July 03, 2006

cnetの方に、「HTMLに詳しくないと理解できない脆弱性もある」というタイトルでエントリ書いておきました。

今度おこなうWebSig24/7のオフラインミーティングで、セキュリティについてのお話をしてもらうのですが、それに関連するエントリです。

セキュリティの難しいところは、多くの人にとって「自分には関係ない」と思い込んでいるところだったりしますね。

しかし、現実的には大きなサイトでも、小さなサイトでも個人情報のやりとりが行われているわけですが、ここ最近はwinnyによる個人情報流出がクローズアップされていましたが、その前は、Webサーバの設定やプログラム、設置の問題で個人情報の流出騒ぎが頻発していましたね。

フリーのアンケートcgiを正しく理解せず設置してしまうケースとか、自前でタチの悪いphpコードを書いてしまうとか、脆弱性を作りこむ方法はいろいろ考えられます。

理由として、Web業界の悪しき慣習にある「わからないことを安請け合いしてしまう」というのもあるのかもしれないなぁと思いました。

昔からWeb業界には「とりあえずできますと言っておけ」的な根性論的価値観ってのがあるものですが、そんなノリで大事な個人情報を取り扱われたらたまらんです。

意外と小さなcgiほど個人情報を取り扱うプログラムだったりしますしね。

フリーのcgiを使うにせよ、PHPなどを使って簡単にプログラムを作るにせよ、本音では、自分の肩書きがエンジニアであると語れない人には、そういうのを仕事で作ったり設置して欲しくないですが、そういうのも含めて、今回の会議では、良い判断基準みたいなのが得られるんではないでしょうか。

最も怖いことは「無知」です。まずはそこの改善ができたらいいなぁと思います。

僕にとっても知らないことや、断片的な知識があっても体系化できていないことがあると思うので、非常に楽しみです。