« USBの距離をRS485で延ばす:トランジスタ技術10月号より | トップページ | 伊丹空港の貧弱さ:検査に大行列-いくら連休の前日でも・・・ »

2012年9月14日 (金)

Yahoo! Voicesのパスワード漏洩の原因がSQLインジェクションだったなんて-量が質になるということ

 日経システムに連載されている「鴨志田昭輝のセキュリティ事件簿」は、毎回1ページの記事で、セキュリティ事故について簡潔に解説してあって、毎号愛読している。9月号の記事に、Yahoo! Voicesのパスワード漏洩の原因がSQLインジェクションだったということが載っていた。
 SQLインジェクションなんて、初心者でも知っている古典的な手口であり、その防御方法は教科書に必ず載っている。そんな初歩的なミスをYahooともあろうものがやるなんて、と読んだ時には思ったのだが、それは現場の実態を知らない者の感想のようだ。
 セキュリティホールは1カ所でもあると、そこから侵入される。サイトが膨大になると全てのセキュリティホールを閉じるのは難しい。
 たとえていえば、家の鍵のようなものだろう。SQLインジェクションは古典的な手口なので、家を狙う泥棒にたとえれば、ドアノブを回してみて空いていれば侵入するという程度の手口である。普通の家なら、数個の鍵しかないので、その家の持ち主は全ての鍵をかけているので、SQLインジェクションという泥棒は入ってこれない。しかし、これが大きな屋敷になって、1000個の鍵があるとする。そうすると、1個くらい鍵をかけ忘れるかもしれない。1個でもかえわすれれば、ドアノブを回してみて空いていれば侵入するという手口しかできない泥棒でもその家に侵入できるというわけであろう。
 つまり、量が質になるのだ。ソフトウエアの世界では、この手の事例は山ほどある。サーバーに数台の端末をつなぐなら簡単に動いていても、1000台つなごうとすると工夫が必要となり、100万台つなぐには全く次元の異なる技術が必要になるのである。

« USBの距離をRS485で延ばす:トランジスタ技術10月号より | トップページ | 伊丹空港の貧弱さ:検査に大行列-いくら連休の前日でも・・・ »

パソコン・インターネット」カテゴリの記事

技術」カテゴリの記事

開発業務」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/568535/55649980

この記事へのトラックバック一覧です: Yahoo! Voicesのパスワード漏洩の原因がSQLインジェクションだったなんて-量が質になるということ:

« USBの距離をRS485で延ばす:トランジスタ技術10月号より | トップページ | 伊丹空港の貧弱さ:検査に大行列-いくら連休の前日でも・・・ »

2017年12月
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

公告

  • Google Adsense
無料ブログはココログ