ヒビノカテ: 2009年10月アーカイブ

2009年10月アーカイブ

ブルートフォース(Brute Force)とは力ずくで暗号を解読して、パスワードを取得する攻撃手段のことを指す。
パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試みること。
非常に効率の悪い方法であるが、認証失敗回数制限によりIDが凍結されない限り、パスワードが取得されてしまう可能性がある。

システム利用者のパスワードを作成する際は誰でも思いつきそうなパスワードをやめることが肝要ですが、システム構築者からのブルートフォース攻撃を防ぐ方法を考えたいと思います。のブルトフォース攻撃の防ぎ方です。

1.パスワード認証をやめて、公開鍵認証を使用する。
2.アクセスの入り口を最小限にする
 1.不要なマシンがサーバーにアクセスしないようにする
 2.アクセス元のIPアドレスを制限する
 3.待ちうけポートを標準の番号から変える
 4.ありがちなユーザIDからのアクセスを受け付けないようにする
◎「手つかずの95%」に商機がある:日経ビジネスオンライン
<a href="http://business.nikkeibp.co.jp/article/tech/20091015/207194/?P=5" target="_balnk">http://business.nikkeibp.co.jp/article/tech/20091015/207194/?P=5</a>

"宇宙データシステム諮問委員会 (CCSDS) という組織が中心となって、
地上と国際宇宙ステーションに通信設備を設置し、地球から光速で100秒ほど離れた場所で通信衛星を稼働させる。 "

TCP/IPの延長上にあって、遅延することを前提設計していると言う話を昔聞いたことがあります。
SFの世界があともう少しですかね。。。

惑星間インターネットと聞くと、マクロスFを思い出すのですが。。。


もともとの記事

◎「手つかずの95%」に商機がある:日経ビジネスオンライン
<a href="http://business.nikkeibp.co.jp/article/tech/20091015/207194/?P=1" target="_blank">http://business.nikkeibp.co.jp/article/tech/20091015/207194/?P=1</a>

インターネットで使われる「TCP/IP」という通信規格を開発し、「インターネットの父」と呼ばれる、ヴィントン・サーフ氏。
の日経ビジネスオンラインのインタビュー記事です。

[リンク先を閲覧するには日経ビジネスオンラインに登録必要があります]
一.ロボット型検索エンジンのこれまで
Search Engineとは、検索エンジンのことですが、この場合は主にロボット型検索エンジンを指します。Yahoo!などのディレクトリ型は人間がページの掲載を判断していますが、ロボット型では、その名の通りロボット(実体はサーバ上で動くプログラム)がWebページを巡回・収集して、検索を可能とする仕組みです。

日本のロボット型検索エンジンには主に以下の様なものがあります。
Google
結果への信頼度はナンバーワン(主観)。シェアはロボット型の中で半分近い。
goo
NTT系のロボット型検索エンジン。通常のロボット以外に最近更新があったものを主に収集して検索できるフレッシュ型ロボットのエンジンもある。
Infoseek
楽天傘下のロボット型検索エンジン。検索エンジンだけでなくその他様々なサービスを提供。
MSN
蝶のマークが美しいマイクロソフト系の検索エンジン。

二.SEOとは
SEO とは、Search Engine Optimization の頭文字をとったものです。

検索エンジンの検索結果上位に自分のサイトを表示させるために、Webサイトを最適化することを言います。 SEOはうまくすれば費用をかけずにトラフィック(アクセス数を)稼ぐことができるため注目に値します。現在では SEO 関連の書籍 なども多数出ていますので、参考にしてみるのも良いかもしれません。

三.具体的な方法
1.キーワードの選定
まず、どのキーワードで上位を狙うかを決めます。これはほとんどの場合サイト(ページ)のメインテーマで良いですが、あまり一般的過ぎるキーワードだと、競合が多すぎたりするので、少し絞った方がいいかもしれません。特にインターネットはコアな情報だとリピータを確保できるということがあります。
参考:キーワードアドバイスツール、検索エンジンの入力補完を利用する。

◎Google AdWords : キーワード ツール
<a href="https://adwords.google.co.jp/select/KeywordToolExternal" target="_blank">adwords.google.co.jp/select/KeywordToolExternal</a>

◎Google トレンド
<a href="http://www.google.com/trends" target="_blank">www.google.com/trends</a>

◎Yahoo! JAPAN 関連検索ワードサーチ 「UnitSearch Ver.2.0」/SEM Analytics Lab
<a href="http://www.sem-analytics.com/lab/unitsearch.php> target="_blank>www.sem-analytics.com/lab/unitsearch.php</a>

◎みんなで作る検索エンジン、フェレット
<a href="http://jp-ferret.com/" target="_blank">jp-ferret.com/</a>

ネット購入のリアルタイムにわかる

◎【楽天市場】最新情報!売れ筋人気リアルタイムランキング - ランキング市場
http://ranking.rakuten.co.jp/realtime/

2.キーワードをページ内に含める
ロボットは基本的にテキストを読んでいます。だから、キーワードがページ内に含まれないと評価が低くなります。単純にキーワードは多い方が有利ですが、一時のようにやたらキーワードを並べても駄目です。最悪スパム認定されて結果表示からはずされます。さじ加減は難しいかもしれませんが、キーワードをテーマとしたページなら、自然にキーワードも多く出現すると思います。(目安としてテキスト料の5%が良いとされています。)
 
3.タイトルタグにキーワードを含める
<title>タグに含まれるキーワードは高評価を受けるようです。ただし、あまり長い文字列にすると評価が低くなりがちなようなので、ページタイトル自体にキーワードが入るよう工夫してみましょう。
 
4.METAタグ
<head>タグ内に記述するメタタグはGoogleでは無視されますが、読んでくれるロボットもいるので念のため正しく記述しましょう。
<meta name="description" content="ページの内容を解説した文章をここに書きます。">
<meta name="keywords" content="キーワードを半角カンマ区切りで書きます。">
<meta name="ROBOTS" content="INDEX,FOLLOW">
ロボットにページを取得させない場合は NOINDEX,NOFOLLOW と書きます。NOFOLLOW はページのリンク先をロボットが辿ることを禁止します。
 
5.robots.txt
これは、サイト内をロボットが読む(クロールする)のを制御するためのファイルで、あなたのページのアドレスが http://www.example.ne.jp/~hoge/ だったら http://www.example.ne.jp/~hoge/robots.txt の位置に置きます。ちなみにパーミションは 0644 とか 0604 などで良いでしょう。上のメタタグもそうですが、robots.txt もロボットにサイトのページを"読ませる"よりも、"読ませない"事のほうに効果があります。ただし、無視するロボットも多いので注意しましょう。(Googleが用意しているサービスのwebマスターツールでrobots.txtの作成やテストができます。)
 
6.文字列を画像で置き換えない
デザインに凝りはじめると、見出しを画像にしたりしがちですが、できれば普通に文字列にしましょう。ロボットは画像を読んでくれません。テキストを装飾するタグやなんかもいろいろ工夫できますし、気の効いたページを作ろうと思うなら、画像とテキストと両方をうまく使う方法なんかも良いでしょう。
 
7.alt属性
alt属性は img タグにおいて画像を説明するテキストを記述しておく属性ですが、ロボットのなかにはこれを読むものがあるようです。デザイン的に画像を使うしかない場合など確実にalt属性でテキストを補いましょう。これはブラウザで見る人間にとっても有意義な記述です。
 
8.フレームページ
フレームページはできれば避けたい所です。なぜならフレーム分割処理をするページにはテキスト情報が含まれないからです。分割先のページがクロールされて高評価を得ると、今度は検索エンジンからの訪問者がフレームの中のページだけを見るという問題が発生します。ただ、Google はけっこう優秀でこの辺をうまく読んでくれるようで、分割ページのアドレスに分割後のページの評価を持ってくるようです。しかし、多くの検索エンジンはフレームにそれほど対処できていないので注意した方が良いでしょう。
 
9.<noframe>
フレームページでの対処方法として、<noframe>タグが有ります。元はフレームに未対応のブラウザで読まれた場合に表示する部分を記述するためのタグですが、IEやNNをはじめ統計的には9割近い人がフレームに対応しているため、むしろロボット対策に使ってしまうのはアリかもしれません。同じように<noscript>タグなんかもあります。
 
10.被リンク数を増やす
Google 対策ではこれが最も効果あるような気がします。リンクのされ方も大切です。どこかからリンクされる際にアンカータグで囲まれる中に任意のキーワードが入っている時に最も評価が高くなります。ただ、これは自分の意志ではどうならない部分も大きいので難しいです。

SEOを大切ですが、それよりもコンテンツに注力することが重要です。
最後に、一番重要なことですが、どこからもリンクされていないページは作ってはいけません(どこからもリンクされていないページがロボットに100%読まれないということでもありません)。

なぜかというと、ロボットはページのリンクを辿ってインターネットを巡回するからです。サイト全体を効率よくクロールしてもらうためには、大手サイトなどでよくあるサイト内マップのようなページをひとつつくるのが手です。

しかし、その際の注意事項として、高ランクページからのランクが引き継がれるのは、そのページからリンクしている次のページのみのようです。その次のページにリンクすると元の高ランクは関係なくなってしまい、リンク元のページランクで評価されるようです。したがって、高ランクのページがひとつあるなら、そのページから全てのページにリンクを張ったほうが、全てのページに高ランクを引き継げることになります。 
「Gmail」に新機能--メール本文へ画像挿入可能に:ニュース - CNET Japan
http://japan.cnet.com/news/media/story/0,2000056023,20391545,00.htm

米国のLabsではGmailの編集画面でリッチテキストにすればアイコンから挿入できるようです。
しかし、日本仕様のGmailでは本文中に画像を挿入するアイコンはありません。

一手間かかりますが以下の方法で日本仕様のGmailの本文にも画像を挿入することができます。

1.Gmailを立ち上げて、リッチテキストモードでメール作成をする。
2.あたらしいブラウザを立ち上げる。
3.Googleドキュメントを新規で立ち上げる。
4.[メニューバー]→[挿入]→[画像]を選択。
5.コンピュータから画像を選択する。
6.ドキュメントに挿入した画像を[選択]して[コピー]する。
7.Gmailの編集画面の本文中に貼り付ける。

GmailInPicture_20091026.jpg
一手間かかりますが、この方法を使うとGmailの使い方が広がると思います。
ぼくはこれでposterousに投稿しています。




ログのチェック項目

| コメント(0) | トラックバック(0)
最近、セキュリティの勉強をしていません。そろそろセキュリティの勉強をしたいと思います。
さて、セキュリティで不正アクセスやセキュリティ事故がおきたときに最初に確認をするのがログとなります。
ログをとることは安全管理においてまず最初にしなければいけないことです。
そして、ログの確認をすることで不正アクセスの痕跡やその他のセキュリティ事故の痕跡を発見することが容易になり、事故の原因や再発防止策を講じることができるようになります。

1.不正アクセスの痕跡
 OSやアプリケーションのアクセス履歴で調べる
 ユーザ名、IPアドレス、ログイン/ログアウト時刻

2.ウィルス感染の有無
 ウィルスが感染するときに新たにユーザを作成することがある
 プロセスの確認

3.不正通信の有無
 ポート番号の確認

データベース操作したり、管理するシステムするソフトウェア群をでーたベース管理システム(DBMS)と呼びます。
データベース管理システムの役割にはつぎのようなモノがあります。

1.データベースの定義(DDL:Data Definition Language)
 データベースのスキーマを定義します。
2.データベースの操作(DML:Data Manipulation Language)
 データの追加や変更、呼び出しなどの操作を行います。
3.データベースの制御(DCL:Data Control Language)
 データベースの情報の機密保護、アクセス権限の設定、障害が発生したときの対処などを行います。

こうした定義は、データベース言語を用いて行われます。関係データベース(リレーショナルデータベース)では"SQL言語"を用いてデータベースを操作します。

ちなみにSQLは、(エスキューエル、シークェル )と読まれます。これは、SQLの元となったデータベース言語が、IBM社が開発したRDBMSの実験実装である System R の操作言語「SEQUEL (Structured English Query Language)」であったことが由来しています。
そのような経緯からSQL自体は略語ではありません。
リレーショナルデータベースは複数のテーブルから識別できるキー同士を結びつけてデータベースの集計・演算をするデータベースモデルのことを言います。

2010年に在庫がなくなる?--JPNIC、IPv4アドレス枯渇問題に向けた作業に着手:ニュース - CNET Japan
http://japan.cnet.com/news/com/story/0,2000056021,20351140,00.htm

"JPNICは6月19日、現在インターネットで利用されているIPv4アドレスについて、在庫枯渇状況を発表するとともに、枯渇期を乗り越えるために対応策の検討を開始したと発表した。 "

インターネットで利用するIPアドレスの枯渇問題の対応を検討している今日このごろです。インターネットはそもそもどのようにして発展してきたか簡単に見て生きたいと思います。

すでにインターネットといえば、一般的に情報を検索したりメールを送受信したりするネットワークを指す固有名詞になっています。
しかし本来、インターネット(internet)は「ネットワーク同士のつながり」を意味する一般名詞です。
米国では「固有名詞としてのインターネット」を"the internet"と表記し、「ネットワーク同士の相互を接続」を"internetworking"として区別しています。
世界的な規模の"internetworking"が、"the internet"ということになります。

インターネットの起源は、1969年に米国のARPA(高等研究計画局)が出資して構築したARPANETが元になっています。当初の目的は軍事情報の管理・交換が目的でした。
やがて、一般の研究機関や大学などネットワークの接続するようになります。
異種のネットワーク同士をつなぐためには同一の規格((プロトコル))でなければ接続できません。そこで共通のプロトコルとして採用されたのがTCP/IPというプロトコルでした。
商用利用では1989年で米国、1993年で日本でサービスが開始され、世界的な規模で急速に拡大していきました。

我々の生活に役に立つ、便利な道具は軍事利用からの転用が多くありますが、インターネットもまたその一つとなっています。

Webサービスにおけるパスワードの運用の注意点です。

・複数のWebサイトで同じパスワードを使いまわさない。
もし使いまわしたパスワードが漏洩したら、電子メール、オンラインバンキング、ソーシャルネットワーク、ショッピングサイトなどの情報やサービスをのっとられる可能性が出る。
対策: ユニークなパスワードを使う

・辞書に登録されているような単語や簡単な単語や簡単なフレーズをパスワードに使っている
"password"などの単純な単語やフレーズ、"qwerty"や"qazwsx"といったキーボードパターン、 "abcd1234"といったパターンを使っている場合は簡単にパスワードを推測さてしまう。
対策: 文字、数字、記号を組み合わせたランダムな文字列でパスワードを作成する。また、文字数は多ければ多いほど良い。

・個人情報にもとづいたパスワードを使っている

家族の名前やペットの名前、誕生日や電話番号、住所などの情報をなど、こうした名前をパスワードを使うことは意味がない。
対策: 他人が推測しにくいパスワードを作る

・パスワードを安易な場所で保管している
PCやデスクにパスワードを書いたメモを置くようなことはしない。横を通りすぎるだけで閲覧できるような状態ではそのアカウントを使われてしまう。
対策: 簡単に閲覧できる場所にメモを置かないようにする。PCに保存する場合は、ファイル名は中身を推測できないようにしておく。


・パスワードを忘れないようにする
しばらくログインしていないとパスワードを忘れることがある。
対策: パスワードをリカバリする方法を確認し、更新を実施する
パスワードリセットメールが正しく送信されるように、もっているすべてのアカウントにおいて登録されている電子メールアドレスが最新のものに更新しておく。

日常的にログインをするため、パスワードは簡易なモノが良いと思うのが人情ですが。。。
以上を読み、安易な文字列でのパスワードは控えましょう。

[参考にしたサイト]
◎パスワードの作り方、Google方式 | エンタープライズ | マイコミジャーナル
http://journal.mycom.co.jp/news/2009/10/08/071/?rt=na

2011年9月

        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30  

このアーカイブについて

このページには、2009年10月に書かれたブログ記事が新しい順に公開されています。

前のアーカイブは2009年9月です。

次のアーカイブは2009年11月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。