ウェブアプリをソースごとパクる業者に対する対策 - Qiita
こんにちは。みなさんもウェブアプリをリリースしたあとに同業者にソースごとパクられたことってありますよね。難読化しても難読化されたまま同業者のサーバで動くので困ったものです。そこで、私がとった解析しずらい対策をまとめてみたいと思います。 前提 多機能な画面をJavaScriptでゴリゴリ作ったのにもかかわらず、HTMLやCSS、JavaScriptファイル一式を自社サーバにまるごとコピーして、ライセンス表記だけ書き換えて使うような業者を罠にはめるということを想定しています。 当然通信をリバースエンジニアリングする人もいるので、自社サーバでは防げないという前提です。 HTMLにはauthorメタタグ よくあるMETAタグで権利者を明記します。これは権利の主張もそうですが、JavaScript自体に権利者が認定した権利者でなければ無限ループを起こすという処理のためにも使用します。逆に、権利者が我
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
フィードリーダーの脆弱性まわりのこと
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点
【事例研究】生体認証キャッシュカードの危険性(1)安全性やコストを検討したか
ビジネス上のリスクが顕在化したとき、対処する方法は色々ある。ビジネスの枠組みを変えてリスクがリスクではないようにしてしまう、ビジネスのやり方は変えず新しい技術や手法を導入し防御する、などである。 このうち、新しい技術による防御策は、「最新技術を採用」と対外的に発表できるし、実際にメディアの受けがよいため、リスクが発生している緊急時にすんなりと採用されやすい。ただし、技術を使う時にはトレードオフを常に考慮しなければならない。技術にかかるコストや副作用を見極め、技術を導入する場合としない場合の損得をよく考えるのである。技術の導入を見送り、ビジネスそのものを見直したほうが得策となることも多い。 リスクマネジメントにおける最新技術導入の是非を巡るテーマとして、銀行が発行している生体認証機能付きキャッシュカードを取り上げる。筆者は、生体認証付きキャッシュカードは導入すべきではなかったという意見を持っ
【事例研究】生体認証キャッシュカードの危険性(2)変更不可能な指紋や静脈データを使ってよいか
「前回」に続き、リスクマネジメントと技術導入のトレードオフを巡る事例として、銀行の生体認証機能付きキャッシュカードを取り上げる。今回は、2005年12月14日に日経ビジネスExpressの特別番組『不屈の経営』の中で公開した『メガバンクの生体認証キャッシュカード、安全性を巡るいくつかの論点』を再掲する。本稿では、インターネット上に公開されている論文を引用しつつ、生体認証機能付きキャッシュカードの是非を考えるための論点を整理してみた。枠組みは現在も有効と思うので再び掲載する次第である。 三井住友銀行が2005年12月19日から、「生体認証キャッシュカード」の受け付けを開始した。預金者の指2本の静脈パターンデータをICキャッシュカードに登録、このデータを使って本人かどうかを確認する。メガバンクにおける生体認証キャッシュカードの導入状況を見ると、東京三菱銀行が先行しており、三井住友銀が2行目とな
【事例研究】生体認証キャッシュカードの危険性(3)セキュリティ強度はかえって下がる
前回記事の中で、ニーモニックセキュリティ代表取締役の國米仁氏が書いた「奇怪論理と優良誤認に脅かされる情報セキュリティ」という論文を紹介した。この論文は、理詰めでものを考えない国民性への批判にもなっており、大変面白いので、情報セキュリティに関心がない方もぜひ読んで頂きたい。 たまたま2006年4月12日に、日本経済新聞が朝刊の1面で、ニーモニックセキュリティの技術を紹介していた。國米氏は、生体認証技術を本人確認へ使うことを批判する一方、4桁の暗証番号を代替する方法を提案している。新聞記事を受け、日経ビジネスオンラインに2006年4月17日付で『生体認証の怪 かえってセキュリティ強度が下がるのはなぜ?』というコラムを書いた。 このコラムには読者から反応があり、質問をいくつかいただいた。質問の多くは、コラムの中で紹介した本人認証技術に関するものであった。そこで2006年5月29日付で、『続・生体
奇怪論理と優良誤認に脅かされる情報セキュリティ
奇怪論理と優良誤認に脅かされる情報セキュリティ Information Security threatened by illogical arguments 國米 仁 株式会社ニーモニックセキュリティ Jin Kokumai Mnemonic Security, Inc. 要旨: 論理の整合性だけでセキュリティが成り立つものでないことは言うまでもないが、整合した論理の存在しないところにセキュリティが成り立ちえないことも明々白々である。筆者がこれまで遭遇した奇怪な論理の数々を検証し健全な情報セキュリティ理論の構築に寄与したいと考える。 Abstract: Prevailing are a lot of queer and illogical arguments about information security. We naturally have to see corporate ma
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
