2009年10月22日
やはりリンデン早速行動へ
リンデンがインワールドで問題にぶつかった場合、決まってフォーラムへと議論をぶつけフィードバックを得ようとしますが、(Candidateのスキン、アダルト・コンテンツ、環境SIMなどしかり)やはり今回のサードパーティ製ビュワーについても、大いに懸念を表明しております。
まず問題とされているエメラルド・ビュワーのほかに、Snow Glove、kristens、Cool Vewerなど他にもイロイロあるわけですが、懸念材料なのがそれがフリーで公開される性質上、どうしても他サイトで配布される場合、どうも製品の品質保証が何も無く、加えて悪意による改ざんがなされても、結局はフリーコードはGPLに基づくのでコード非公開とはいきません。
ここがどうも今回の騒動の根底にあるようです。
前の記事で私が言及するように、ブラウザというキャラクタである以上、解釈するコードすなわち所得する情報の信憑性には確固たる堅牢性が一切ないのですから。
いうなれば、「フィッシングサイトとして有名なものなら、登録することで排除できるけど、どこの馬の骨ともわからないサイトを規制する法律などない」ってわけ。
ビュワーは自由に作ってよいが、よかれと思ったところがオープンソースが条件となっているので、悪用して設定ファイルを巧妙に書き換え、PHPリダイレクトなどでリンクはまるで信頼あるサイトのようになっているが、タグにはフィッシングサイトのWEBページからダウンロードされるようになっている・・。
皆さんはリンデンの公式ロゴのWIKIサイトから実際にサードパーティ製ビュワーをダウンロードしていますか?
何気にどっかのブログ記事に載せられたURLをクリックしていないでしょうか?
ブログサイトは多くのフリーで作れるツール群がネットには多くあり、しかもハッキングの温床にもなってもいます。問題なのはそこで使われるデーターベースはどれもフリーで使えるものが多いのも実態です。
データーベースというのは、ユーザーアカウント、パスワードなどを整理して関連づけていますので、ちょっとしたデーターベースで使うSQLを勉強するだけで、気軽に操作できる代物ですが、厄介なのはデーターベースを入れるだけで、実際はソフトというインターフェイスでしかデーターベースにアクセスしない輩が大多数という始末なのです。
このSQLを自在に使える連中に言わせると、特定のURLを特定のアカウントに結び付けて利用するといったことは充分可能です。
登録サイトというのは、普通パスワード情報とID、つまりユーザー名は別テーブルに保管していますが、このテーブルはそれぞれ全く別の隔離されたデーターベースにセキュリティ上入れます。
しかしですね、ここを狙ってやる連中がいるんです。
ユーザー名と無関係のIDを打ち込んでも、特定のパスワードさえ通せばIN出来る状況を作ることも可能。用はPCからのリクエスト自体を他のネットワークに乗せればいいだけの話だからです。
その先は偽装WEBページであったら・・。
ユーザーは間違いなくアカウント情報をためらい無く打ち込むことになります。
その入り口が、ビュワーをダウンロードさせてインストール、インワールドにログインさせることなのですから。
ビュワーはもはやハッカーへ導く道具として使われるわけです。
ではどのように防いだらいいのでしょうか?ビュワーのコードは既に公開されまくってます。
今フォーラムでは議論が白熱しています。リンデンも参加を強く要望しております。ただし英語ですが。
GPLを侵害しない立場であるなら、システムの改善が必須になるでしょう。
フィッシングサイトを規制するのは、どこかのお国がやっているように、所詮隙間産業を儲からせるだけに終始します。
もっというとタダ単に愉快犯だけならいいのですが、これが企業脅迫に至るとリンデンだけではなく、SLにとっての脅威になるってわけ。
ビュワーからプリムをREZする行為をすると、モロ、インベントリ・サーバーからリージョンサーバーへとWebdavをつかって情報が移動するので、このリクエストを監視して違反行為を規制するのはどうか?とかイロイロ議論はフォーラムにはありました。
胸が揺れるとかどうとか言うことより、もっと見ておかなきゃいけないものがあるみたいです^^。
まず問題とされているエメラルド・ビュワーのほかに、Snow Glove、kristens、Cool Vewerなど他にもイロイロあるわけですが、懸念材料なのがそれがフリーで公開される性質上、どうしても他サイトで配布される場合、どうも製品の品質保証が何も無く、加えて悪意による改ざんがなされても、結局はフリーコードはGPLに基づくのでコード非公開とはいきません。
ここがどうも今回の騒動の根底にあるようです。
前の記事で私が言及するように、ブラウザというキャラクタである以上、解釈するコードすなわち所得する情報の信憑性には確固たる堅牢性が一切ないのですから。
いうなれば、「フィッシングサイトとして有名なものなら、登録することで排除できるけど、どこの馬の骨ともわからないサイトを規制する法律などない」ってわけ。
ビュワーは自由に作ってよいが、よかれと思ったところがオープンソースが条件となっているので、悪用して設定ファイルを巧妙に書き換え、PHPリダイレクトなどでリンクはまるで信頼あるサイトのようになっているが、タグにはフィッシングサイトのWEBページからダウンロードされるようになっている・・。
皆さんはリンデンの公式ロゴのWIKIサイトから実際にサードパーティ製ビュワーをダウンロードしていますか?
何気にどっかのブログ記事に載せられたURLをクリックしていないでしょうか?
ブログサイトは多くのフリーで作れるツール群がネットには多くあり、しかもハッキングの温床にもなってもいます。問題なのはそこで使われるデーターベースはどれもフリーで使えるものが多いのも実態です。
データーベースというのは、ユーザーアカウント、パスワードなどを整理して関連づけていますので、ちょっとしたデーターベースで使うSQLを勉強するだけで、気軽に操作できる代物ですが、厄介なのはデーターベースを入れるだけで、実際はソフトというインターフェイスでしかデーターベースにアクセスしない輩が大多数という始末なのです。
このSQLを自在に使える連中に言わせると、特定のURLを特定のアカウントに結び付けて利用するといったことは充分可能です。
登録サイトというのは、普通パスワード情報とID、つまりユーザー名は別テーブルに保管していますが、このテーブルはそれぞれ全く別の隔離されたデーターベースにセキュリティ上入れます。
しかしですね、ここを狙ってやる連中がいるんです。
ユーザー名と無関係のIDを打ち込んでも、特定のパスワードさえ通せばIN出来る状況を作ることも可能。用はPCからのリクエスト自体を他のネットワークに乗せればいいだけの話だからです。
その先は偽装WEBページであったら・・。
ユーザーは間違いなくアカウント情報をためらい無く打ち込むことになります。
その入り口が、ビュワーをダウンロードさせてインストール、インワールドにログインさせることなのですから。
ビュワーはもはやハッカーへ導く道具として使われるわけです。
ではどのように防いだらいいのでしょうか?ビュワーのコードは既に公開されまくってます。
今フォーラムでは議論が白熱しています。リンデンも参加を強く要望しております。ただし英語ですが。
GPLを侵害しない立場であるなら、システムの改善が必須になるでしょう。
フィッシングサイトを規制するのは、どこかのお国がやっているように、所詮隙間産業を儲からせるだけに終始します。
もっというとタダ単に愉快犯だけならいいのですが、これが企業脅迫に至るとリンデンだけではなく、SLにとっての脅威になるってわけ。
ビュワーからプリムをREZする行為をすると、モロ、インベントリ・サーバーからリージョンサーバーへとWebdavをつかって情報が移動するので、このリクエストを監視して違反行為を規制するのはどうか?とかイロイロ議論はフォーラムにはありました。
胸が揺れるとかどうとか言うことより、もっと見ておかなきゃいけないものがあるみたいです^^。
Posted by arado at 02:11│Comments(0)
│リンデンラボ
