IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。
というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の波が、Webセキュリティの業界にも押し寄せて来たからだ。
そういえば、Web脆弱性のいかがでしたか系記事の乱造現象はその後どうなったのかな。
— Hiromitsu Takagi (@HiromitsuTakagi) May 27, 2020
とても嘆かわしい状況です。特にセキュリティ会社の公開する記事がひどいです https://t.co/I4bmFvIviy
— 徳丸 浩 (@ockeghem) May 27, 2020
えっこれ個人ブログかと思ったらマカフィー公式なんですか。 https://t.co/KL98s3YJiB
— 水無月ばけら (@bakera) June 12, 2018
https://t.co/OwaOzsq3Z5 #security クロスサイトスクリプティングを解説するマカフィーのブログ記事にツッコミが入る
— スラド 公式 (@sradjp) June 13, 2018
ハア?😩https://t.co/wTM9XMNQNc
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
「クロスサイトスクリプティングの脆弱性は、企業などの組織のWebサイトが影響を受けるのではなく、利用者のWebブラウザ上で悪意あるスクリプトが実行される脆弱性です。」 pic.twitter.com/bHLSHj8H1A
対策も有害。13年ほど遅れている。 pic.twitter.com/YaGUbHDqBT
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
なぜこうも無理して解説コンテンツが作られているのか。それはセキュリティ用語でググったときトップに出てくるのを狙っているのだろう。つまり、怪しげな医療情報のSEO汚染と同じ波が脆弱性対策界隈にも押し寄せているわけだ。クロスサイトスクリプティングでググったトップはあのトレンドマイクロ。 pic.twitter.com/QfQEQEhRwj
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
そしてそのトレンドマイクロの解説は?と見に行ってみると、案の定の出鱈目だ。クロスサイトスクリプティングに「不正プログラムの感染」なんぞ関係ない。https://t.co/ItXcioB6tl pic.twitter.com/URWtJBV61p
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
脆弱性を排除する方法は結局何も説明していない。自社製品を売るための誘導でしかない。https://t.co/Lhv73Le0mf pic.twitter.com/2VpVNu80ON
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
これに対抗するには、IPAが「安全なWebサイトの作り方」の章ごとに分割したHTMLコンテンツを作成して、SEO対策をがっつりやることだな。(医療情報汚染の事案と同じだ。)
— Hiromitsu Takagi (@HiromitsuTakagi) June 24, 2018
セキュリティ界隈も WELQ みたいになってる。病気も脆弱性も「不安な人は○○を買えば大丈夫」みたいな商売が成立しやすいのかも。
— hanotch (@hanotch) June 24, 2018
どうして医者が WELQ を放置してたか疑問だったのだけど、いざ自分の身に降りかかると、フロントエンドは専門外と言って放置したい気分にもなる。
セキュリティ界隈が WELQ 化している件、IPA が『安全なウェブサイトの作り方』の内容そのままに各トピックごとの個別の HTML ページ作ればいいだけな気がしてきた。予算がないとしても、ボランティアとか。
— hanotch (@hanotch) June 24, 2018
あるいは、改変しなければ各社自由に使っていいことにするとか、やりようはあると思う。
今現在、クロスサイトスクリプティングで検索したトップ(それどころかGoogleが特別に推奨している「強調スニペット」の枠)がサイバーセキュリティクラウドとかいう会社の「攻撃診断くん」とかいうWAF製品の販売業者の出鱈目解説。格納型のことしかわかってないやろ書いたやつ。 pic.twitter.com/WbLVxDgv4G
— Hiromitsu Takagi (@HiromitsuTakagi) August 1, 2020
まだ「サニタイジング」言ってるの?てのも化石級だが、「しかし、この手法はスクリプトの実行を阻止しているだけで、結果としては攻撃者からの攻撃をかわしているだけです。さらにこの攻撃自体を……WAFが必要となります」と尻尾を出した。騙くらかしてWAF売りたいだけやろ。https://t.co/jAXxgELID4 pic.twitter.com/8VRKPQPz3G
— Hiromitsu Takagi (@HiromitsuTakagi) August 1, 2020
ようやくIPAの「安全なウェブサイトの作り方」のHTML版が出てきた*1ので、各ページにリンクジュースを注ぎ込むことで*2、検索上位に出るようになるといい*3のだが。