「Webを支える技術」まとめ 1 - 4章
第一章 Webとはなにか
Webの構成
- Webサイト
- HTML
- プログラム用API
- XMLやJSONなど、プログラムで解釈・処理しやすいもの
- URI(特定するための識別子)
- HTML(XMLをもとにした文書フォーマット)
- HTTP(プロトコル)
ハイパーメディア
非線形的に自由に取得することができる方法
分散システム
「分散システム」の対義語として「集中システム」があるが、これは1つの中央コンピュータがすべてを修理する形式である。
第二章 Webの歴史
Webの誕生
1990年にTim Berners-LeeがWebの提案書を記述。同年最初のバージョンのブラウザとサーバを完成。
1993年に公開されたMosaicというブラウザは文字情報だけではなくインラインで画像を表示することできた。MosaicはInternet ExplorerやFirefoxと現在のブラウザの開始と言われている。
Webの標準化
Webが急速に普及しているが各社の実装は交換性がないになっていた。この問題を解決するため1994年にBurners-LeeがW3Cを設立した。
HTML、XML、HTTP、URI、CSSなどの標準化作業が行われた。
RESTの誕生と普及
Webが急速に普及した結果に、サーバーのロードも重くなった。
この問題を解決するためカリフォルニア大学アーバイン校の大学院生だったRoy-Fieldingが「REST」と呼ばれるアーキテクチャスタイルを提案した。
第三章 REST
RESTアーキテクチャスタイルの構成
RESTを構成する六つアーキテクチャスタイルを紹介する:
- クライアント/サーバ
- ステートレスサーバ
- キャッシュ
- 統一インタフェース
- 階層化システム
- コードオンデマンド
第四章 URIの仕様
URIの構文
このURIを構成するのは下記:
URIプロトコル: http
ホスト名(ドメイン名かIPアドレス):example.com
パス(リソースを示す物):/blog
URIと文字
URIで使用できる記号
- アルファベット:A-Z、a-z
- 数字:0-9
- 記号:-.~:@!$&'()
3つのハッカーがログイン情報を取得する方法と対応策
TL;DR
- パスワードマネージャーを使用する。
- 2FAを使用する。
- パスワードを物理的な媒体に記録することを控える。
- パスワードは再利用しない。
- 簡単なパスワードを使用しない。
デジタル時代にログイン情報から個人情報まで、情報漏えいの話を聞いたことがよくあると思います。
ハリウッド映画では、よくハッカーが”魔法のような”フラッシュ・ドライブを使ってパソコンシステム乗っ取る様子が描かれていますが、現実のハッカーは、普段我々と同じような手順で普通にシステムログインで乗っ取ってます。
「えぇ?!どうやって?」と思っている人も少なくないと思いますから、
ここでは、3つのハッカーがログイン情報を取得する方法と対応策をご解説させていただきます。
さあ、始めましょう!
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
1. 物理的な漏洩
物理的な漏洩は名の通り、物理的な接触によって情報を取得する攻撃です。
モニターやノートPCの中に、文字が書かれた付箋紙を貼り付けていることが見たことありますか?99%の確率で、それはOSのログインパスワードです。
または、PCやフラッシュメモリーの中に、ログイン情報を記録してるテキストファイルを作成したことはありますか?
実はドライブをフォーマットしても、ハッカーがドライブを手に入れたら、テキストファイルを読めます。
対応策
絶対に必要な場合以外、物理的な物に情報を書き込まないようにしましょう。
どうしても必要な場合、必ずログインIDとパスワードを別の対応策に書き込みましょう。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
2. 他サイト漏洩
他サイト漏洩とは、同じパスワードで複数のサービスを登録した場合、一つサイトの漏洩は一気ですべてのサイトを一緒に漏洩したこと。
先ほどの付箋紙の例で、多く人は同じパスワードを複数で使っていますので、OSのログインだけではなく、ディズニー+、Netflix、Spotify、銀行など複数のサービスを同じパスワードでログインできちゃいます。
対応策
パスワードの再利用は避けてください。できれば一つのアカウント、一つのパスワードでするのを推奨です。
ほとんどのパスワードマネージャーが「ワンクリック」でランダムなパスワードを生成できます。新しいアカウントを作成する時、ぜひ使ってください。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
3.ブルートフォース攻撃
ブルートフォース攻撃は、スクリプトで常用なパスワードを一つずつでループ入力する攻撃です。
こちらが超安全なパスワードを提供します! - "0000 " と "password"。
「えぇ?バカなの?」だと思っていますよね?実は、僕もそう思っています。しかし、世の中にそう思わない人がたくさんいます。
NordPassが発表した2021年の最もよく使うパスワードランキングで、「password」はトップ10に入っているのです。
じゃ、 "password "や "0000 "を使っているアカウントを攻略できるまで何時間をかかると思いますか?
どちらも1秒以内です。
対応策
ブルートフォース攻撃に簡単な対応方法は、少なくとも8文字と大文字1文字、特殊文字1文字を含むパスワードを使うこと。
また、生年月日、子供の名前、qwerty、123456、password、hello、welcomeなど最もよく使うパスワードを使う避けてください。(上記のNordPassのリストを参照してください)。
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
結論
インターネットセキュリティの世界では、「セキュリティ」と「利便性」は常に表裏一体です。
例えば、シンプルなパスワードの組み合わせと2FAを使わないアカウント、ログインする時確かに便利ですが、セキュリティが高いとは言えません。
「セキュリティ対策をどの程度が過剰なのか」については、人それぞれですので、自分はどれぐらいのリスクを取れるかを理解することが重要です。
もしこの記事が役に立てば幸いです!
それでは、また次回の文章でお会いしましょう。