お試しサイト更新 -- henoheno


CVS更新 -- henoheno

tDiaryスキン

searchプラグイン

クリンナップ

develモジュール (pukiwiki本体とは別のディレクトリ)

release.sh: リリースパッケージ作成スクリプト

tdiary-demogen.sh: tDiaryスキンのデモ ジェネレーター

tDiary demonstration generator: generates many [theme].php


NetSecurity: ご冗談でしょう、架空の編集長さん -- henoheno

開発日記/2004-11-04#ob0afa36 の件の続編のようです。(※以前の情報にも、反応リンクなどを追加しています。興味のある方は先にそちらをチェックして下さい)

Wikiに対するいたずら(の中で、Digital attackされたサイトとしてzone-h.orgなどがリストアップしたもの)は、今後も「サーバー」の「改ざん」と同列に扱うとの事です。

Webに対する架空の認識

今回の問題は、システム(ソフトウェア)が意図している事と、ユーザー(今回はNetSecurityさん)が意図していない事とのギャップである様に思います。Webサーバーと初歩的な個人情報漏洩の関係を思い起こさせます。

以下、上記URLからの引用とそれに対するコメント。

"よりサイト管理者が反発しがちなのが、「WEBアプリケーションは正常に動作しているが、環境設定など人的要因により問題となる状況が発生」した場合である。wikiが誰でも書き込める状態になっており、管理者が本来意図しない書き込みをされる場合がある。"

"「改ざん」という言葉の定義の話にもなるが、 NetSecurity ではこれも「改ざん」として扱っている。なぜなら、それは本来意図したものではないし、利用者にとっても本来意図していないものを見せられるハメになる。場合によってはクロスサイトスクリプティングなどの攻撃も可能となる危険もはらんでいる。もちろん、世の中には自由な書き込みを許しているサイトはいくらでもある。問題は、利用者が危険性を事前に察知できるかどうか、そのサイトの利用者数や属性が問題になる可能性をはらんだものなのかどうかといったことになってくる。自由な書き込みを許しているサイトは、ある意味、誰でも自由に攻略できるセキュリティホール満開のサーバと同じなのである。それが「改ざん」情報に掲載されるかどうかは、「改ざん」行為の有無とその影響度合いによる。"

今回の場合、こうしたあたりを理解している側であるはずのNetSecurityさんがこうした行為を継続して行っていることが問題で、改ざん情報を公開して警報を出す意味をどう考えているのか、それが問われているのだという事を良く考えて欲しいと思います。

今後もNetSecurtyが(いつも参考にしているサイトが次に報告した)「日本におけるWiki改ざん」の記事をサーバーやソフトウェアの不具合であるかのように掲載したり、掲載しなかったり、サーバーのOSの種類を転載したり復旧したことを報告するのかどうか、少々興味深いです。

Wiki管理者へのおすすめ

FrontPageを凍結して、commentプラグインなどを設置しない様にしておけば、FrontPageがいたずらされる余地がありませんから、そのサイト全体がいたずらされたかの様な印象を与え辛くなるでしょう。

※凍結したページにcommentプラグインなどを設置する様な利用の仕方では、負担が減りませんよ。

この件に関するコメント


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2005-01-11 (火) 14:19:58
Site admin: PukiWiki Development Team

PukiWiki 1.5.3+ © 2001-2020 PukiWiki Development Team. Powered by PHP 5.6.40-0+deb8u12. HTML convert time: 0.463 sec.

OSDN