2011年09月10日
昨今の学校のセキュリティ事情【第四章 まとめ】
- 第一章 学校のPC(生徒使用PC)について
- 第二章 学校のWebサイトについて-SQLインジェクション
- 第三章 学校のWebサイトについて-コマンドインジェクション/その他
- 第四章 昨今の学校のセキュリティ事情のまとめ
ここでやっていることはかなり危険な部類も入っています。
真似しないようにお願いします。また、この記事によっていかなる損害が発生してもその責任を負いません。
この記事によって自分のサービスのセキュリティを再認識してもらえばと思います。
第四章
まとめです。まとめというまとめです。
かなりこの事件に関してはイライラしてるので記事にもイライラしている感情があって感情的な部分もあるかもしれませんがご了承ください。
結果的に全ての脆弱性やセキュリティの穴は学校側にお伝えしました。
もちろんアドレスを晒してメールしたので気づいたのですが、メールを送らなければ気づきませんでした。アホですね。
ですが、個人的には何らかの謝罪と一週間の自宅謹慎を受けることに。
第三章にて、数百名が申し込んだイベントの個人情報(名前、住所、電話番号)がありました。
自宅謹慎に関しては、自分でも一線を超えた感じもあるし、人様の個人情報も見たのでそこらはなんとかいいとします。
しかし、学校側として一切「ありがとう」という言葉は使わず、
今後一切脆弱性を突くなという感じのスタンスなんです。
「うちの学校はプライバシーマークも取得しているのでこういうことされては困るのです」
・・・・・・・・・・・・・・・・・・・・・・・・・・
アホかっちゅー話ですよ。
そういうセキュリティの穴を塞いで個人情報を保護するからこそプライバシーマークが取れるわけですよね。
ため息しか出ないですよね、こんな学校ははよ潰れれば良いと思ってますよ。
その後
ちなみにその後なんですが、どうやらそのコードを書いた人はクビになったと先生が話してました(たぶん嘘)。
先生的には「キミの行動で人一人がクビになるんだから・・・なので反省してください」とか言ってますが、実際そういうコード書く人はクビにされていいですよ。金の無駄ですよ。はっきし言って。
まとめ
- ポートは適度なものだけを解放する
- MySQLはしっかりとインジェクション対策をする、プリペアドステートメントを使う
- MySQLを使用する際はrootを使用せずデータベースごとに分ける
- ユーザーのアクセスできるディレクトリを把握し、しっかりと管理をする
- 委託会社に全て任せるのではなく、身内に一人信用のある人を用意しとく
最後に
この記事に対する質問・意見などはコメントでどうぞ。
Twitterのリプライでもお待ちしております。
ありがとうございました。かなり記事が感情的になってしまいましたね。
Permalink | コメント(8) | トラックバック(0) | 23:54
- Twitter / @toriimiyukki
- Twitter / @toriimiyukki
- Twitter / @macalagnia
- Twitter / @shora_kujira16
- Twitter / @uu59
- Twitter / @_tomoari
- Twitter / @hebo_MAI
- Twitter / @daisuke_nomura
- Twitter / @cixor
- Twitter / @hitoyozake
- Twitter / @yamaken
- Twitter / @main_bow
- Twitter / @alphonse_JJ2RON
- Twitter / @HissyNC
- Twitter / @frought
- Twitter / @syuxu
- Twitter / @jyudori
- Twitter / @materia_x64
- Twitter / @CarrotSoft
- Twitter / @leovc3000
- Twitter / @POP_bakapo
- Twitter / @display___none
- Twitter / @mahiru610
- Twitter / @HIR0_jp
- Twitter / @yamashitam
- Twitter / @kickun
- Twitter / @teppeyan
- Twitter / @bina1204
- Twitter / @koyo_take
- Twitter / @likemid
- Twitter / @noztos
- 4868 http://t.co/HkmXuwXN
- 562 http://bit.ly/qaWHjK
- 444 http://twtr.jp/home
- 353 http://security.slashdot.jp/story/11/09/16/0141235/昨今の学校のセキュリティ事情
- 350 http://favotter.net/home.php?mode=best
- 275 http://slashdot.jp/
- 242 http://b.hatena.ne.jp/hotentry/it
- 242 http://www.movatwi.jp/url?guid=ON&url=http://bit.ly/qaWHjK
- 236 http://longurl.org
- 216 http://twipple.jp/
- 2011-09-07 うさぎ文学日記 4/61 6%