返事します」というページをだして、メールで返事してもいいし、
・登録後、社内サーバーからFTPで、HTTPサーバーに、
最後の「更新しました」ページを書き出し、
サーバー側は、そのページが書き出されるまで、まって
(ファイルの存在をチェック、なかったら、一定時間sleepして、
またチェック、これを繰り返し、
ある一定回数以上調べても、ファイル書き出されなかったらエラー)
ファイルが書き出されてたら、locationで、それを表示する
っていうかんじでいけるんじゃないかしら。
ただ、これは登録とか、顧客データなどの重要データの検索にたいしてだけで、ほかの公開してるようなデータの検索まで、やる必要はない(そーいうのは、DBを使わないならファイル検索とかでもいい)と思うけど。。
まー、複雑になるけど、これだと、共用サーバでもできるし、メールからDB登録のプログラムを共有化すると、結局メールフォームがおくれるデザイナーさんだけで、画面まわりをつくれる(サーバー登録周りも、難易度がさがるし、登録まわりと、画面周りをまったく切りはなせられるので分業して作業できる)。
なんつーかんじで、結構メリットあると思うけど。。どーだろ。
(ちなみに、この手段は、Webアクセスできず、メールだけ許されている会社(大手に常駐派遣などである)において、作業報告などをおくったり、社内データを検索するときに利用される。
ローカルに登録ホームページをおいて、http://127.0.0.1/XXXX.htm(またはXXXX.cgi XXXXはてきとーに)で登録(formでactionをmailtoにする場合は、ローカルにHTTPサーバーがなくてもOK)、その結果を、メールでおくる。結果は、メールで知るっていうかんじね。
ばかげてる!とか思うかもしれないけど、最近の一流企業様たちは、Webを自由に使わせてくれないのよ。。ほんとほんと)
アクセス
トータル
ランキング
