2001年8月15日(No.3)

IIS、いいっす!

MS社のIISやIEはMS社の開発ポリシーがよく現れている製品だと思います。 MS社は「安定」や「安全」よりも「利便」や「効率」をどちらかというと優先させているような気がします。 確かにIISやIEを組み合わせると、Webアプリとしておもしろいものができる要素があります。 しかし、これらは大抵MS社の独自規格による開発スタイルを開発者に強要し、かつ、独善的な部分がない訳ではないように感じるのは私だけでしょうか?
また、効率を優先させるが故に安全性や安定をないがしろにしていると思われる部分があり、特に安全性に関しては問題のある部分が多いよう感じています。
2001年6月ころからCodeRedによるクラッキングが世界各地で頻発しており既に数10万〜数100万台のマシンがクラックされたとの見方も出ているいるようです。
実際、私の知っているユーザさんの所でもクラックを受けたようで、担当者が悲鳴を上げていました。

IISは社内のイントラネットで利用する分には便利ですが、インターネット上の公開サーバとする場合には、その中に組み込まれている先進性(独自性?)に関する部分が多くあるため、それを突いたアタックは今後も発生する事は間違いないと思われます。 Apatchのようなエンジンの部分では素直にコンテンツを表現するだけにしておき、必要に応じてモジュールで機能を拡張していくという方法なら、組み込んだモジュールに問題があった場合でも、全てのユーザがそのモジュールを使っていない限りは同じアタックを受けないと思うのですが、残念ながらIISでは最初に全てのモジュールを埋め込んでおき、不要なら(可能であれば)モジュールを外すというアプローチをとっているようなので、機能を制限したくてもできない場合があり、その場合にはMSからの対策パッチが出るのを待つしか方法がありません。(勿論、これはいちいち必要なモジュールを探して足して行かなくても良い、という利便性ももっています。)

という訳で、相変わらず世界中にはクラッカーにとっては”いいっす(良いっす)”な、管理者にとっては”いいっす(もう結構!いらないっす)”なWebサイトが増殖していく日々が続いていくことになります。