書き込み対象の日記
Permanent Link: http://www.misho-web.com/diary/200602.html#Diary04
今日の記録
6時起床,9時に図書館へ向かう。3時間ちょい勉強して,12時過ぎに水泳。その後circleで3時間ほど歌って,図書館で2時間ほど勉強して,帰宅。眠い。
今日は頭が冴えてました(/▽\#解析力学でわからなかったところが解りまくった(/▽\#(/▽\#
掲示板への広告攻撃
ちょっと気になったことがあるので軽く書き留めておこうと思ったが,如何せん眠い。というわけでごく軽く書いておこう。行間は各自で補完すべし。文字間も補完する必要があるかも知れない。
最近,普通の掲示板に,海外のWeb site(薬物系?)のURLを大量に記述した広告が一日に何件も打ち込まれているようだ。僕の所属する白ばら会合唱団の掲示板もこの被害に遭っていたのだ。
で,まぁ基本的に僕は腰の重~い人間で,この腰の重さに勝てる人間はそうそういない気がする。だが,さすがにいい加減ウザくなってきたので,対処することにしたのだ。
調べてみると,この広告が打ち込まれているのはみな,Kent WebさんのところのYY-Boardだった。どう見てもscriptによるモノだろう。
恐らく相手側は,googleなどでyybbs.cgiを検索して,その結果見つかったところに広告を打っているのだろう。上手いこと考えたモノだ。
そうと解れば対処は簡単で,yybbs.cgiに固有の動作をちょっと書き換えれば良いだけだ。最初は投稿formの設計を変えようと思ってたのだが,codeを見てみると,<input type="hidden" name="mode" value="regist">とかいう要素があって,どうやらこれが書き込み処理のtriggerになってるようだったので,これを"registx"にしちゃうことで解決することにした。同じく悩んでいる人は参考にすればいいと思う。変更点は,yybbs.cgiの2箇所と,yyregi.cgiの冒頭の1箇所だ。
で,そんなことはどうでも良くて,僕が書きたかったのは,これほどまでに1つのsystemが広く使われていると色々なことがありますねということなのだ。
昔から,この"規模の脆弱性"は攻撃のtargetとなっており,例えばcomputer virusなんてのも完全にこれをねらったものだ。最近ではInternetを介したonline updateにより,その脆弱性は低くなったが,例えば今回の例では,仮にKent Webさんが修正したとしても,その修正をそのまま攻撃者が取り込んで,修正版に合うような攻撃scriptを実装してしまえばその修正は無意味になる。薬剤耐性virus,あるいはHIVみたいな世界だが,人間の方が遙かに賢いだけタチが悪いのか。
何か上手い解決策はないのか。とりあえずこの眠い頭では思いつきそうもないので,今日は考えないでおこう。
ちなみに補足しておくが,"規模"が大きいと脆弱性が増すというわけではない。最初は確かに脆弱性が増していくが,しかし規模が大きい場合には,その脆弱性を最初に突く人が,今回のような攻撃者ではなく,programを改善していこうとする善意の人である可能性が高くなる。そのため,規模が大きい方が安全であり,下手なcodeを勝手に書く方が危険なのだ。
とかいう僕は全部自分で作ったprogramを使っているわけだが……まぁ一応……今のところ攻撃は受けていないからよしとしておこう。
【 Commentを書き込む 】 / [ Trackback URL : http://www.misho-web.com/diary/Trackback/20060204 ]
