パスワードの重要性 リファラによるセキュリティ情報漏 cookie, JAVA, JavaScript, ActiveXによるユーザー追跡

    
パスワードの重要性

パスワードはセキュリティ上、非常に脆弱な点であるので、変更する場合は下記の条件に従って、新しいパスワードを決めて下さい。
5文字以上、出来れば8文字以上
パスワードが短いと、パスワード総当りで簡単に破られてしまいます。
数字だけは不可
銀行の暗証番号のようなものも、簡単に破られてしまいます。
辞書に載っている単語、人名は避ける
クラッキングソフトは、辞書や名簿から総当りを行います。
アカウント名に関連したパスワードも避ける
アカウント名と同じ、あるいは並びを変えたもの、ただたんに数字を付け加えたもの等も、簡単に破られます。特に「アカウント名=パスワード」のものはジョーアカウントと呼ばれ、高速検索ツールが多数存在するので、絶対に避けなくてはなりません。

また、ルートユーザのパスワードは、可能なら、定期的に変更するようにすることです。
少なくとも、サーバ管理の担当者が交代になった時等の場合には必ず変更する。
なお、AT-LINKのサーバでは、サーバのメンテナンスの為に、AT-LINKもルートユーザのパスワードを知っておく必要があるため、ルートユーザのパスワードを変更した場合は、AT-LINKに書面にて変更したパスワードを連絡しておく必要があります。

パスワードを手動で変更するには、TELNETでサーバに接続し、「passwd」コマンドを使用する
(ルートユーザなら、「passwd ユーザ名」で任意のユーザのパスワードを変更可能です)


リファラによるセキュリティ情報漏洩

IEなどのウェブブラウザは、ウェブサーバに対してデータを要求する際に、「referer」という情報をサーバへと送信します。

「referer」とは「参照元」、例えば、要求しているデータがHTMLファイルなら、そのファイルへリンクしているリンク元であったり、要求しているデータがHTMLファイルに貼り付けられた画像ファイルなら、その画像ファイルを呼び出しているHTMLファイルであったりします。
(実際には、そのファイルのURL)

これらの情報は、ウェブサーバ側がデフォルトでログとして記録している他、ロギング機能のあるCGIを動作させても記録をとる事ができます。
これらによって、該当のファイルが、一体何処のURLからリンクが張られているかを調査する事ができます。

この機能はサーバ管理者には便利ですが、ユーザにとってはプライバシーの侵害と見られたり、情報の漏洩と見なされる恐れがあります。
(その為、管理が必要な情報をウェブ上から閲覧できる状態にしたなら、それなりのセキュリティ的な制限を行う必要があります)

IEではリファラの実装にバグが有り、普通にページを見ていても、他の時に見ていた関係の無いページのURLをリファラとして出力してしまう事があります(その為、リファラをセキュリティチェック等に利用しているカウンタ等では、時々無関係にエラー出力がされてしまう事があります)
なお現在ではこの点の改良がほどこされてきています、アップデートによる、サービスパックなどがそうです。

また、この機能を悪用して、hotmail等のウェブメールに詳細ログを取るようなハイパーリンクを張る事で他人のパスワード等を取得でき、一時期問題になった事がありましたが、この点も改良されてきています。

IEのリファラ漏れのバグを避けるには、IE以外のブラウザを利用すればよいです。

そもそもリファラを出力したくない場合は、(現在のところはリファラ出力のオン/オフを切り替えられるブラウザは無いので)プロクシサーバソフトを利用して、そのプロクシサーバソフトで「環境変数refererを消去する」設定にすると良いでしょう。


cookie, JavaScript, JAVA, ActiveXによるユーザ追跡

クッキーを使うと、サーバ側から利用者のコンピュータを、長期に渡って特定でききます。通常はこの機能は、掲示板等で入力する際に手間がかからないように、名前やメールアドレス等の情報を記憶する為に使われます。しかし、ウェブ広告等のバナーではこのcookieを、リファラと組み合わせて、ユーザの追跡にも使っているのです。

具体的には、広告バナーがcookieを発し、利用者のコンピュータを特定し、それを、広告バナーが表示される際にリファラと共に情報を収集するようになっています。そのため、ユーザを追跡できる範囲は、その広告会社の広告バナーを採用しているサイトだけに限定されます。また、広告だけでなく、カウンタやその他各種の無料サーヴィスでも、このユーザ追跡を利用しているサイトも多いのです。
ですから、レンタルにはなるべく手を出さないほうがよいわけです。多数の登録がなされているレンタル業者に万が一情報漏洩(ハッカーなどの不正アクセスなど)があった場合多くのユーザー情報が盗まれてしまいます、ハッカーは情報の多いサイトを狙っています。
業者もこの点に抜かりはありませんが、猫とねずみの追っかけこ状態ですので安心は禁物です。

これらのユーザ追跡情報は、通常は広告会社内でのみ用いられ、収集された情報がバナー場所提供者や外部に公開される事は無いとされていますが、不意の事故あるいは不正アクセスで漏れる場合もありますので、注意が必要です。

また、JavaScript, JAVA, ActiveXを使って作られた、情報収集プログラムが仕掛けられたサイトを覗いてしまうと、ブラウザ側でその情報収集プログラムが稼動してしまい、それ以降のページ移動等が追跡されてしまう(ブラウザのバージョン等によっては、セキュリティ上の対策がとられていて安全な事もありますのでまめにバージョンアップすることをお勧めします)。このプログラムは通常、ブラウザが閉じられるまでは稼動し続け、その間に訪問されたサイトのアドレス、ファイルのURL、入力されたパスワード等の情報を収集元サーバへと送信するのです。

こちらの場合は、明らかにサイト閲覧者に悪意ある目的で仕掛けられ、パスワードやクレジットカード番号等の重要な情報が盗まれてしまう可能性がありますので、クレジットガード、銀行口座情報はPC内に保存しないようにしましょう。

これらの手段でユーザ追跡をされるのが嫌な時は、cookie, JavaScript, JAVA, ActiveXのそれぞれを、ブラウザの設定でオフにすれば良いです。但し、cookieの受け取りをオフにしても、既に受け取ったcookieはパソコン内に残っているので、残っているcookieを自分の手で削除する事も忘れないで行っておいた方が良いでしょう。

便利さを目的に作られた機能も逆手にとれば悪用されるといった落とし穴があるということです
                             top