« 我が家初のペット | トップページ | 透過ミラーで動画中でも位相差方式AFが働くデジタル一眼レフカメラ「α」 »

2010年8月24日 (火)

図書館のWebページに1秒に1回アクセスしてたら逮捕されたでござるって話

Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)

自作プログラムで岡崎市中央図書館への大量アクセスで逮捕された通称「librahack事件」についての話。

セキュリティ専門家の高木浩光氏が岡崎市中央図書館と同じシステムを使っていた図書館サイトが偶然にもAnonymous FTPでGlobal.asaを公開しちゃっているのを見つけちゃったので内容を確認してみたそーです。

Anonymous FTPで公開されちゃってたとは言え、一歩間違うと不正アクセス禁止法違反スレスレの行為(だと思う)ですが、おかげで原因がハッキリしました。

原因はSession_OnStartイベントでDBへの接続をやっちゃっているためにセッションタイムアウトが発生するまでDB接続が保持されてしまうせーでした。

コレは非常にマズイ作りです。

複数端末からやってくるリクエストによりDB接続が行われる一方でDB接続の開放がタイムアウトになるまで行われないため、そこそこのリクエスト数があるとそのうちDB接続数が上限に達します。

今回の逮捕容疑となった自動情報収集プログラムについては逮捕されたご本人がこのページにまとめられていますが、想像するに自動情報収集プログラムはcookieを受け入れなかったんじゃないかな?

セッション管理には大抵cookieを使うはずなんですが、cookieを受け入れずにリクエストを発行すると全て新規セッション扱いされてアッと言う間にDB接続数を食い尽くしたって感じの気がする。

ご本人曰く、自動情報収集プログラムは、同時アクセスやリトライはしてなかったって話なのでそーなのかなと。

まぁ、cookieを受け入れてもそこそこの数のアクセスがあれば障害が発生しちゃう事には代わりがありませんが・・・。

恐らく接続する端末数も決まっているイントラネット上だったら問題にはならなかったはずなので、マズイ作りでも開発中は気付かないかもしんない。
でも、負荷テストを行えば、すぐに発覚すると思うので提供側ベンダーの品質は問われるよーな気がします。

ちなみに朝日新聞が今回の逮捕について問題提起しています。

自分も含めて趣味でプログラミングする人間にとっては他人事じゃない話。
Webサーバ側の地雷を踏んじゃった事が業務妨害容疑になって、しかも「嫌疑なし」「嫌疑不十分」じゃないくて「起訴猶予処分」で前歴が残っちゃうんですから・・・。

つーか、担当している警察側の知識次第で対応が180度変わりそーな危うさが何とも・・・。

|

« 我が家初のペット | トップページ | 透過ミラーで動画中でも位相差方式AFが働くデジタル一眼レフカメラ「α」 »

デジタル、ガジェットもしくはネタ」カテゴリの記事

技術情報もしくは仕事ネタ」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/26493/36329020

この記事へのトラックバック一覧です: 図書館のWebページに1秒に1回アクセスしてたら逮捕されたでござるって話:

« 我が家初のペット | トップページ | 透過ミラーで動画中でも位相差方式AFが働くデジタル一眼レフカメラ「α」 »