FC2ブログ
 
■実験室

■プロフィール

Sligh'Hand

Author:Sligh'Hand

所属ギルド
Open Travelers
称号
ぐったりたぬぬ
特徴
公園内でマジシャンを目指す新米教師。桜の下で「たぬき寝入り」するのがマイブーム。

■最近の記事
■最近のコメント
■ブログ内検索

■リンク
■RSSリンク
■カテゴリー
■月別アーカイブ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。


スポンサー広告 | --:--:--

サーバ考

 どもども。 ぐったりたぬぬです。

 サーバと携帯が同時多発的にダウンして、しばらく世界から切り離されていましたが、それも今週初めには復旧し、徐々に日常を取り戻しつつあります。 メールも復旧していますので、ご用の方はこれまで通りご連絡いただけます。 ただし、SPAM の類はご遠慮ください m(_ _)m

 さて、2ヶ月半プログラミングと称して細々と、調査・開発を続けている今日この頃ですが、前回の記事で話題に上げた OpenSSL で新たな脆弱性が見つかってしまったようです (日本語の情報はこっち)。 すら←のサーバもさっそくこの脆弱性の対策を実施しています。

 以下、サーバやサービスの管理と、今作っているものについて、思うところを少々。





 サーバを運用するってのは意外に面倒な作業で、↑みたいな脆弱性が発見されたらすぐに対応できるように、日ごろからアンテナを張っておく必要があります。 対応せずに放置した脆弱性を突かれてサーバ内の情報を引っ張り出されてしまったりすると、大勢の方にご迷惑をかけてしまうことになります。

 仮に、サーバの中にある情報を自由に読み出せてしまう脆弱性があったとしましょう (※今回発見された↑の脆弱性とは無関係です)。 この脆弱性を放置した場合、どんな困ったことが起こるでしょうか。

 たとえばスラ←のメールサーバ上のデータを、悪意のあるユーザが不正に読み取ったとします (繰り返しますが、あくまでも仮想的な脆弱性のハナシです。 実際にこんな脆弱性が見つかっているわけではありません)。 当然、スラ←の情報は駄々漏れになるでしょう。 しかし、問題はこれだけではありません。 スラ宛にメールを送ってくれた人の情報まで流出してしまうことになります。 メールには大抵、メールアドレスと名前が書いてありますし、もしかしたら重要な情報が本文や添付ファイルに含まれているかもしれません。

 あくまでも仮にそんなことがあったら、という話ですが、想像しただけでぞっとします。

 こうならないためにも、日ごろから OS や各種サービス、セキュリティ関連の情報を収集して、修正が必要であればそれを適用していくことを繰り返すわけです。 幸いネット上にはこういった情報が豊富にあって、対策方法を紹介しているサイトも多いのですが、これがずっと続くとなると地味にぐったりする作業なのです orz

 翻って、今スラ←が作っているアレについて。

 まだ詳細を明かしていませんでしたが、今作っているシステムは、最終的に、サーバとクライアント間でのデータのやり取りを伴うサービスの一種になります。 このシステムでは、ユーザはクライアントを使ってサーバにログインすることで、サービスを利用できるようになります。 と、いうことは……ユーザのログイン情報、つまり ID とパスワードをスラ←のサーバに置いておく必要があります。

 ユーザの情報をスラ←のサーバで預かる……。 そんなシステムに万一脆弱性があったら……。 想像しただけで寒気がします……。

 サービスを作るだけならまだしも、それを運用するっていうのは、地味で、気が抜けなくて、面倒な作業です。 日ごろの情報収集やメンテナンスでユーザの情報を守りつつ、万が一それが流出してしまう最悪のリスクも想定して暗号化だのなんのかんのという防衛策を施しておかないといけない。 オンラインでサービスを運用されている方々は、ほんと、尊敬に値すると思います。

 このブログを読んでいる方は、何らかのオンラインサービス (たとえばオンラインゲームとか) を利用したことのある方が大半だと思います。 オンラインサービスにログインするためには、当然ながら ID とパスワードをそのサービスの運営さんのサーバに預ける必要があります。 ログイン情報を預ける以上、その運営さんが信用できるかどうかについては、きちんと考える必要があるでしょう。

 いずれスラ←が作っているシステムがある程度形になってきたら、テストと称してそれを公開する 「かもしれません」。 が、そのテストに参加するには、↑にも書いたとおり、ログイン情報をスラ←のサーバに預ける必要が出てきます。 もちろん、システムに必要な安全対策は盛り込んでいきますが、由緒正しいライブラリでも脆弱性が潜んでいるのが現実です。 間違っても、元来お調子者のたぬぬなんかを無条件に信頼してはいけません (自虐ネタっぽいですけど、割と本気です。

 開発の進捗に合わせて、今後も情報を小出しにしていく予定です。 そういった情報から、信用に値すると思っていただけたなら、いずれ始まるかもしれないテストに参加していただけると幸いです。

たぬぬのねごと | 22:14:46 | Trackback(0) | Comments(0)
コメントの投稿

管理者にだけ表示を許可する

FC2Ad

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。