# 11/28 英書輪講 # 8.9 WEB SECURITY ## We have just studied two important areas where security is needed: communications and email. - セキュリティが必要な2つの重要な分野を学びました。通信と電子メール #### You can think of these as the soup and appetizer. - これらはスープと前菜と考えることができます。 - appetizer(アピタイザー) ⇨ 前菜 #### Now it is time for the main course: Web security. - 次は、メインコースであるWebセキュリティの時間です。 #### The Web is where most of the Trudies hang out nowadays and do their dirty work. - Webは、今日、ほとんどのTrudyがたむろし、汚い仕事をする場所です。 - dirty(ダーティ)　⇨ 汚れ - hang out : 出入りする、たむろする #### In the following sections, we will look at some of the problems and issues relating to Web security. - 次のセクションでは、Webセキュリティに関連するいくつかの問題と論点を見ていきます。 ## Web security can be roughly divided into three parts. - Webセキュリティは、大まかに3つの部分に分けられます。 #### First, how are objects and resources named securely? - まず、オブジェクトとリソースはどのように安全に命名されるか？ #### Second, how can secure, authenticated connections be established? - 第二に、安全で認証された接続を確立するにはどうすればよいか？ #### Third, what happens when a Web site sends a client a piece of executable code? - 第三に、Webサイトがクライアントに実行可能なコードを送信するとどうなるか？ - executable(実行可能) #### After looking at some threats, we will examine all these issues. - いくつかの脅威を確認した後、これらすべての問題を分析してみましょう。 - threat(スレットぅ)⇨脅威、脅迫 # 8.9.1 Threats ## One reads about Web site security problems in the newspaper almost weekly. - 新聞でほぼ毎週、Webサイトのセキュリティ問題について読みます。 #### The situation is really pretty grim. - 状況は本当に厳しいです。 - grim(気味の悪い、恐ろしい、不快な、厳しい) #### Let us look at a few examples of what has already happened. - すでに起こったことのいくつかの例を見てみましょう。 #### First, the home pages of numerous organizations have been attacked and replaced by new home pages of the crackers' choosing. - まず、多くの組織のホームページが攻撃され、クラッカーが選択した新しいホームページに置き換えられました。 - クラッカー：クラッカーとは、コンピュータについての高度な知識や技能を悪用し、他者のコンピュータや通信ネットワークに不正に侵入、操作したり、データを不正に取得、改竄、消去したりする者のこと。 - numerous(ニューメラス)⇨非常に多くの #### (The popular press calls people who break into computers ''hackers,'' but many programmers reserve that term for great programmers. We prefer to call these people ''crackers.'') - （人気のあるマスコミは、コンピューターに侵入する人を「ハッカー」と呼びますが、多くのプログラマーはその言葉を凄いプログラマーのために取っています。これらの人を「クラッカー」と呼びます） - press : 報道機関、マスコミ - reserve 〜 : 〜を取っておく、蓄えておく - しょぼいやつ → クラッカー - 凄いやつ → ハッカー #### Sites that have been cracked include those belonging to Yahoo!, the U.S. Army, the CIA, NASA, and the New York Times. - クラックされたことのあるサイトには、Yahoo !、米国陸軍、CIA、NASA、およびニューヨークタイムズに属するサイトが含まれます。 #### In most cases, the crackers just put up some funny text and the sites were repaired within a few hours. - ほとんどの場合、クラッカーは愉快なテキストを表示するだけで、サイトは数時間以内に修復されました。 ## Now let us look at some much more serious cases. - では、もっと深刻なケースを見てみましょう。 #### Numerous sites have been brought down by denial-of-service attacks, in which the cracker floods the site with traffic, rendering it unable to respond to legitimate queries. - DoS攻撃によって多数のサイトが停止されました。クラッカーはサイトをトラフィックであふれさせ、正当なクエリに応答できなくなります。 - bring down 〜 : 〜を停止させる - denial(デナイアル)⇨否認、否定、拒絶 - flood(フラッドゥ)⇨溢れる、殺到する - render A 〜 : Aを〜の状態にする - legitimate(レジティメットゥ)⇨合法の、論理的な、正当な #### Often, the attack is mounted from a large number of machines that the cracker has already broken into (DDoS atacks). - 多くの場合、攻撃は、クラッカーが既に侵入している多数のマシンから実行されます（DDoS攻撃）。 - mount 〜 : 〜を開始する、しかける #### These attacks are so common that they do not even make the news any more, but they can cost the attacked site thousands of dollars in lost business. - これらの攻撃は非常に一般的であるため、ニュースにすらなりませんが、攻撃されたサイトはビジネスで数千ドルの損失となる場合があります。 ## In 1999, a Swedish cracker broke into Microsoft's Hotmail Web site and created a mirror site that allowed anyone to type in the name of a Hotmail user and then read all of the person's current and archived e-mail. - 1999年、スウェーデンのクラッカーがMicrosoftのHotmail Webサイトに侵入し、ミラーサイトを作成しました。それにより、誰でもHotmailユーザーの名前を入力して、その人の現在およびアーカイブされたすべての電子メールを読むことができるようになりました。 - アーカイブされたメール　⇨ 消したく無い大事なメール ## In another case, a 19-year-old Russian cracker named Maxim broke into an e-commerce Web site and stole 300,000 credit card numbers. - 別のケースでは、Maximという名前の19歳のロシアのクラッカーがeコマースWebサイトに侵入し、300,000のクレジットカード番号を盗みました。 - 300,000　⇨ Three hundred thousand - e-commerce : 電子商取引 #### Then he approached the site owners and told them that if they did not pay him $100,000, he would post all the credit card numbers to the Internet. - それから彼はサイトの所有者に近づき、こう言いました。”10万ドルを支払わなければ、すべてのクレジットカード番号をインターネットに投稿するだろう”と。 #### They did not give in to his blackmail, and he indeed posted the credit card numbers, inflicting great damage on many innocent victims. - 彼らは彼の恐喝にのらなかったので、彼（ロシアの１９歳）は実際にクレジットカード番号を掲示し、多くの罪のない犠牲者に大きな損害を与えました。 - blackmail : ゆすり, 恐喝 - indeed : 実際に - give in to：負ける ## In a different vein, a 23-year-old California student emailed a press release to a news agency falsely stating that the Emulex Corporation was going to post a large quarterly loss and that the C.E.O. was resigning immediately. - 別の流れ(ケース)では、23歳のカリフォルニア州の学生がプレスリリースを偽って記者にメールで送信しました。内容は、「Emulex Corporationが四半期ごとに大きな損失を出そうとしていた。」という内容と「C.E.O. はすぐに辞任していた。」という内容。 - vein : 脈 - state 〜 ： 〜を述べる - resgin : 辞める - プレスリリース：企業・団体が、経営に関わるニュースや、新商品・新サービスの情報をマスコミに知らせるための文書です。 #### Within hours, the company's stock dropped by 60%, causing stockholders to lose over $2 billion. - 数時間のうちに、同社の株式は60％減少し、株主は20億ドル以上を失いました。 - stock : 株式 #### The perpetrator made a quarter of a million dollars by selling the stock short just before sending the announcement. - 加害者は25万ドルを稼いだ. 発表を送信する直前に株を売ることで. - perpetrator：加害者 #### While this event was not a Web site break-in, it is clear that putting such an announcement on the home page of any big corporation would have a similar effect. - この事件はWebサイトへの侵入ではありませんでしたが、大企業のホームページにそのような発表を行うことで同様の効果があることは明らかです。 - break-in: 不法侵入 ## We could (unfortunately) go on like this for many more pages. - （残念ながら）さらに多くのページでこのようことをしようと思えば, し続けられます.(事例の紹介をし続けられます) - つまり, もっとたくさんの事件があるから, これから先のページでもずっと事例紹介し続けることが出来るよってこと. - could(仮定法過去)：しようと思えばできた. けどしない. #### But it is now time to examine some of the technical issues related to Web security. - しかし, 今からはいくつかのWebセキュリティに関連する技術的な問題について調べよう. #### For more information about security problems of all kinds, see Anderson (2008a); Stuttard and Pinto (2007); and Schneier (2004). - あらゆる種類のセキュリティ問題の詳細については、Anderson（2008a）を参照してください。 Stuttard and Pinto（2007）; and Schneier（2004）。 #### Searching the Internet will also turn up vast numbers of specific cases. - インターネットを検索すると、膨大な数の特定のケースが見つかります。 # 8.9.2 Secure Naming ## Let us start with something very basic: Alice wants to visit Bob's Web site. - 非常に基本的なことから始めましょう。アリスはボブのWebサイトにアクセスしたいと考えています。 #### She types Bob's URL into her browser and a few seconds later, a Web page appears. - 彼女はブラウザにボブのURLを入力し、数秒後にWebページが表示されます。 #### But is it Bob's? - しかし、それはボブのWebサイトだろうか？ #### Maybe yes and maybe no. - そうかもしれないし、そうでないかもしれない。 #### Trudy might be up to her old tricks again. - トルーディは彼女の古いトリックに再び挑戦するかもしれない。 - up to 〜 ： 〜をたくらんで #### For example, she might be intercepting all of Alice's outgoing packets and examining them. - たとえば、彼女はアリスの送信パケットをすべて傍受し、それらを調べている可能性があります。 #### When she captures an HTTP GET request headed to Bob's Web site, she could go to Bob's Web site herself to get the page, modify it as she wishes, and return the fake page to Alice. - Trudyは、ボブのWebサイトに向かうHTTP GETリクエストをキャプチャすると、ボブのWebサイトにアクセスしてページを取得し、必要に応じて変更し、偽のページをアリスに返すことができます。 - modify 〜 : 〜を変更する、修正する #### Alice would be none the wiser. - アリスは賢者(賢い人)ではないでしょう。 #### Worse yet, Trudy could slash the prices at Bob's e-store to make his goods look very attractive, thereby tricking Alice into sending her credit card number to ''Bob'' to buy some merchandise. - さらに悪いことに、Trudyはボブのeストアで価格を大幅に引き下げて、彼の商品を非常に魅力的に見せ、それによってアリスをだましてクレジットカード番号を「ボブ」に送って商品を購入させました。 - worse yet : さらに悪いことには - thereby : それによって、したがって ## One disadvantage of this classic man-in-the-middle attack is that Trudy has to be in a position to intercept Alice's outgoing traffic and forge her incoming traffic. - この古典的な中間者攻撃の1つの欠点は、Trudyがアリスの送信トラフィックを傍受し、受信トラフィックを偽造できる位置にいる必要があることです。 #### In practice, she has to tap either Alice's phone line or Bob's, since tapping the fiber backbone is fairly difficult. - 実際には、彼女はアリスまたはボブのいずれかの電話回線を盗聴する必要があります。なぜなら、ファイバーバックボーンを盗聴するのはかなり難しいから。 - tap 〜 : 〜を盗聴する - バックボーン：ネットワークの基幹回線のこと。 - ファイバー：光ファイバー (https://www.wdic.org/w/WDIC/%E3%83%90%E3%83%83%E3%82%AF%E3%83%9C%E3%83%BC%E3%83%B3) #### While active wiretapping is certainly possible, it is a fair amount of work, and while Trudy is clever, she is also lazy. - アクティブな盗聴は確かに可能ですが、それはかなりの量の仕事であり、Trudyは賢い一方で、彼女は怠け者(なまけもの)でもあります。 - fair : (数量などが)かなりの - lazy : 怠惰な、気を抜いている #### Besides, there are easier ways to trick Alice. - さらに、アリスをだます簡単な方法があります。