2003年8月7日(木曜日)
クローズドのシステム
毎日の住基ネット公開討論会での論議概要 (www.mainichi.co.jp)ですが、総務省側の意見は非常に興味深いですね。
IT社会の実現は必須である。また我々は海外に負けるわけにはいかない。実際には自治体・政府が牽引役になって、民の情報化に貢献している。
以上、住基ネット公開討論会での論議概要 より
別に負けても良いと思うのですが、どうして「負けるわけにはいかない」のでしょうか。特定の人々の美意識を充足するため、というのは思いつきましたけれど。とりあえず、自治体のためとか市民のためとかいうところが最初に来ないあたりがポイントのような気はしました。
後ろ半分は、4億円かけて作ったは良いけれどはっきり言って使い物にならない「ウェブヘルパー」とか、1億8400万円かけて作ったシステムが XSS だらけだった「小泉内閣メールマガジン」とか、そういう活動を指しているわけではないですよね。まさか「インパク」……?
住基ネットはクローズドのシステムだ。これは、論理的にという意味で、物理的な意味ではない。
以上、住基ネット公開討論会での論議概要 より
総務省の言う「クローズド」は物理的な意味ではないそうです。つまり物理的にはオープンになっていても、それをクローズドと称している場合がある、ということなのでしょうね。
これはかなり語弊がありそうです。実際、私なども「住基ネットはインターネットに接続しない」というポリシーなのだと思っていましたし。
実のところ、何をもって「クローズド」としているのかが良く分からないのですが、後ろで「データはインターネットを通り」と明言していますからインターネットには繋がるのですね。そうすると、「ファイアーウォールや IDS があり、暗号化されていればクローズド」という定義なのでしょうか。
私が先日衝撃の体験をした /etc/passwd が見えちゃった事件なんかは、もろに HTTPS な場所で発生しています。有名大手企業のネットワークですからファイアーウォールがないとは思えないのですが、これはそもそもファイアーウォールで防いだり、IDS で検知できるような性質のものではないのですよね。これが「クローズド」に該当するという定義なのだとすると、クローズドでも /etc/passwd が……。
なんかもうフォローのしようがない感じがするのですが。
- 「クローズドのシステム」へのコメント (3件)
secureフラグのないCookie話のニュース
こんなニュースが。
インターネット通販サービスの多くで、クレジットカード番号など個人情報が他人に見られたり、利用者本人になりすましての注文ができるといったシステム上の欠陥があることが、経済産業省系の研究機関、産業技術総合研究所の調査で分かった。
以上、日経新聞の(8/6)ネット通販大手、9割にシステム欠陥・産総研調査 より
これはもちろん secure フラグなしに Cookie が使われているという話で、securIT (securit.gtrc.aist.go.jp) では 7/17 付けで報告が出ています (「Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策」という PDF です)。それがどうしてこのタイミングでニュースになるのかちょっと謎です。特集だから?
まあそれは良いとして、最後を読むと……
今回の欠陥は利用者のIDなどをパソコンに保存する「クッキー」というデータが暗号化されていなかったのが原因。
……なんとも語弊がありそうな記述が。Cookie の内容自体が暗号化されるとかされないという話ではなくて、「SSL 保護のない場所では送出されないような措置 (secureフラグの使用) をしていない」という話なのですけれども。
- 前(古い): 2003年8月6日(Wednesday)のえび日記
- 次(新しい): 2003年8月8日(Friday)のえび日記
