タイトルWebObjectsのセキュリティホールが発覚、開発者による対応策も公開カテゴリーサーバ, WebObjects
作成日2000/9/29 12:8:33作成者新居雅行
WebObjectsでセキュリティホールが発見されたが、対策は利用者側で公開された。見つかったセキュリティホールは、http-refererを利用するもので、WebObjectsに限らず、Webアプリケーションサーバでのセキュリティホールとして話題になっていたものだ。http-referer利用することで、あるページを訪れた時、その前に参照していたページを、移動先のWebサーバで知ることができる。WebObjectsで作られたページを参照している場合、URLにセッション管理情報が付加されるので、そこから移動した先のサーバにセッション情報が伝わってしまうと言うものである。セッションとは、WebObjectsと利用者のつながりのことで、セッション情報をもとに、あるユーザがアプリケーションに接続していることを管理する。ページ間を移動してもセッションは連続したものとして扱われることで、フローが絡む複雑な処理を構築できるのである。これはアプリケーションサーバでの必須となった機能である。セッションの寿命は数分というレベルではあるが、その間にはある利用者のセッションの一連のアクセスとしてWebObjectsによるWebアプリケーションにアクセスできてしまうというものだ。テクニカル・ピットの倉橋浩一氏によると、実際にこの方法で第三者からセッションに割り込むということが可能であることが確認されたということだ。確実にパスワードが盗まれるといったセキュリティ的なものではないものの、データの改ざんなどは比較的発生されやすいセキュリティホールと考えられる。
しかしながら、さっそく、テクニカル・ピットの倉橋浩一氏によって対策が講じられた。セッションの管理において、IPアドレスあるいは接続に利用してきたブラウザを覚えておき、異なったセッションを排除するというものだ。Sessionクラスにプログラムを追加すればよく、Javaのプログラムが公開されている。IPアドレスでの判別を行えばほぼセキュリティ的な問題はクリアされると思われるが、Webサーバを経由しない接続を行うことを考えれば、それは不可能ということで、とりあえずの対策として公開されている。
このセキュリティホールについてはアップルの対応についても取りざたされている。セキュリティ関連の窓口がないなど、必要な措置を迅速に実行する体制が見えないのである。自社製品のセキュリティ情報をメールニュースで送る体制などを整えている会社もある一方、アップルの現状は「アップルはセキュリティ対策ができていない」という印象を専門家に強く与えることは免れないかもしれない。今回の件は倉橋氏によってある程度の解決を見ているが、逆に言えばアップルは対処できなかったということでもある。インターネットの世界でのセキュリティの重要性は言うまでもないが、それに取り組む体制を利用者が見えるところで動かす必要性があると言える。
関連リンクテクニカル・ピット: WebObjectsのページ