みんなに優しく、解りやすくをモットーに開設しています。 以下のルールを守りみんなで助け合いましょう。
1.ファイルメーカーで解らない事があればここで質問して下さい。 何方でも、ご質問・ご回答お願いします。 (優しく回答しましょう)
You are not logged in.
Pages: 1
お世話になっております。FMPa12 Mac 使用です。
以前一度ご相談させていただきました( https://fm-aid.com/bbs2/viewtopic.php?id=482 )が、まだ解決しないので再度相談させてください。
データベースをIWPで一般公開し、お客様にDBにアクセスしてもらうことを希望しています。お客様ごとにIDを発行し、ログインしてもらって、お申込みいただいた手続の進捗状況などを表示するとともに、指示が必要な場面ではIWPから入力送信してもらう予定です。また、メールマガジンの申込受付(名前とメルアドの送信)もIWPで予定しています。
個人情報を含むのでセキュリティを確保する必要があるのですが、IWPのセキュリティは大丈夫なのでしょうか?
以前、弊社で外注している個人のシステム担当者に相談したところ、セキュリティの脆弱性(の可能性)が指摘され、MySQLを用いたWebDBの使用を勧められました。彼の説明をまとめると、以下のとおりです。
■ 特定のDBを破壊するという意識をもった攻撃は今はほとんどなくて、IPアドレス単位で絨毯爆撃的に脆弱調査を行って、その結果引っかかったサーバがあれば侵入するという形が主流で、侵入して中身を盗み出すまで全自動。なのでIWPで公開しているだけで危ない。
■ あとはgoogleにキャッシュが残るような設定でそのまま運用していたような場合にはそれが悪用される、例えばWordPressならGoogleでWordPressのバージョンを調べた結果、古いバージョンがあればそのリンク先に飛んで、脆弱性を付くスクリプトを仕掛けて、ユーザ情報を抜いたり改ざんしたりする行為もすべて全自動でやるようになってたりする。なので、FileMakerのような固有のモノを公開する場合にもし脆弱性が発見された場合に放置すれば、検索結果などから自動で侵入をゆるしてしまうことになる。
■ どこか固有の目的をもってどこか特定の誰かのサーバを攻撃するというのは本当に限られていて、ほとんどはそういう目的以外で侵入されてる結果。改ざんされた(報告のあったものを含む)Webサイトの情報が https://twitter.com/def_jp にあるが、どれも意図的に改ざんされていないのは明らか。
私はWebDBにはど素人なのでよくわからないのですが、結局WebDBのセキュリティも完璧ではないのでしょうから、程度の差にすぎないのでは?という気がしています。上の説明をそのまま受け取ると、IWPを業務用に用いること自体が不可能ということになるのですが、実際IWPの業務使用の可能性はどうなのでしょう?
もし危険だという場合は、例えば公開するDBに重要な情報は何も持たせず、すべて他のDBからリレーションで持ってくるということも可能なんですが、この方法のセキュリティレベルについてもアドバイスいただけるとありがたいです。IWPの方法は、常時起動のMacOSXかWindows7を考えています。なお、SSLは購入済みです。よろしくお願い致します。
Offline
たられば、の話だと思いますが。そのレベルでしたら、MySQLを用いたWebDBでも同じ事でしょう。
一度、FMを中心に開発している業者か、FMのテクニカルサービスか法人営業部に相談されてみられるといいのでは。
ただ、気をつけなければいけないのは、IWPが終了した技術であり、今後の継続が無い事、セキュリティーパッチ等の公開も数年後には終了する事は考慮するべきでしょう。
Offline
Fm13のwebdならともかくIWPで新規案件の開発というのは、ありえないでしょう。
Shinさま
返事が遅くなってしまい申し訳ありません。
FM社のテクニカルサポートに相談したところ、以下の回答を得ました。(なお無料で済ませるためにFMP13のWebDirectについての質問としました。IWPとのセキュリティの差異についてもきいたのですが、スルーされました。。)
FM社によると、
■ セキュリティ対策として、顧客ごとに異なるIDとPWを発行する、
■ 介入者攻撃 (man-in-the-middle attacks) は、SSL証明書を取得することで防止できる、
との説明です。
それはわかってるけど・・・というところですが、やはり杞憂というか、そういうことを言い出したら何もできないのではないかという気持ちになっています。「FM社はIWPやWebDirectでの顧客への公開を推奨していないのか?」という質問への回答はありませんでしたが、積極的に否定もされていないので、重大な問題は報告されていないと解釈しておきます。
アドバイスくださりありがとうございました。
Offline
ゆいさま
その通りなのですが、いかんせんコストがかかるので、当面IWPで凌ごうと思っています。13は同時接続のコストがネックです。
Offline
Pages: 1
[ Generated in 0.005 seconds, 9 queries executed - Memory usage: 512.76 KiB (Peak: 517.66 KiB) ]