■
Webアプリケーションのセキュリティ第6段。前回に引き続き検査手法の説明
http://www.atmarkit.co.jp/fsecurity/rensai/webhole06/webhole01.html
無ければ作っちまえということでちまちまと検査ツールを作っているが、なかなかやる気でなくて進まん^^;。もう半年以上遅々としてすすんどらんよ。いいかげんてこ入れせねば。
ぐはっ。IPフォン盗聴ソフトっていうかtcpdumpで取ったスニファのデータをwavファイルに変換するソフトがでちゃったよ。(from ヽRノ日記さんとこ)
http://www.securiteam.com/tools/6O0022K8KU.html
まあ、理論的に同じネットワークなら誰でも盗聴できるわなぁ。
http://www.zdnet.co.jp/news/0310/09/ne00_monoculture.html
至極当然なんですが。しかし、Microsoftのエンタープライズストレージ・エンタープライズ管理部門担当の上級副社長ボブ・マグリア氏の発言と思われるもんには賛同できんぞ。
たとえ多様化されたITシステムであっても共通のインタフェースを介してデータをやり取りする必要があり、そうであるからには広範な攻撃に遭う可能性に変わりはない。さらには、企業に多様化を強要するということは、効率の低下につながる。 「多様化と同時に相当の複雑さがもたらされ、日常レベルの業務を進めづらくなるはずだ」と同氏。
確かに実装が異なれば管理が大変になるが、それはあくまでシステム管理者の話であって、エンドユーザーは外面さえ同じであれば影響が無いと思うんだけど。共通化されたインターフェースであっても実装が異なれば、広範な攻撃により被害に遭う可能性は少ないと思うんですが。例えば、HTTPサーバのApacheとIISのセキュリティホールなんかそうじゃないの?とまあつっこみがいがある感じだけど、これも記者の思想が大量に含まれてるのかもねぇ。まあ、私の文章読解能力は低いのでなんともいえませんが。
