[port139ml:04207] Re: 絶対に見つけられないWebアプリ攻撃は存在する

[Tomoki Sanaki <sanaki@xxxxxxxxxxxx>]

佐名木@体調復活、案件終了でちょっと余裕...という者です。

長文になりそうなので、ML へ...m(_ _)m

Hideaki Ihara wrote on 2003-9/29(月) 12:44:1
>> 絶対に見つけられないWebアプリ攻撃は存在する
>> http://d.hatena.ne.jp/HiromitsuTakagi/20030928#p1

Connection: Keep-Alive であれば、なんとかなるかもしれませんね。
# Keep-Alive という条件を自分の中で作っていた自分がヘタレだと感じてしまう...

>yoggy's diary
>http://www.sabamiso.net/yoggy/tdiary/?date=20030928

アプリケーション・レベルでのログは、普通は取るのではないでしょうか?
とはいってもそれは、ビジネス・レベルのもので、
ネットショップであれば、誰がいつ、どんな商品を買ったかであるとか、
どんな情報を入力したか...など、
よりお客さん側(Web サイト運用者側)が欲しがる情報という意味ですが....
当然、そのようなデータをどのように見せるか、という管理画面の開発も
SI の中には含まれるはずです。
# 秒単位(大げさですが)のリアルタイム在庫引き当てや発注処理などは、
# IT 技術を使わないとダメでしょうし、そこが魅力なのに...
-> 一方、管理画面の開発は通常、納期ギリギリで急造仕様になるので、
   セキュリティは、さらに考慮されない場合が多いですが...
   とは言っても担当者だけが使うものという事ですので、直接的ではないですが...

話変わって問題となるのが、セキュリティホールを存在してしまったシステムが
出力するログがセキュリティ上、信用できるのか。という話になります。
-> という事で、質疑応答では「できない」と早々にこの話は終わったと思いましたが...

お客(サイト運用側)の要望のログ機能は開発案件として当然であったとしても、
セキュリティのため、または侵入事後のためのログ収集のためのモジュールを
開発するのに意味があるのか。という話にもなります。
であれば、セキュアに作ればいいのですから。
-> お客にも提案しにくいのでは?
   「侵入されてしまった場合のログ機能開発に 一人月かけます」
   って、提案されたら僕が客(発注側で、サイト運営者)なら、
  「セキュアに作れよ。っていうか作れないのか?」
   って突っ込んでしまいそうだ。

以上、よろしくお願いします

2003-10/2(木) 15:53:0 作成開始

 -----------------------------------------------------
 佐名木 智貴(Tomoki Sanaki) 
    E-mail=active@xxxxxxxxxxxxxxxxxx
 PGP FingerPrint 
 = 34E5 2A31 45C8 2CB5 3CED  0B46 F328 A402 7182 DCC6