Hatena::ブログ(Diary)

Naruhito Blog... Just what is it? RSSフィード

2004/11/01 (Mon) セキュアプログラミング

[] 脆弱性... 23:07

高木浩光氏のBLOG『開発者のプライドか、それとも「脆弱性」のネガティブイメージの影響か』はとても興味深く読ませてもらいました。


私もセキュリティ関連ソフトウェアの開発を仕事でしているため、“脆弱性”という言葉には非常に敏感です。やっぱり開発者バグを認めたくないという思いが少なからずあります。どうにかして“本ソフトウェア仕様です”と言いたいために言い訳を一生懸命に探しますね。

ただ、それがお客様に小さな影響しか与えない程度のものだったり、代替手段がある程度のものであればいいかもしれませんが(よくはありませんが...)、セキュリティに関する脆弱性バグは程度の問題ではないと考えています。


例えば、今回の『鶴亀メールにおけるS/MIMEの署名検証に脆弱性』の場合には、鶴亀メールS/MIME機能を信頼して、お金のやりとりや契約などにS/MIMEメールを使用していた企業があったらこのバグによって多大な被害を被っている可能性があるわけです。

また、サーバのように使用されるソフトウェアでは、おかしなデータを受信したときにデータ解析時に落ちてしまうようなバグでも、DoS攻撃に対する脆弱性があることになってしまうわけです。例え、その「おかしなデータ」というものが、プロトコルに違反するものであってもです。(サーバソフトウェア開発者の立場では、クライアントプログラムの送信データにバグがあると考えてしまうわけです。)


このような開発者脆弱性に対する考え方は、開発者に対するセキュリティ教育と開発したソフトウェアが負うべき責任をどれくらい理解しているかによるものでしょう。

機能性ばかり追うのではなく、いかにセキュアなソフトウェアを開発できるかというのも、開発者にとって非常に重要スキルですね。

参考書は、『セキュアプログラミング ― 失敗から学ぶ設計・実装・運用・管理』

[] Mozilla Firefox 1.0 RC 23:07

Mozilla Firefox 1.0 RCが発表されましたね。1台のPCインストールしてみましたが、まだ拡張やテーマFirefox 1.0 RC に対応していないものが多々ありましたので、もう1台のPCにはインストールしていません。もう暫く様子を見てからインストールしてみます。

そういえば、Firefox 1.0 RCではTabbrowser Extensionsが日本語で表示されたことはすばらしかったです。

ちなみに私のuserChrome.cssはこんな感じです。


/* フォントを変更する */
* {
	font-size: 9pt !important;
	font-family: "lucida sans unicode", "MS UI Gothic", "verdana", "sans", "arial", "helvetica", "sans-serif";
}

/* サーチバーの幅を変更 */
#search-container {
-moz-box-flex: 400 !important;
}
#searchbar {
-moz-box-flex: 400 !important; }

/** タブのテキストを小さく細く **/
tab .tab-text {
  font-size: 8pt !important;
  margin-top:0px !important;
  margin-bottom:0px !important;
}

/* メニューをXP風に変更 */
menupopup, popup {
   border: 1px solid ThreeDShadow !important;
   -moz-border-left-colors: ThreeDShadow !important;
   -moz-border-top-colors: ThreeDShadow !important;
   -moz-border-right-colors: ThreeDShadow !important;
   -moz-border-bottom-colors: ThreeDShadow !important;
   padding: 0px !important;
   background-color: Menu !important;
}
menubar > menu {
   border: 1px solid transparent !important;
   padding: 2px 5px 2px 7px !important;
   margin: 0 !important;
}
menubar > menu[_moz-menuactive="true"] {
   background-color : Highlight !important;
   color: HighlightText !important;
}

/* タブをOffice2003風に変更。*/ 
.tabbrowser-tabs tab {
  -moz-appearance: none !important;
  -moz-border-radius-topleft: 0px !important;
  -moz-border-radius-topright: 0px !important;
  -moz-border-radius-bottomleft: 0px !important;
  -moz-border-radius-bottomright: 0px !important;
  -moz-border-top-colors: none !important;
  -moz-border-right-colors: none !important;
  -moz-border-left-colors: none !important;
  margin: 2px 2px -2px 0px !important;
}
.tabbrowser-tabs tab[selected="true"] {
  background: #B6BDFF !important;
  border: 1px solid #0A246A !important;
  border-top: 4px solid #0A246A !important;
  padding-top: 2px !important;
}
.tabbrowser-tabs tab:not([selected="true"]) {
  background: #B6BDD2 !important;
  border: 1px solid #666666 !important;
  border-top: 4px solid #666666 !important;
  padding-top: 2px !important;
  color: #666666 !important;
}
.tabbrowser-tabs .tabs-right {
  -moz-appearance: none !important;
  margin-bottom: -2px !important;
}

aaaa 2005/01/19 04:02 >お金のやりとりや契約などにS/MIMEメールを使用していた企業があったら
>このバグによって多大な被害を被っている可能性があるわけです。

信頼性が重要だと思ってる企業なら、シェアなんて使わないでしょ。

naruhito_tnaruhito_t 2005/01/19 08:32 確かにそうかもしれませんね。
しかし、シェアウェアだから脆弱性が許されるという感覚で開発してほしくないです。シェアウェアもお金を払って使用しているわけですから、しっかりとした品質にはしておいてほしいと願っています。

2004 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2015 | 01 | 02 | 03 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2016 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2017 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2018 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 09 |