紫だちたる雲の細くたなびきたる blog

春はあけぼの(をかし)

あらあら(笑)

http://www.asahi.com/business/update/0727/001.html

この結果、顧客の氏名や住所、連絡先、クレジットカード番号などの重要情報を不正取得できたサイトは50%にのぼった。1年前に101サイトを調査した際(43%)より悪化し、情報漏洩につながる可能性があるサイトも29%あった。

 データベースに命令できる「SQL」という特殊な言語でサイト運営者のデータベースに接続し、重要情報を取得したり改ざんしたりできたサイトが35%あった。また、別の利用者のふりをして他人の個人情報にアクセスする「なりすまし」が通用したのが30%、サイト管理画面に不正アクセスできたのが22%だった。URL(アドレス)を少し改変するだけで簡単に他人の個人情報を見られるなど、初歩的な欠陥もあった。

 おいおい。セキュリティにそんなに詳しくない僕でもどういうアクセスしたのか想像がつくぞ。たとえば、パスワードの所に"' OR TRUE"って入れるとどんなユーザIDでも侵入できたりする(SQLインジェクションという)。入っちゃえばこっちのもの。なんでもし放題。納期間際に慌てて作った画面なんかだとかなりセキュリティに甘かったりする。
 セキュリティをきちんとしようとすると、それなりのコストと時間が必要となるから、最近の短納期・低単価な開発では結構見落とされがちだということか。
 どんな商品でも安ければそれなりの品質しか望めないのだよ。某F社や某N社(ドコモの携帯で連想してみよう)を代表とする大手ベンダーはもっと下請けにコストを掛けないと、品質は下がる一方だと思うぞ。わっはっは。