信頼できないネットの信頼マークと R-MS サイトの正しい FAQ

　迷えるインターネット子羊の間で、R-MS サイトについての疑問が渦巻い
ているそうである。

Slashdot Webサイトにも安全マークを
http://slashdot.jp/article.pl?sid=01/11/15/050236&mode=thread

　そもそも R-MS サイトなるものは、あまりにも身勝手なスクリプト使いまくり、クッキー食わせまくりサイトに対する皮肉と批判から発生している。

>> あてにならないセキュアな仕組み

　世の中には、皮肉抜きのまじめなセキュアな仕掛けがすでにいくつもある。利用者は、その仕掛けが動いているのを見ると、安心を覚えるのである。R-MS サイトは、まじめなセキュアの仕掛けが存在する前提でのパロディのはずだったのだが、実際には、まっとうに動いているまじめなセキュアな仕掛けはないらしい。
　ところが、どうもこのセキュアな仕掛けというやつがさっぱり信用できない事態になりつつあるのである。

>> 事例に見る信用できないセキュアな仕掛け

・なんのためにあるの？いい加減な表示のデジタル署名
　セキュアな仕掛けとしては、あまりにも有名なSSL であるが、有効なサイトに対しても「無効」である旨の表示がでてしまう。サイトの中には、わざわざ利用者に、「無効と表示されますが、有効です」と説明しているものもある。そんなサイトを信じられるわけがないと思うのは私だけではあるまい。サイト自身には、なんの責任もないのだが・・・

Web サイト証明時の表示の一部が誤って表示される
http://www.microsoft.com/japan/support/kb/articles/J068/8/12.asp

・電子認証局　連続改竄にwebのセキュリティ上の問題でPKIベンダ不信爆発
　日本では2社、政府からのお墨付きをもらった民間企業がある。しかし、その1社の使っているPKIシステムベンダは、立て続けに２度改竄受けた上に、webサイトにセキュリティ上の問題まで発覚した。
　諸般の問題があるので詳細な説明は行わないが、ローカルパス＋ソースコード丸見え＋外部からSQLサーバにコマンド発行可能という考えられない事態がその後もしばらく放置されていた。

国土交通省CALS／EC特定認証業務取得の日本ボルチモアテクノロジーズやテレビ東京など国内サイトが改竄被害(2001.10.7)
https://www.netsecurity.ne.jp/article/1/2976.html

もちろん、もう１社も経験済みです。

日本ベリサイン、再び改竄被害　数日で複数回の改竄
(2001.8.6)
https://www.netsecurity.ne.jp/article/1/2590.html

・国際標準 BS7799 ISO15408 ベンダが作る危ないサイト
　日本ユニシスがアウトソーシング事業で取得している。日本ユニシスが構築した国内線ドットコムは、皮肉にも同社が取得してからシステムがらみの事故とセキュリティホール発覚などが続いている。

問題の露呈した国内線ドットコムのシステムは日本ユニシスが開発、運用
(2001.11.28)
https://www.netsecurity.ne.jp/article/1/3393.html

　おまけにいうと、こうした電子政府をつかさどるはずの法務省も不正中継サーバを運用していた実績がある。

やはり悪用されていた法務省メールサーバー
(2001.11.16)
https://www.netsecurity.ne.jp/article/1/3326.html

>> R-MS サイトに関する FAQ

　前置きが長くなった。ここで脈絡はないが、R-MS サイトに関する FAQ をお送りする。

>>Ｑ１　R-MS サイトとはなんですか？
　Ａ１　スクリプトをオフにした状態で利用できない機能、サービスがあるサイトを指します。スクリプトをオフにしていても代替する方法が用意されている場合は、含みません。
　あくまで、利用するにあたり、スクリプトをオンにしなければならないサイトを対象としています。

>>Ｑ２　R-MS0 サイト、R-MSX サイトとはなんですか？
　Ａ２　R-MS0 サイトは、R-MS サイトのうち、過去に事故や事件を起こしていないサイトです。
　R-MSX サイトは、R-MS サイトのうち、過去に事故や事件を起こしたことのあるサイトです。中には、危険なスクリプトをサイトに、埋め込まれて利用者に被害を与えた経験を持ちながらも平気でR-MS サイト状態を続けているサイトもあります。

>>Ｑ３　一度、R-MSX サイトになってしまうと元には戻れないのですか？
　Ａ３　R-MS サイト状態をやめれば、R-MSX サイトではなくなります。

>>Ｑ４　R-MS サイトは、スクリプトとクッキーの全面禁止を主張しているのですか？
　Ａ４　いいえ。R-MS サイトは、あくまで、スクリプトをオンにしないと利用できない機能、サービスのあるサイトです。代替する方法で全ての機能やサービスを受けることができれば、別にスクリプトを使っていてもよいと思います。
　また、事前に、利用者にスクリプトをオンにすることの危険性について明示的に断れば好きなだけスクリプトを使って問題ないと思います。

例えば、こんな説明があればよいと思います。
「このサイトでは、スクリプトとクッキーを使用しています。スクリプトとクッキーをオンにして、web を閲覧することは、一般的に危険なこととされています。
　過去に実際におきた事例ではアクセス後、パソコンが起動しなくなる、サイトを見ただけでウィルスに感染するといったものがあります。
　また、クッキーを使用することによって第三者に、あなたの個人情報を盗まれたり、なりすましされたりする可能性があります。
　サイトのセキュリティに関しては、万全の注意を払っておりますが、本サイトをご利用なさる場合には、セキュリティ上の危険があることをご了承の上ご利用くださいますようお願い申し上げます。なお、本サイトを利用した結果、どのようなことが起ころうと、当社は責任をおいかねます。自己責任でご利用くださいますようお願いいたします。」

>>Ｑ５　ロゴマークを募集していると聞きましたが、本気ですか？
　Ａ５　はい。本気がどうかは別として、募集は行っております。すでに応募していただいた方もいらっしゃいます。マークは、R-MS、R-MS0、R-MSX の３種類です。
　採用されたマークは、Ｔシャツとマグカップを作って作者にプレゼントいたします。

マーク募集の詳細については、下記のURLを参照してください。

危険なスクリプトを利用する「R-MS」サイトのマーク募集のお知らせ
(2001.11.30)
https://www.netsecurity.ne.jp/article/1/3434.html

>>Ｑ６　R-MS サイトの MS の意味を教えてください。
　Ａ６　インターネット、特にセキュリティについて意識している人にとっての不吉な言葉を調査したところ MS という言葉がでてきました。モビルスーツの略ではありません。

[ Prisoner Langley ]

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?sdx01_netsec

関連資料
辛口コラム集「PrisonerLangley the column vol.01」
http://ns-research.jp/c2/shop/books/p-lng01.html