お久しぶりな感じで
前回ブログを書いたのが9/15なので、やや二ヶ月ぶりくらいでしょうか(汗
とにかく忙しいというか、やってもやっても仕事が途切れず来てしまうので、オープンソースを書いたり学習したりという時間が全く取れない状況が続いております・・・予約システムは2つ書き出しているのですが、どっちも全く進まず・・・・汗
ともあれ今年もあとニヶ月を切り、北海道は雪マークが付く季節になってきました。先週はタイヤ交換をした翌日にがっつりと雪が積りまして良いタイミングだったなぁ・・・まぁこの時期の雪はすぐ溶けるのですが。
さて、とある案件でセキュリティ関連の第三者機関による脆弱性診断というものを受けました。
守秘義務契約が有りますので、どこの会社といった事は表に出せないのですが、相当な規模のWEBシステムを書いてまして、ぶちゃけ何でうちが書いているのだろう?と疑問に思うほどの案件です。ちなみに、広告代理店を通してるとか間にWEB屋が入っているとかじゃなく、その企業から直で貰っている仕事です。まぁ、基本的に間に代理店等が入る案件は請けないようにしているのですが。
診断結果としては何点か改善しなくてはいけない指摘も有りましたが、無事再診断でOKとなりお墨付きを頂きました。どういった手順でどういう攻撃を仕掛けてくるのか、それに対してプログラム側ではどういう対処を行うのが適切なのかといった事が報告書に詳しく書かれており、とても勉強になりました。
例えば、ログイン画面のロック処理というものが有ります。規定数(例えば5回)ログインに失敗するとIPやホスト等をDBに記録し、解除するまで例え正しいアカウントであってもログインさせないという仕組みです。
私的には、ロックされた段階でログインページから解除用ページ、いわゆるパスワードリマインダーのようなページに推移させ、期限付きのユニークなパラメーターを付けたURLをメール送信して解除、という仕組みにしたのですが、これが宜しく無いらしいのです。セキュリティ会社によると、このような仕組みだとロック機構が有るのだと攻撃者に知らせる事になるから、との事です。
そう言われてもうーん・・・というのが正直なとこでは有ります。というのは、企業のネット回線が固定IPのケースも多く、IPでロックしてしまうと同じIPを使う他の部署からもログインが出来なくなってしまう可能性が有るためです。もちろんIP以外でも判定はしてしますが、IPを外す事は中々難しく・・・セキュリティは大切だけど、それによってサービスを提供出来なくなってしまう事と、ロックされた事を知らせず永遠にログイン出来ない状態を続けるのは、クレームに成りかねません。
とまぁ、普段気をつけている点の更に上のレベルで仕事となり、苦労は有りましたがスキルアップ出来たと思います。
そうそう、KEYのロゴの変更と、ホームページの色を赤に変えてみたりしました。中身は何も変えてはいないのですが、赤をちょっと使いたくなりまして。12月になるとクリスマスですしね。って、スーパーに行ったらクリスマスソングが流れていまして・・・さすがにはえーだろ、と思いましたが、ちょうど雪も降り良い雰囲気でした。
といったところでお終いですが、あれですねぇ・・・文章だけだとほんとアッサリなデザインだなぁ(汗 でも最近よく見るアイキャッチを文章の上にドーンと表示するアレ、邪魔じゃないです?全く無関係な写真ってケースも多いですし、興味を抱かせるほとの効果が無いと思うんですよねぇ・・・まぁフィードバックされたときやFBにURL載っけたときに多少効果あるのかな・・・良く解りませんが。
おっと、本当にこれでお終いです。