情報セキュリティ:ソフトウェアとセキュリティ(その2)(最終更新:2015/12/06 16:33:44 JST)
ソフトウェアとセキュリティ(その2)
電子メール
電子メールのしくみ(教科書122ページ)
電子メールに関連するセキュリティを理解するためには,電子メールのしくみを理解する必要がある.電子メールのポイントとなる技術的な内容は次のようなものが挙げられる.詳細は教科書の該当ページを用いて説明する.
- 電子メールのヘッダー(教科書123ページ):転送経路などの情報が確認可能
- 電子メールの送受信方法(教科書124ページ):送信はSMTP,受信はPOP3などが利用
- ファイルの添付(教科書128ページ):MIMEを利用
電子メールのセキュリティ(教科書131ページ)
これまでに何度か触れているように,電子メールはさまざまな脅威が存在している.例えば,次のようなものが挙げられる.
- 送信者のなりすまし
- SMTPの認証機能の欠如
- 通信途中での盗聴
- POPのパスワードの奪取
これらの問題点に対して,次のような対策が採られている.
- メール読み出し時のパスワードの暗号化(教科書132ページ)
- APOP(Authenticated Post Office Protocol),POP3 over SSL/TLS
- SMTPの認証機能(教科書132ページ)
- POP before SMTP,SMTP AUTH(SMTP Authentication),SMTP over SSL/TLS
- メール本文の暗号化と電子署名(教科書133ページ)
- S/MIME(Secure/Multipurpose Internet Mail Extensions),PGP(Pretty Good Privacy)
- メールの第三者中継防止(教科書135ページ)=スパムメール防止策
- OP25B(Outbound Port 25 Blocking),送信ドメイン認証=SPF(Sender Policy Framework),DomainKeys
S/MIMEでセキュアな電子メール環境をつくる!(アットマーク・アイティ)
[*]下へ▼ ▲[#]上へ
Web
Webのしくみ(教科書140ページ)
Webの特徴は,不等号で挟まれたタグと呼ばれるマークで意味づけされた,他の文章へジャンプすることが可能なリンクを持ったHTML(HyperText Markup Language)で書かれたWebページから構成されている.ということで,Webページの実態はタグが埋め込まれたテキストファイル.ブラウザで「表示」→「ソースを表示」で表示させてみれば,よくわかる.もう一つの特徴としては,ユーザ(クライアント)側からサーバへ情報を送信するしくみのフォームが挙げられる.例えば,MyKONANのユーザID,パスワードの送信などにも利用されている.
HTTPのしくみ(教科書142ページ)
Webページの通信にはHTTP(HyperText Transfer Protocol)が用いられる.特徴は次のとおり.
- URL(Uniform Resource Locater)(あるいはURI(Uniform Resource Identifier))によりリンク先を指定(教科書142ページ)
- HTTPリクエストをサーバへ送信(教科書144ページ)
- HTTPレスポンスとしてソースを受信(教科書145ページ)
Webページの認証(教科書146ページ)
特定のページの閲覧を制限するためには,認証あるいは同時に暗号化が行われる.それらの手法には次のようなものがある.
- ベーシック認証:Base64でエンコード→実質,平文と変わらない
- ダイジェスト認証:MD5ハッシュ関数によるチャレンジレスポンス方式を利用
- HTTPS(HTTP over TLS):SSL/TLSを利用.認証+暗号化
Webに関連した応用技術(教科書150ページ)
Webを利用したwebアプリケーションで用いられる技術には次のようなものがある(主要なもののみ,抜粋).
- クッキー(Cookie):Webサーバから送信されるサーバに関連する情報が記載されたテキストデータ.クライアントに保存(教科書150ページ)
- セッション:Webサイトを訪れたユーザがサイト内で行なう一連の行動.一連の利用とみなすための管理がセッション管理(教科書152ページ).管理方法にはクッキーを利用する方法(教科書153ページ),URLクエリストリングを用いる方法(教科書154ページ)などがある.
Webアプリケーションに関する危険性(教科書155ページ)
Webアプリケーションを狙った攻撃として次のようなものが挙げられる.
- セッションハイジャック:セッションIDを盗んで,正規のクライアントの通信を乗っ取る(教科書155ページ)
- フォームの脆弱性を利用:フォームの文字列に不正値を入力(教科書157ページ)
- SQLインジェクション:データベース検索文に不正値を入力(教科書159ページ)
- クロスサイトスクリプティング(XSS):脆弱性のあるWebサーバの応答に悪意のあるスクリプトが埋め込まれクライアントで実行される(教科書161ページ)
フォーム,SQLインジェクション,XSSなどの不正な入力値,スクリプトを利用する攻撃には,それらのスクリプトを意味する特別な文字列を無効化するサニタイジリングが有効である(教科書161ページ)
[*]下へ▼ ▲[#]上へ
インターネット利用のアプリケーション(教科書165ページ)
電子メールやWeb以外にインターネットで利用されているアプリケーションには次のようなものがある.
- FTP(File Transfer Protocol):ファイル転送,Webサーバへのファイルの転送などで利用.制御用にポート21,データ用にポート20を使用
- telnet:遠隔端末操作,リモートログイン.ポートは23
これらのプロトコルはインターネットでの通信の安全性が確保されていない.そのため,SSH(教科書88ページ)を利用して安全性を高めるほか,SSLを利用して安全性を高めるなどの対応が必要である.FTPの場合,前者はSFTP,後者はFTPSと呼ばれる(別物なので,注意)
[*]下へ▼ ▲[#]上へ
このサイトに関するお問い合わせは,連絡先のページをご覧ください.