ゼロから身につけるネットリテラシー

hostsファイルの設定とは

モディ — 2009-10-19T20:31:41+09:00

■hostsファイルとは
hostsファイルとは、Windowsのシステムファイルの一つで、そのPC内でサイト名などをIPに変換するためのものであり、ローカルネットワーク上のパソコンでDNSサーバーを使用せずに名前解決を行うためのファイルのことである。

LAN内にWEBサーバーを立て、DNSサーバー構築していない時は、WEBサーバーの名前ではアクセスできずに、ルーターのアドレスへ転送されたりします。そこでDNSサーバーを立ち上げるよりは簡単に設定できる、HOSTSファイルの編集を行うことでアクセスできるようになるのです。

■hostsファイルの役割
hostsファイルとは、自分のPC内でホスト名をIPアドレスに変換する際に参照するファイルです。と言ってもちんぷんかんぷんな人も多いと思いますので軽く解説しますと、例えば「google.co.jp」など解りやすい形で書いたホスト名を、「216.239.33.100」などの実際の名前（IPアドレス）に変換する時に参照するファイルです。

Google（日本）のURLは、通常http://www.google.co.jpですが、そのIPアドレスは「216.239.33.100」になります。このことは、http://216.239.33.100と入力するとGoogleのページが表示されることで確認できます。この変換、すなわち「www.google.co.jp」→「216.239.33.100」という対応が書いてあるのがhostsファイルです。

と解りやすいと思われる例で解説してみましたが、実はこの例はちょっと実際とは違います。この場合の変換はPC内のhostsファイルでで行われる訳ではなく、DNSサーバーという外部の共通サーバーにある参照ファイルによって行われます。

Cookie（クッキー）とは

モディ — 2009-10-08T21:09:34+09:00

先日の記事、【プロキシとは】において出てきた言葉である「Cookie」について解説する。

■Cookie（クッキー）とは

Cookieとは、Webサイトの提供者が、Webブラウザを通じて訪問者のコンピュータに一時的にデータを書き込んで保存させるしくみである。

Cookieにはユーザに関する情報や最後にサイトを訪れた日時、そのサイトの訪問回数などを記録しておくことができる。Cookieはユーザの識別に使われ、認証システムや、WWWによるサービスをユーザごとにカスタマイズするパーソナライズシステムの要素技術として利用される。

Cookieの最も代表的な用途は、ショッピングサイトにおけるカートやログイン状態の管理である。また、IPアドレスによらないクライアントの識別を可能にするため、Webサイト運営者やインターネット広告配信業者などがユーザの詳細なアクセス履歴を取得する用途にも使われる。

Cookieは毎回送られるものであり、またHTTPヘッダの一部なのでASCII文字列になっている必要がある。そのためCookieでデータを直接扱うよりも、セッションIDを実装する手段として使うことが多い。この場合、実際のデータは、セッションIDをキーとしてサーバが保持することになる。

■セキュリティーの問題

Cookieでセッション管理を行う場合、もし第三者がセッションIDを知ることができれば、そのIDを名乗ることで本来のユーザになりすますことができる。このような「なりすまし」行為をセッションハイジャック（Session Hijack）と呼ぶ。
もし第三者がセッションIDを知ることができれば、そのセッションが有効な間だけとはいえ、パスワードを知らなくても「なりすまし」が可能となる。

また、クロスサイトスクリプティングも、cookie情報を不正に得る手段として使われる場合がある。Cookieには有効範囲が設定されているが、その有効範囲内にクロスサイトスクリプティング脆弱性を持つページがある場合、JavaScript等を併用して、他のサーバにcookie情報を（URLの一部に組み込むなどして）送信させることが可能になる。

■プライバシーの問題

Cookieを使うと、そのユーザからの他の要求と関連付けることができる。
この手法は、Web広告業者がよく利用する。バナー広告は、業者のサーバへのリンクを介して画像を取得する形式が一般的である。前述のとおりcookieはHTMLに限らず、画像にも設定することができる。HTTPではリンク元のURL情報も送信することが一般的なので、結果として広告業者は、同社を利用するすべてのサイトを対象としてそのユーザのアクセス履歴を把握することが可能になる。ユーザのアクセス履歴を追跡するという意味からトラッキング・クッキー（Tracking Cookie）と呼ばれたり、メインのHTMLではなく画像の提供元が設定するという意味からサードパーティ・クッキー（Third-party Cookie）と呼ばれたりする。

これをプライバシーの侵害と考える人も、そう考えない人もいる。このようなcookieを設定したくないユーザのために、クライアント向けセキュリティ対策ソフトの多くは、トラッキング・クッキーを検出・除去する機能を備えている[5][6]。しかし、すべてのユーザにその影響が正しく理解されているとは限らず、コンピュータウイルスと誤解して初心者が驚くといった状況も散見される。

プロキシとは

モディ — 2009-10-07T01:16:18+09:00

インターネットを利用していると、時々「プロキシ」又は「プロキシサーバ」という単語に出会うことがある。
ではいったいこの「プロキシ」とはどういう意味なのだろうか？

■プロキシとは
プロキシ（Proxy）とは「代理」の意味であり、企業などの内部ネットワークとインターネットの境にあって、直接インターネットに接続できない内部ネットワークのコンピュータに代わって、「代理」としてインターネットとの接続を行なうコンピュータのことであり、また、そのための機能を実現するソフトウェアのことである。

ネットワークに出入りするアクセスを一元管理し、内部から特定の種類の接続のみを許可したり、外部からの不正なアクセスを遮断するために用いられる。NATやIPマスカレードと違って、Webブラウザなどのクライアントソフトウェアにプロキシを使うことを明示的に設定しないと利用することができない。

単にプロキシと言う場合は、WWW閲覧のためにHTTPによる接続を中継するHTTPプロキシを指す場合が多い。HTTPプロキシの中には、外部との回線の負荷を軽減するために、一度読みこんだファイルをしばらく自ら保存しておくキャッシュ機能を持つものもある。

※プロキシ利用の問題点
不特定多数が利用しうる公開プロキシを通して掲示板に書き込んだ場合、掲示板を設置しているサーバのログにはプロキシサーバのIPアドレスが残り、実際に書き込みを行ったコンピュータのIPアドレスは隠蔽される。このためプロキシを通した書き込みには、掲示板荒らしや宣伝、犯行予告に使われてしまう可能性が少なからず存在する。
掲示板の管理者がプロキシの管理者にアクセスログを請求する場合があるが、プロキシの管理者が記録を取っていなかったり（単なる公衆中継点など）、定期的に記録を抹消していたり、管理者の不注意などにより意図せず公開されていたプロキシであったりすると、追跡が困難となる。書き込んだ者が複数のプロキシを使っていた（複数串と言われる）場合はなおさらである。

また、一部の悪意ある者がスパイウェアやコンピュータウィルスをプロキシサーバに仕込み、そのプロキシの利用者のPCにそれらが入り込むように細工する場合がある。そうでなくても、アクセスした間のCookieや履歴、入力したパスワードなどはプロキシサーバ管理者から丸見えになるので、セキュリティ上の問題も多数存在する。

URLとパラメータ値について

モディ — 2009-10-03T22:37:33+09:00

URL パラメータは、URL に付加される名前と値のペアです。このパラメータは、疑問符 (?) で始まり、name=value という形式で表されます。複数の URL パラメータが存在する場合、各パラメータはアンパサンド (&) で区切ります。次の例は、2 つの名前/値のペアがある URL パラメータです。

http://server/path/document?name1=value1&name2=value2

URL パラメータを使用すると、ユーザーが入力した情報をブラウザからサーバーに渡すことができます。サーバーが要求を受信したとき、要求の URL にパラメータが付加されている場合は、要求されたページにおいてそのパラメータが処理され、その後でそのページがブラウザに送信されます。

この例では、Web ベースのショッピングサイトのアプリケーションを想定します。ユーザーは、サイトにログインするときに、購入可能な商品の価格をどの通貨で表示するかを選択できます。

ブラウザは、サーバーのページ report.cfm を要求します。この要求には、URL パラメータ Currency="euro" が含まれています。Currency="euro" という変数は、取得された金額をすべて EU のユーロで表示することを指定します。

サーバーでは、この URL パラメータが一時的にメモリに格納されます。

report.cfm ページが取得され、パラメータに基づいてユーロ建ての商品価格が取得されます。取得される金額は、各種通貨のデータベーステーブルに保存しておくことも、各商品に関連付けられた単一の通貨からアプリケーションでサポートされている通貨に換算することもできます。

サーバーは、report.cfm ページをブラウザに送信し、要求された通貨で商品価格を表示します。このユーザーがセッションを終了すると、サーバーは URL パラメータの値を破棄し、サイトに新しいユーザーがログインしたときに要求を格納できるようにサーバーメモリを解放します。

URL パラメータは、HTTP の GET メソッドが HTML フォームと共に使用されたときに作成されます。GET メソッドは、フォーム送信時にパラメータ値を URL 要求に付加することを指定します。

URL パラメータを利用する例には、ユーザーの好みに応じた Web サイトのパーソナライズがあります。たとえば、ユーザー名およびパスワードで構成された URL パラメータを使用してユーザーの認証を行い、そのユーザーが利用している情報のみを表示します。この方法は、ユーザーが事前に選択した株式市場シンボルに基づいて個々の株価を表示する金融 Web サイトなどで利用されています。Web アプリケーションでは、一般に URL パラメータを使用してアプリケーション内の変数に値を渡します。たとえば、検索条件を Web アプリケーションの SQL 変数に渡し、検索結果を生成します。

クロスサイトスクリプティングとは

モディ — 2009-10-02T00:52:47+09:00

クロスサイトスクリプティング (Cross Site Scripting) とは、ソフトウェアのセキュリティホールの一つで、Webサイトの訪問者の入力をそのまま画面に表示する掲示板などのプログラムが、悪意のあるコードを訪問者のブラウザに送ってしまう脆弱性のことである。

もう少し詳しく説明をすると、動的にWebページを生成するアプリケーションのセキュリティ上の不備を意図的に利用し、狭義にはサイト間を横断して悪意のあるスクリプトを混入させることである。
また、それを許す脆弱性のことをいう。
広義にはスクリプトを混入させずとも、任意の要素を混入させられうる脆弱性を含む。
略記としてCSS、XSSがある。CSSは同分野でよく使用されるCascading Style Sheetsの略でもあるので、混乱を避けるためにXSSと表記されることが多い。

悪意を持ったユーザがフォームなどを通してJavaScriptなどのスクリプトコードを入力した時に、プログラム側に適切なチェック機構がないと、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがある。

このような形でページに埋め込まれてしまったスクリプトは、Webブラウザではページ作成者以外が埋め込んだものであると認識できないため、ブラウザ側でこの問題を防止するには、スクリプトを使用しない設定にするほかなく、スクリプトを使用する場合は常にこの問題が発生しうるのである。

悪意のあるコードを直接埋め込んで実行させるほかに、ユーザに認識のないまま他所のスクリプトを呼び出して実行するよう仕向けることが可能なため、「クロスサイト」の名がついている。