« USBの電流を2倍にする方法 | トップページ | 万全、という言葉 »

2005.05.24

SQLインジェクションは欠陥か否か

記事を読むと、kakaku.comのもともとの原因はSQLインジェクションだったそうで。 (参考:@IT「Webアプリケーションに潜むセキュリティホール」より、顧客データがすべて盗まれる?!~OSやデータベースへの攻撃~) しかし…

今回は、プログラムに欠陥がなくても、コンピューターが正規の命令か悪意の ある命令かは判断できない点を突き、命令をそのまま実行させて支配下に置いていた。

…SQLインジェクションはプログラムの欠陥なんですけど。

ついでに。

対策として、データベース項目や接続する管理者ごとに使える機能を細かく制限し、 外部からの命令を受け付けなくすることなどの設定が必要だ。 対策済みの企業も少なくない。

対策済みとかそういう問題じゃないんですけど。 (対策をしていないサイトが多い、と暗に示している文章かもしれないけど、多分違うだろうな。 文中、「外部から支配」という表現も初めてみたような気がするし。この記事何とかならないものか)

そういえば、「考えられる最高レベルのセキュリティ対策をしてきたつもりだった」 というのは何だったんだろうか。 (→ 「最高レベルのセキュリティが破られた」――カカクコム、不正アクセス事件を説明 )

いずれにしても、SQLインジェクションを放置したままでもOK、なんてことにならないように。 被害を受けるのはユーザーなのだし。

|

« USBの電流を2倍にする方法 | トップページ | 万全、という言葉 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/763/4264999

この記事へのトラックバック一覧です: SQLインジェクションは欠陥か否か:

» 「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず [かないやすのりblog]
「過失はない」「地震のようなもの」――カカクコム、侵入手口明らかにせず 「価格 [続きを読む]

受信: 2005.05.25 22:29

« USBの電流を2倍にする方法 | トップページ | 万全、という言葉 »