記事本文
もどかしいアクセスログ
何故か 20 日になって突然 MT をインストールしたら真っ先に行うべきセキュリティ対策へのアクセスが増えました。 しかも、昨日や今日にどこかに紹介された、というわけではないのです。
| リンク元 | hxxk.jp 全体における割合 | MT hxxks における割合 |
|---|---|---|
| CSRF - クロスサイトリクエストフォージェリ - PHP | 8.7% | 27.8% |
| 「MT で CSRF」@水無月ばけらのえび日記 | 3.2% | 10.1% |
| hoshikuzu | star_dust の書斎 | 0.8% | 2.5% |
このように、以前に紹介していただいたところからのリファラが突然再燃し出したのです。 ( パーセンテージで見るとそこまで多くないように見えますが、実際は検索エンジンからのアクセスが 50% 強を占めるため、それ以外のリンク元としてのパーセンテージとして考えると突出しています。 )
おそらく、どこかで CSRF の話題が盛り上がってこのような結果になっているのでしょう。 しかし、自分のところのアクセスログでは読み取れません。
今回はたまたま辿り着いた
ということを IRC で呟いてみたら、 「 CSRF ってナンダ」 的な反応が返ってきて、そこからはてなダイアリー - CSRFとはが例に出されました。
そしてはてなダイアリー - 「CSRF」を含む日記を見てみると、確かに 4 月 19 日から取り上げているところが増えています。 ( おれはおまえのパパじゃないというダイアリーは、確か結構な数のアクセス数があるダイアリーのはずですし。 )
で、おれはおまえのパパじゃない - mixiではまちちゃん大発生で CSRF - クロスサイトリクエストフォージェリ - PHP と hoshikuzu | star_dust の書斎が紹介されています。 そこからは私の記事もリンクされています。 同様に、はてなダイアリー - CSRFとはで紹介されている「MT で CSRF」@水無月ばけらのえび日記からも私の記事がリンクされています。
おそらく、このルートでアクセスが増えたと見て良いと思いますが、偶然見つけなかったら分からないままですね……。 いやそこまで原因を知りたいと思う私の考えは少数派なのかもしれませんが。
CSRF の知名度
閲覧可能なところを見る限り、論調としては「
こういうバカは最低だね」と悪感情を垂れ流しているところが多かった。 次いで多かったのが「wwwwwwうえっwww」と喜んでるvipperな人たち。 XSSとかCSRFとかについて論考してるところはわずか数件。 「ウィルス」とか言ってる無知な人、割と多数。
http://mixi.jp/view_bbs.pl?page=1&id=852322
2: まさゆき
16: いちにの
なるほど。
ブラクラって言うんですね。
私も MT をインストールしたら真っ先に行うべきセキュリティ対策より以前はそれほど詳しく知っていたわけではないので大きなことは言えませんが、一般的なネットユーザーにはひとくくりでウィルスと捉えられてしまうんでしょうかね。
( 「MT で CSRF」@水無月ばけらのえび日記で
ちゃんと CSRF という名前があるのに全然出てこないというのが……。この名前はあんまり一般的ではないのかなぁ。
と指摘されていますが、恥ずかしながらこの時初めて CSRF という名前を知りました。 )
脆弱性の指摘について
セキュリティホールの指摘が今回みたいな形で行われることは、道義的には完全にアウトだろうから(法的にも?)、その点は批判されてしかるべきでしょうけども、「こういうバカ」とか、はなっから見下した視点でしか語れない人が多いのは、mixiユーザーのネットリテラシーがユーザー増加とともに相対的に低下してるのではないかなと思った。
個人的には、こういった目に見える形での脆弱性の指摘も致し方無いかな、と思います。 もちろん、指摘の範囲を超えるような行き過ぎた指摘は別ですが。
また、
はてなでもXSS脆弱性の指摘は何回かあったわけですけども、メールによるものだったので大きな汚点にはなってない。
とありますが、少しだけ事実と違います。
私も全部を把握しているわけではありませんが、とある脆弱性の場合は
- 2004 年 8 月に Cookie でのセッション管理を行う Web アプリケーションについての脆弱性が話題になる ( SG::Acme : attacking MT 1 )
- それを受けて、 gorou さん ( gorou.zapto.org ) がはてなに指摘メール
- 2004 年 9 月 12 日、
もう一ヶ月ぐらいたつのにまだ直ってない
- 2004 年 9 月 13 日、うんけっけぽっぺで脆弱性のサンプルが公開される ( なお、今回の mixi のように不特定多数がターゲットではなく、脆弱性を突く方と突かれる方は双方確認の上で実行 ) 。類似のサンプルが Another 朝顔日記でも公開される。
- 2004 年 9 月 14 日、
昨日ぼやいたらすぐ直してくれた、オレの発言力すげぇ!!!ってんじゃなくてぶたすんがexploitの内容をはてなで公開したらすぐ対処してくれた。メールでの脆弱性をつくプログラムのURLと実験結果送っただけじゃ対処してくれなかったのに。こういうのはpublicに脆弱性公開すべきなんだろーか。
といった流れになっていました。
この事例だけがはてなにおける脆弱性の指摘の全てではありませんが、メールによる指摘だと対処が遅くなる、あるいは黙殺される可能性があるということの実証となっています。 ( gorou さんに尋ねてみると、返事自体は返って来たけれど、それから対処されるまでに結構な期間が開いたとのこと。 ) この事例では脆弱性の指摘者がターゲットを無差別としなかったがために汚点とならずに済んだ、と捉えた方が良いと思います。
もちろん、
「はてなだって実はこうだったから mixi も大目に見てあげてよ」
という擁護を行うつもりではありません。
日記サービスと SNS では求められる信頼性が違いますし、
こういう穴がSNSにぽっかり開いているというのはさすがに背筋に冷たいものが……。
や
2度3度と同じ穴を弄られてるmixiの責任は大きいですよはっきり言って
という下りには同意します。
ただ、メールによる指摘が必ずしも良い方法であるかどうかに疑問が残る点と、汚点となるかならないかという判断は対処の姿勢にあるという点に気付いて欲しいと思いました。
