2016年07月27日

余計なことをしてくるbotへの対策 - BASIC認証なんかどうだろう。

昨日実名公表を行った今回の騒動なわけですが、対策として、ダウンロードのzipファイルに「毎日変化するBASIC認証」をかけてbot避けすることで検討しています。

zipファイルそのものへの暗号化も考えたのですが、アップロード済みの全ファイルに暗号化をする手間と、ダウンロード後にユーザーが戸惑う可能性、なにより、以前の連続誤検知の時のような、ファイルの中身を見ないで誤検知に倒れるケースには全く意味をなさないことから、zipファイルそのものの暗号化は見送りました。

とりあえず、BASIC認証のダイアログに表示されるメッセージにIDとパスワードを書いておき、ユーザーに入力してもらう仕掛けにすれば、ユーザーは戸惑うこともなく、体良くbot避けにできるんじゃないかな、と考えています。

まぁ、パスワードを可変にするのは骨が折れそうなので、ユーザー名を可変(毎日定刻に更新)し、パスワードはpasswordとかに固定にしようかな、と。
悪意ある人を避ける目的だとこの方法ではダメだけど、bot避けならこれで十分だろう。

特定のREFERや特定のUAを持っているbotに対してアクセス拒否の対応を取れるのであれば、それが一番影響範囲が少なく安全なのですが、残念ながらそのドイツ企業の詳細がわかっていませんし、そもそも余計なことをしてくるbotはドイツからしか来ないとは限りません。

不特定多数のbot、未来に登場するbotへも対応を行うとしたら、やっぱり、BASIC認証を挟むのが一番確実ではないかな、と考えています。


posted by ayacy at 01:43 | Comment(0) | TrackBack(0) | サーバ運用

2016年07月26日

企業名の実名公表 - レンタルサーバーの会社とは契約関係とかはなかったようで

実名公表することを検討していた、先の騒動の発端になった企業名ですが「CLEAN-MX」というドイツの企業ということがわかりましたので公表します。

レンタルサーバーの会社とは契約関係とかはなかったようで、一方的に通報してきているんだとか。
ちょっと、なんというか、こまったさんですね。


posted by ayacy at 01:08 | Comment(0) | TrackBack(0) | サーバ運用

2016年07月24日

降って沸く災難。降って沸いた誤検知と降って沸いたポケモン?

Twitterの方では書いたのですが、こちらには書いていなかったかと思うのでいちおう。

先日の、レンタルサーバの管理元からの誤ったウイルス検知報告に振り回されて、丸っと睡眠時間が失われるなど実害が出たことに関連し、レンタルサーバの管理元と情報共有をしておきたいとした件(7/14, 7/15)ですが、近々、さくらインターネットの担当の方に情報共有の場を設けていただけることになりました。

誤検知報告を受け取った立場としては、私も、さくらインターネットのご担当者も、同じく被害者の立場になると考えています。有意義な情報共有をしたいと考えています。

こんな感じで、誤検知は、降って沸いたように害悪をもたらし、誤検知を通報した本人は何食わぬ顔をしてどこかへ行っちゃうわけですけど、これに対して有効な防御策が見いだせればうれしいです。

まぁ、Webサイトを公開しているとか、ソフトウェアを公開しているとかいうことをしている以上、こうした被害が出てしまうのは、ある意味致し方ないところではあります。トレンドマイクロによる誤検知問題の件でも書いたように、誤検知ゼロ化ではなく事後ケアに力を入れるべきなんだと思います。


続きを読む
posted by ayacy at 00:44 | Comment(0) | TrackBack(0) | フリーソフト