peketaminの日記

その辺のプログラマーのチラ裏です。

セキュリティどうしたらいいの…

大手さんでも防げないんだったらもうどうしていいのかアワアワ

とりあえず印象にあるニュースを羅列してみる。
記事を読んでもフーンで終わってしまうのと、識者のコメントが見たいので、はてブページにリンク


あと隊長こと、やまもといちろうさんの記事

これは前のJINSの。

ううむ

Yahooさんとかエンジニアの体制や層がしっかりしているような印象があったので、
それでもこうなるのかと思うと、なにをやっておけばいいのか分からない。

ターゲット型攻撃の前にはもう何をやってもベストエフォートでしかないんじゃないか。。。
むしろ流出を前提で、悪くないお詫びの仕方、保険のかけ方、とかを決めておいたほうがいいのか?

それでもやらないよりやった方がマシだろうから、いくつか気をつけようと思った。

書き出していくと…?

それで、とりあえず、最近のだとこんなところだろうか。

  • パスワードを平文で保存していた
  • クレジットカードのセキュリティコード (カード裏面の3桁とかのやつ) も保存していた
  • 見えてはいけないディレクトリが見えるようになっていた
  • 管理者画面のID/PWがよくあるやつだった
  • SQLインジェクション
  • 普通にコードの脆弱性を突かれた

これらをやらかさないように気をつけて、じゃ、あとはよくある、

  • OS, インフラ, 言語, フレームワークは可能な限り最新の stable を使う
  • そして可能な限り定期的に継続的アップデートをチェックし、適用する
  • XSS, CSRF 対策を入れておく
  • ログイン連続試行を制限する
  • 管理側の アクセス元 IP を制限する
  • HTTP ヘッダーで余計な情報を送出しない

(中略)

  • telnetデーモンを落としておく、余計なサービスを落としておく
  • sshポートを変更しておく、ログインを秘密鍵方式にしておく
  • DBサーバーのポートを外部からアクセスできるようにしない
  • セッションIDはローテーションさせ…

結局

だ、ダメだ、ここに書くには多すぎる。
ちゃんと IPA さんがチェックリストとしてまとめてくれているので、
ちゃんと見なおしておこうと思いました。
(よく紹介されているやつです)

安全なウェブサイトの作り方

こういうありがたいチェックリストを公開してくださってます。

f:id:peketamin:20130528204927p:plain
f:id:peketamin:20130528205007p:plain

あと、ここ。

PHP と Web アプリケーションのセキュリティについてのメモ
PHPでの例を交えて説明してくださってます。親切!

他、「セキュリティチェックリスト web 開発」で検索する、など。