2000年9月29日号で、WebObjectsのセキュリティ問題についてレポートをしたが、対策などで進展が見られたので、報告すると共に、補足で説明しておこう。なお、以下の倉橋氏のページで、続報が紹介されている。まず、http-refererにセッションIDが入るため、WebObjectsで生成されたページを見ているときにたとえばブックマークなどであるサイトにジャンプしたとする。そのサイトのWebサーバでは、前に見ていたページのURLを見地することができ、そこでセッションIDを含むURLを知ることができる。そのため、サーバ側でそうした情報を取得することで、別の人のWebObjectsアプリケーションのセッションに割り込めるという心配があるということである。ただし、WebObjectsのセッションは期限切れになっているため、セッションIDを取得したからと言って必ず割り込めるわけではない。また、そうした悪意のある監視をしていなければ分からないことでもあり、偶発的にセキュリティホールを突くことができるという種類のものでもないことは言える。ただし、危険性が0でない限りは危険性はあると言えるわけだ。一方、セッションIDは必ずしもURLに含まれるというものではない。WebObjectsでは、セッションIDをクッキーに入れて管理するという手法を取ることもできる。ただし、クッキーに入れた場合でもクッキーの内容が他者に絶対に取得できないわけでもないので、その点は注意しなければならない。
こうしたhttp-refererのセキュリティホールは、アプリケーションサーバ全体に潜在的な可能性があると言えるだろう。前回の記事ではアップルの対応を強化すべきと書いたが、倉橋氏のページを見る限りはアップル社内でも対策を行っていることが伺え、その意味では放置しているわけではないことは確認された。セキュリティは対策はもちろんだが、対応とスピードが要求される。また、「見張っているぞ」という姿勢も大切だ。たとえば、入り口にガードマンがいるとなんとなく入りづらいのと同じかもしれない。アップルも、実際に対策を講じているのであれば、もっと外部に示してもいいのではないかと思われる。 |