2013年4月22日月曜日

デフォルト依存が生むセキュリティーの脆弱性、文字化け対策の勘所は

[4月26日(金)更新、改題と推敲]
 文字化けするのは、世界では日本語とロシア語くらいでしょか。いずれの場合も、たいていは文字セットの指定が正しくないか、ソフトウエアー上の初期設定(デフォルト)の不備・技術的な不具合のせいです。使用環境が変化したにもかかわらず、デフォルトのままにしておくと、いつかそうなります。IEのバージョンアップが繰り返された際のバグとして、調整不足の「レイアウト崩れ」が生じているのです。
 人が化ける成り済ましの事例は、匿名性を悪用して為されること。お目当ては、ずばりお金です。現代の錬金術師たちの策謀に落ちらないためには、好奇心からボタンをクリックしない、おかしな表示を見逃さない、まず疑うことです。乗っ取りの霊が文字に憑依するのは、曖昧さの美を誇るユーザーがいる為です。デフォルト設定を安全と鵜呑みにしている君のハウスに裏口を造り、大事な情報を盗み取るウイルスを忍ばせる、巧妙な手口です。たとえデフォルトを疑い、互換性表示をオンにしていても、実は空き家も同然。サーバー側のデフォルトがいい加減だと、もっとひどい汚れた霊を連れ込み、クライアントの状態は一層ひどくなります(→新約聖書のマタイによる福音書12章 4345節参照)。大事な端末のフェイスがスポンジ状のBSE化に陥らないよう願いたいものですが、そうならない保証はどこにもありません。サーバーの「そっくりさん」が横行する中、安全神話への過信は禁物です。
 デフォルト依存が、事実セキュリティーホールを開ける原因となっています。文字化け(レイアウト崩れ)は、不注意の結果を反映しているに過ぎません。マイクロソフトフォーラムで討議した際に指摘されたこと、IE用の「累積的なセキュリティー更新プログラムKB2416400 には、JIS (Japanese Industrial Standard) エンコーディングの自動検出を無効にする修正プログラムが含まれています。そのため、JIS エンコーディングは自動検出されず、電子メール メッセージのコンテンツは読み取ることのできないコードで表示されます。」その結果、JISコードの読み取りに失敗しています。「自動検出、つまり、デフォルト依存がセキュリティーの脆弱性を生み、文字化けを生んだ」(ウインドウズスクリプトプログラマ氏が指摘する)例として、一連の事象の因果関係をしっかりと把握しておく必要があります。
 数々のスレッドから学び得た私の総括、以下はKB2416400のやり取りで考えさせられたことです。使用環境の整合性がすべてフィットするまで、セキュリティーは強すぎてもいけない、また弱すぎてもいけない(フィットネスは目標値、微調整が必要)。デフォルト依存からの脱却は、ユーザーの自己責任でなされること(自動検出への過信は禁物)。バグはつきものなので、クライアントの自分!と導入した製品のアップデイトに手を抜かないこと(危機管理は双方の自己管理)。以上三点。 

Shigfried Mayer (宮村重徳), copyrightsall reserved 2013, the Institute for Rikaishakaigaku

0 件のコメント:

コメントを投稿