情報処理学会の会誌「情報処理」2014年1月号(きょうくらいに来たやつ)
の巻頭コラム、水戸黄門でお風呂入ってた由美かおるさんが正四面体タイル定理を説明
している(@_@!)
・・・入浴シーンはない。
の巻頭コラム、水戸黄門でお風呂入ってた由美かおるさんが正四面体タイル定理を説明
している(@_@!)
・・・入浴シーンはない。
『セキュア・プログラミング講座(Webアプリケーション編)』第2弾:マッシュアップ(12/13)で、JQueryの脆弱性について言っていたというのは、前に書いたけれど、これって、ウィルスより危険なんじゃないか?
■危険な理由その1:どんだけ、脆弱性があるかわからない
話にあったのは、JQueryの(障害番号?)9521という番号で修正されているものなんだそうだけど、これの問題点がわかりにくい。
ちなみに、
jQueryにおけるXSSを引き起こしやすい問題について
http://subtech.g.hatena.ne.jp/mala/20110624/1308881526
の「典型的なXSSの事例」が、この問題について書いているみたい。
さらに、これ以外に脆弱性があるのかどうかもわからない。
■危険な理由その2:全サイトが脆弱性対策できるわけではない
仮に、この問題で、攻撃手法がわかったとする。
で、このとき、現在は修正されているそうで、かつ、昔のバージョンも
修正されているそうだ。だから、CDNでJQueryをリンクしているところは、
問題ないかもしれない。
しかし、JQueryは、かならずしもCDNを使わない。
自分のローカルで、JQueryを持っている場合がある。
そうすると、このJQueryは、脆弱性対策されないままである。
→攻撃手法がわかったら、攻撃できてしまう。
その上、クラッカーさんに、脆弱性があることがばればれである。
(CDNか、ローカルにJQueryを置いているかどうかは、
ソースコードを見れば分かる。
ローカルにJQueryがある場合、そのソースコードを見れば、対策している
かどうかもわかる)
■危険な理由その3:これらを公開する機関がわからない
これらの脆弱性が今後も見つかった場合、
どこの機関がこれらの問題点を公開して、対策をたててくれるのか、
さっぱりわからない。
IPAなのだろうか・・・
セキュリティ会社?
というかんじで、ウィルスだと脆弱性が見つかれば、
シマンテックさんや、ノートンさんが何とかしてくれるが、
JQueryだと、だれも何もしてくれない・・・
これは、ウィルスより、危険じゃないだろうか?
■危険な理由その1:どんだけ、脆弱性があるかわからない
話にあったのは、JQueryの(障害番号?)9521という番号で修正されているものなんだそうだけど、これの問題点がわかりにくい。
ちなみに、
jQueryにおけるXSSを引き起こしやすい問題について
http://subtech.g.hatena.ne.jp/mala/20110624/1308881526
の「典型的なXSSの事例」が、この問題について書いているみたい。
さらに、これ以外に脆弱性があるのかどうかもわからない。
■危険な理由その2:全サイトが脆弱性対策できるわけではない
仮に、この問題で、攻撃手法がわかったとする。
で、このとき、現在は修正されているそうで、かつ、昔のバージョンも
修正されているそうだ。だから、CDNでJQueryをリンクしているところは、
問題ないかもしれない。
しかし、JQueryは、かならずしもCDNを使わない。
自分のローカルで、JQueryを持っている場合がある。
そうすると、このJQueryは、脆弱性対策されないままである。
→攻撃手法がわかったら、攻撃できてしまう。
その上、クラッカーさんに、脆弱性があることがばればれである。
(CDNか、ローカルにJQueryを置いているかどうかは、
ソースコードを見れば分かる。
ローカルにJQueryがある場合、そのソースコードを見れば、対策している
かどうかもわかる)
■危険な理由その3:これらを公開する機関がわからない
これらの脆弱性が今後も見つかった場合、
どこの機関がこれらの問題点を公開して、対策をたててくれるのか、
さっぱりわからない。
IPAなのだろうか・・・
セキュリティ会社?
というかんじで、ウィルスだと脆弱性が見つかれば、
シマンテックさんや、ノートンさんが何とかしてくれるが、
JQueryだと、だれも何もしてくれない・・・
これは、ウィルスより、危険じゃないだろうか?
アクセス
トータル
ランキング
