また岡崎市か?と思ってスルーしていたら、今度は吹田市図書館らしい。
事の発端は、というか、事が表面化したのは、大阪府吹田市の市議の方のこのBlog
http://jinichi-takeuchi.blogspot.com/2011/09/blog-post_18.html
(図書館へのサイバー攻撃)
9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。<略>1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側 のサーバがアクセス困難に陥ったのでした。
秒間5回のアクセスで不安定になるシステムって・・・
確かに、岡崎市の事件の時は秒間1回なので頻度は上がっているけど、
岡崎市のはどちらかというと礼儀正しいプログラムで、
今回のは、普通のプログラムという印象。
ちなみに、アクセスの発信元は
http://twitter.com/#!/ryuuji_y/status/116261892573511682
こちらのクローラー(情報収集を行うシステム)らしい。
まぁ、秒間5回は、ちょっと行儀が悪い気がしないでもないけど、
それでシステムが落ちるかというと、普通は落ちない。
というのも、マイナーな検索エンジンのクローラーはもっと高頻度でアクセスが来るしね。
※メジャーな検索サイトは、秒間1回程度の、割と上品なアクセス。
というか、そもそも、攻撃プログラムならば、数十アクセスを同時に行って、
サーバーの反応を待たずに次から次へとアクセスするプログラムになるので、
秒間のアクセス数は桁違いで大量になる。
また、不正アクセス(?)の件とは別に、「水無月ばけらのえび日記」さんでも報告されているけど、
ちょっとしたことで、ユーザーに本来見えるべきではなさそうな画面が出るのはどうなんだろう?
※URLを削ってみたらこんなjspもあるし・・・
また、AタグでHタグを囲んでいるとか、html4.01のくせに空要素タグを使っているとか、
気になる点は多々あるけど、それは些細な問題で、一番怖いのがエスケープミス。
HTMLのattributeのエスケープで、
“を\”でエスケープできると思って居るみたいだしかと思えば、
&をエスケープしてない。
こう言うのを見ると、DBアクセスとか、もっと重要な場面は大丈夫なのか不安になってくる。
こう言うのを見ていると、もう少し、お客さん(今回の場合は吹田市図書館ね)も
下手なシステムを掴まないように、
あるいは、下手なシステムだったときに、怒りの矛先を間違えないように、
システム系の知識を付けた方が良いと思うんだ。