Windows Media Playerをプログラムで一回消してしまったからでしょうか
|
|
|
|
コメント(1000)
はじめまして。
SOHOでホームページなどなど作ってる者です。
今、個人情報をDBで管理するシステムの構築を頼まれているのですが、
セキュリティについてあまり詳しくないので尻込みしています。
基本的に、PHPのプログラミングの際にSQLインジェクションと
クロスサイトスクリプティングに気をつければいいのかなー
と思っているのですが、甘いでしょうか?
ちなみに環境は全部レンタルサーバです。
レンタルサーバのDB(MySQL)を使って、PHPから個人情報を入れたり
出したりする感じです。
こんなことにも気をつけた方がいいとか、やめた方がいいとか、
ご意見なんでも、よろしくお願いします!
SOHOでホームページなどなど作ってる者です。
今、個人情報をDBで管理するシステムの構築を頼まれているのですが、
セキュリティについてあまり詳しくないので尻込みしています。
基本的に、PHPのプログラミングの際にSQLインジェクションと
クロスサイトスクリプティングに気をつければいいのかなー
と思っているのですが、甘いでしょうか?
ちなみに環境は全部レンタルサーバです。
レンタルサーバのDB(MySQL)を使って、PHPから個人情報を入れたり
出したりする感じです。
こんなことにも気をつけた方がいいとか、やめた方がいいとか、
ご意見なんでも、よろしくお願いします!
>>963
大前提として、「web/mailなどのInternet経由で個人情報を受け取り、DBに格納する」というものが
裏にあるんじゃなければ、レンタルサーバーでやるもんじゃない。
AccessなんかのPC上で完結するものでつくってネットワークにつながなければネットワーク越しの危険性は考えなくて済む。
そもそも、いくら気をつけていてもサーバそのものクラックされて情報全部引っこ抜かれでもしたら目も当てられない。
どうしてもwebブラウザでUIを作りたいというなら、レンタルサーバじゃなくてローカルPCで完結させるとか、LAN内のサーバでやったほうがいい。
で、Internetに接続してる必要があるとして、使うレンタルサーバは共有か専有かどっちなんでしょ?
そのへんによっても気をつけるところ&押さえるべきところがかわってくる。
まぁ、基本は「アクセス可能範囲は最小限に」ということになりますが。
プログラムで気をつける点はご自身であげているところでOKかとおもいます。
大前提として、「web/mailなどのInternet経由で個人情報を受け取り、DBに格納する」というものが
裏にあるんじゃなければ、レンタルサーバーでやるもんじゃない。
AccessなんかのPC上で完結するものでつくってネットワークにつながなければネットワーク越しの危険性は考えなくて済む。
そもそも、いくら気をつけていてもサーバそのものクラックされて情報全部引っこ抜かれでもしたら目も当てられない。
どうしてもwebブラウザでUIを作りたいというなら、レンタルサーバじゃなくてローカルPCで完結させるとか、LAN内のサーバでやったほうがいい。
で、Internetに接続してる必要があるとして、使うレンタルサーバは共有か専有かどっちなんでしょ?
そのへんによっても気をつけるところ&押さえるべきところがかわってくる。
まぁ、基本は「アクセス可能範囲は最小限に」ということになりますが。
プログラムで気をつける点はご自身であげているところでOKかとおもいます。
>二児パパさん
PHPスクリプトに認証、ですか!
そんなことできるんだ…ちょっと調べてみます。ありがとうございます!
>Liberdadeさん
>で、Internetに接続してる必要があるとして、使うレンタルサーバは共有か専有かどっちなんでしょ?
インターネットに接続している必要はあって、使うレンタルサーバは共有です。。
不特定多数からのアクセスではなく、特定のお客さん専用の販売サイトを作るって感じなんですよね。
だから、アクセスしている人が特定できればいいわけで、
ITの利便性を多少犠牲にすれば個人情報をまるまるDBに入れなくても済む話なのですが、、。
なんとか個人情報をWEBで扱わなくても済むような仕組みになるようお客さんとも相談してみます。
>そもそも、いくら気をつけていてもサーバそのものクラックされて情報全部引っこ抜かれでもしたら
本当にそうですよね…恐ろしい…
PHPスクリプトに認証、ですか!
そんなことできるんだ…ちょっと調べてみます。ありがとうございます!
>Liberdadeさん
>で、Internetに接続してる必要があるとして、使うレンタルサーバは共有か専有かどっちなんでしょ?
インターネットに接続している必要はあって、使うレンタルサーバは共有です。。
不特定多数からのアクセスではなく、特定のお客さん専用の販売サイトを作るって感じなんですよね。
だから、アクセスしている人が特定できればいいわけで、
ITの利便性を多少犠牲にすれば個人情報をまるまるDBに入れなくても済む話なのですが、、。
なんとか個人情報をWEBで扱わなくても済むような仕組みになるようお客さんとも相談してみます。
>そもそも、いくら気をつけていてもサーバそのものクラックされて情報全部引っこ抜かれでもしたら
本当にそうですよね…恐ろしい…
>976:(´こωぅき`)さん
QoSとか帯域制御とかのキーワードで検索するといろいろ出てきますよ。
とりあえず
・YAHAMA RT58i
http://netvolante.jp/products/rt58i/index.html
・NetGenesis SuperOPT-TS
http://www.mrl.co.jp/product/nwgoptts.htm
このあたりが帯域制御機能付きのブロードバンドルータですかね。
商用ルータでもヤフオクを使えば安価に手に入れる事も出来そうですよ。
富士通のSi-R180というルータであれば数千円で落札できますし、機能も豊富です。私も仕事で使っていますが、お勧めです!
QoSとか帯域制御とかのキーワードで検索するといろいろ出てきますよ。
とりあえず
・YAHAMA RT58i
http://netvolante.jp/products/rt58i/index.html
・NetGenesis SuperOPT-TS
http://www.mrl.co.jp/product/nwgoptts.htm
このあたりが帯域制御機能付きのブロードバンドルータですかね。
商用ルータでもヤフオクを使えば安価に手に入れる事も出来そうですよ。
富士通のSi-R180というルータであれば数千円で落札できますし、機能も豊富です。私も仕事で使っていますが、お勧めです!
>(´こωぅき`)さん
ルータを買う場合、ご自分がやりたい事が実現可能か、しっかり調査をしてから購入する事をお勧めします。
単に「帯域制御機能あり」だけで選ぶと、もしかしたらプロトコル単位でしか制御できなかったりして、(´こωぅき`)さんの「PS3とPCでそれぞれ指定できる」という要望に対応していない事もあります。
私も昔「パケットフィルタ機能」の付いたルータが欲しくて、「機能あり」と書かれていたコレガのルータを購入したのですが、そのフィルタ機能は「LAN側⇒WAN側」の通信にしか適用できませんでした。
私は自宅サーバを公開しているので、サーバへの攻撃をブロックする「WAN側⇒LAN側」のフィルタ機能が欲しかったのに、結局は使えないルータを購入した事になりました。
そして、慎重に機能を調べて購入したバッファローのルータでも、「ポート・フォワーディング機能を使っているポートに対してのフィルタは無効(ポートフォワード機能の方が優先される)」との制限事項に気がつかず、またもや無駄使い……
そんな失敗をしない様に、マニュアルが事前にダウンロードできる製品であれば、しっかり読んでから決めた方が良いと思います。
ルータを買う場合、ご自分がやりたい事が実現可能か、しっかり調査をしてから購入する事をお勧めします。
単に「帯域制御機能あり」だけで選ぶと、もしかしたらプロトコル単位でしか制御できなかったりして、(´こωぅき`)さんの「PS3とPCでそれぞれ指定できる」という要望に対応していない事もあります。
私も昔「パケットフィルタ機能」の付いたルータが欲しくて、「機能あり」と書かれていたコレガのルータを購入したのですが、そのフィルタ機能は「LAN側⇒WAN側」の通信にしか適用できませんでした。
私は自宅サーバを公開しているので、サーバへの攻撃をブロックする「WAN側⇒LAN側」のフィルタ機能が欲しかったのに、結局は使えないルータを購入した事になりました。
そして、慎重に機能を調べて購入したバッファローのルータでも、「ポート・フォワーディング機能を使っているポートに対してのフィルタは無効(ポートフォワード機能の方が優先される)」との制限事項に気がつかず、またもや無駄使い……
そんな失敗をしない様に、マニュアルが事前にダウンロードできる製品であれば、しっかり読んでから決めた方が良いと思います。
勤務先で使用しているノートパソコンがWindowsXPなのですが、これは親会社の情報通信部がサポート
してくれているので問題ないとの見解。
この部分は会社が責任を持ってくれるのだから気にしてません。
最近、出張先のホテルが無線LANになり、これがパスワード無し。勤務先貸与のXPで接続してた時には
気付かなかったのですが、私品のWin7パソコンでは接続前に信頼出来ない接続先だが本当に良いのかと
ポップアップが。(暗号方式がWEPかWPA2かは未確認)
仕事が終わって会社に戻ってから親会社のサポート部門にパスワードの設定されていない無線LANへの
アクセスへの危険性とそれに関する社員への教育資料となる資料またはリンクがあったら教えて欲しいと
問い合わせたのですが、次の回答。
情報通信部はXPマシンは社内での使用は認めているが、社外持ち出しは禁止していると。
では当社にXPマシンは社外に持ち出さないように指導してくださいと言うと、それはそちらの会社の問題
と。
無線LANでの危険性についてもパスワードの設定されていない所は絶対アクセスするなとは言わず、
危険教育資料もごく一般的な無線LANの設定の話で勝手にアクセスポイントが使われるなどの設置側で
利用者側の話ではない。
で、本題の質問なのですが
パスワード無しの無線LAN、昔のダムハブの様に同一ネットワーク内に通信が駄々漏れなのは理解
出来ます。
判らないのはネットバンクなどの公衆無線LANでは取引を行うなとのお知らせ。
http://www.japannetbank.co.jp/security/safety/wlan.html
インターネット経由で銀行にアクセスする場合はhttps。(と言うかこれでなかったら当方もアクセスしない)
httpsでの通信は簡単に解読出来て危険なのでしょうか?。
取引にはトークンでのワンタイムパスワードも必要ですし。
httpsが危険であれば当方の考え方を見直さないといけないので。
元々ネットバンクは信用しておらず給料振込口座とは別で3〜5万円入れていて減ってきたら給料振込
口座からキャッシュカードで現金を引き出してコンビニで入金。
致命的な被害は出ない様にはしていますが、心配になったもので。
してくれているので問題ないとの見解。
この部分は会社が責任を持ってくれるのだから気にしてません。
最近、出張先のホテルが無線LANになり、これがパスワード無し。勤務先貸与のXPで接続してた時には
気付かなかったのですが、私品のWin7パソコンでは接続前に信頼出来ない接続先だが本当に良いのかと
ポップアップが。(暗号方式がWEPかWPA2かは未確認)
仕事が終わって会社に戻ってから親会社のサポート部門にパスワードの設定されていない無線LANへの
アクセスへの危険性とそれに関する社員への教育資料となる資料またはリンクがあったら教えて欲しいと
問い合わせたのですが、次の回答。
情報通信部はXPマシンは社内での使用は認めているが、社外持ち出しは禁止していると。
では当社にXPマシンは社外に持ち出さないように指導してくださいと言うと、それはそちらの会社の問題
と。
無線LANでの危険性についてもパスワードの設定されていない所は絶対アクセスするなとは言わず、
危険教育資料もごく一般的な無線LANの設定の話で勝手にアクセスポイントが使われるなどの設置側で
利用者側の話ではない。
で、本題の質問なのですが
パスワード無しの無線LAN、昔のダムハブの様に同一ネットワーク内に通信が駄々漏れなのは理解
出来ます。
判らないのはネットバンクなどの公衆無線LANでは取引を行うなとのお知らせ。
http://www.japannetbank.co.jp/security/safety/wlan.html
インターネット経由で銀行にアクセスする場合はhttps。(と言うかこれでなかったら当方もアクセスしない)
httpsでの通信は簡単に解読出来て危険なのでしょうか?。
取引にはトークンでのワンタイムパスワードも必要ですし。
httpsが危険であれば当方の考え方を見直さないといけないので。
元々ネットバンクは信用しておらず給料振込口座とは別で3〜5万円入れていて減ってきたら給料振込
口座からキャッシュカードで現金を引き出してコンビニで入金。
致命的な被害は出ない様にはしていますが、心配になったもので。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
