マーケティングやデザインよりも安全性を 問われるweb サービスへの企業姿勢
本誌および多くの媒体の記事では、利用者に、通常スクリプトをオフにしてweb を閲覧することが推奨しているものが多い。
これは、ひとえに、IE のスクリプトとクッキーには、継続的に脆弱性が発見されているためである。
11月9日に発見されたIE のスクリプトとクッ
製品・サービス・業界動向
業界動向
これは、ひとえに、IE のスクリプトとクッキーには、継続的に脆弱性が発見されているためである。
11月9日に発見されたIE のスクリプトとクッキーについては、ようやく16日にパッチがリリースされたが、それまでの間は、マイクロソフト社自身もスクリプトをオフにしてwebを閲覧することをすすめていた。
利用者は、スクリプトをオフにするか、IEを使わないかしか自衛の手段はないのである。
ところが、web の中には、スクリプトをオンにしないと利用できないサイト = R-MSサイトが存在する。
スクリプトを使うこと自体には、問題はない。問題は、スクリプトをオンにしないと利用できない点にある。スクリプトをオンにしなければ利用できないメニューや機能があると、利用者に危険をスクリプトをオンにするように強制していることになる。
以前、本誌でR-MSサイト実態を調査した際には、民間企業の調査対象webのほとんどがR-MSサイトに該当していた。
スクリプト強要する企業サイト一覧 危険なサイトに「R-MSマーク」を (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3269.html
国土交通省、中小企業庁など官公庁にもスクリプトを強要する危険なサイト (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3265.html
スクリプト強要のあふれる企業 web 無知で無自覚な web に歯止めを (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3264.html
スクリプトの利用を強要するサイトはネット利用者の脅威である (2001.11.12)
https://www.netsecurity.ne.jp/article/1/3263.html
企業がこのような R-MSサイトを作る理由として考えられるのは、下記のようなことであろう。
・コスト削減
スクリプト利用によるweb制作コストの削減
・マーケティングデータ収集
技術力あるいは予算のない企業にとって、クッキーとスクリプトの利用はマーケティングデータを収集する効果的なツールとなる
・デザイン
筆者はセンスがないので、よくわからないが、いわゆる「クール」なwebデ
ザインなどのためにスクリプトを利用することがあるらしい。
ゲームやお遊び的な要素をスクリプトによって加えることもあるが、それはなくても本来のweb利用のさまたげにはならないので、ここでは対象にしない。
これらは、あくまでもサイト側の論理であり、利用者の便益になることはない。利用者の便益にならないことで、利用者を危険にさらすのは、あきらかに問題といえる。
そのようなセキュリティ無視の状態を放置しておくことは、企業なりの冷徹な計算があるのかも知れないが、そのために犠牲になるのは誰しも望むところではないだろう。
企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)
https://www.netsecurity.ne.jp/article/1/3273.html
すでに、現実に IE の脆弱性をついた起きた事件では、多くの被害者がでているのである。
msn、オリコをはじめとする多数のwebが改竄、感染の踏み台にされる (2001.9.19)
https://www.netsecurity.ne.jp/article/9/2842.html
「プライスロト FUCK japanese」事件にみる事後対処の問題点 (2001.8.23)
https://www.netsecurity.ne.jp/article/1/2672.html
ふたたび、被害者を出さないためにもセキュリティの重要性を認識し、web制作にも反映させることが必要である。
ちまたで、最近増えてきたセキュリティポリシーのセミナーでは、このような利用者を守るセキュリティのポリシーは教えてくれていないのだろうか?
「企業の競争戦略の一環としてのセキュリティ軽視(2001.11.13)」に見るように、多くの企業には”いまは”セキュリティを強化したくない理由がある。利用者自身もセキュリティ軽視の web 利用を控える、あるいは、積極的に R-MSサイトの指摘を行うなどの対応が不可欠である。
被害がでようがなんだろうが、利用者が減らない限りは企業は、web のセキュリティをまともに考えてくれない可能性が高いのである。
[ Prisoner Langley ]
(詳しくはScan本誌をご覧下さい)
http://www.vagabond.co.jp/vv/m-sc.htm
《ScanNetSecurity》