マツジローのネットワークセキュリティ日記

アクセスカウンタ

zoom RSS Twitter Facebook で、最も有効なセキュリティ対策は JavaScript 無効化だ!

<<   作成日時 : 2010/09/24 23:56  

なるほど(納得、参考になった、ヘー) ブログ気持玉 1 / トラックバック 0 / コメント 0

昨日は、Twitter では JavaScript 無効にすることが最も実効性のあるセキュリティ対策である といって
理由を
ウイルス対策ソフトが、有効に機能しないこと
ユーザーコンテンツが中心のサービスである Twitter は、ユーザーコンテンツの無いサービスに比べれば、圧倒的に脆弱である こと
を挙げました。今日はそのつづきです。

次世代の HTML5 でさらに、危険が増大する。
いま毎日見ているWeb ページは HTML4 とか XML という仕様にしたがったものですが、先日やっと新しい仕様 HTML5 が決まったので徐々に、次世代の HTML5 に移行していきます。
HTML5 になると良いことは、例えば、キャンバスに絵を描くこと-早速、ドラえもんを書いた人もいます、Flash や Silverlight などのプラグインに頼らずに動画を再生できるようになったり、文字に影を付けたり、角を丸くした四角を作りのもできるようになります。
要するにメディアリッチになるのです、より自由で多様な表現が可能になるのです。

ところでものごとには必ず良い面と悪い面があります、当然ここまでが良い面でここからは悪い面になります。

「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏

画像


詳しくは、publickey.jp の記事 をどうぞ
http://www.publickey1.jp/blog/10/html5javascriptdouglas_crockford.html

業界の重鎮である Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏は、何を捲くし立てているのかというと
(HTML5 は、もうできちゃったのに)
「現在のHTML5は放棄すべきだ」とか
「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」と
もうできちゃった HTML5 が成ってないと言ってます。

重鎮が問題としているのは、セキュリティなのです。
「(HTML5 の)複雑さは敵(攻撃者)の武器だ。」とか
「クロスサイトスクリプティング(XSS)の問題をまず解決してから・・・」クロスサイトスクリプティングの懸念があるという意味
といって、
普通に考えて、業界の重鎮が出来上がった HTML5 の仕様に対し公的な場所で、
今の HTML5 はセキュリティがダメなので、設計からやり直せ
なんて、これだけ厳しく非難する という事は、異例中の異例ですよ!

という事で、HTML5 がどれだけヤバイかお分かりだと思う。

そして、悪い事は重なるものです?ものごとには必ず良い面と悪い面があります・・・が

画像


米Twitter社は9月14日(米国時間)、新しい『Twitter』サイトを披露しましたね。
http://wiredvision.jp/news/201009/2010091618.html
さまざまな強化点がありますが、なかでも写真やビデオが埋め込まれる2面イアウトが目立っている。

新しい『Twitter』サイトは、メディアリッチになった ことがまた問題だ!

ユーザーコンテンツとなれば、文字だけでも完全なサニタイズは困難なことは、昨日説明しました。
ユーザーが作った写真やビデオといったメディアをどうやって安全に取り扱うのか?
ちょっと難しいんじゃないかなー。


まーこうゆうことで、Twitter Facebook などの Social Media では、
JavaScript 無効にすることが最も実効性のあるセキュリティ対策である
と考えるわけです。

結論
Twitter Facebook などの Social Media では、JavaScript 無効にする!

テーマ

関連テーマ 一覧


月別リンク

ブログ気持玉

クリックして気持ちを伝えよう!
ログインしてクリックすれば、自分のブログへのリンクが付きます。
→ログインへ
気持玉数 : 1
なるほど(納得、参考になった、ヘー)

トラックバック(0件)

タイトル (本文) ブログ名/日時

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(0件)

内 容 ニックネーム/日時

コメントする help

ニックネーム
本 文
Twitter Facebook で、最も有効なセキュリティ対策は JavaScript 無効化だ! マツジローのネットワークセキュリティ日記/BIGLOBEウェブリブログ
文字サイズ:       閉じる