JP2004302764A - Web-page falsification monitoring method - Google Patents

Web-page falsification monitoring method Download PDF

Info

Publication number
JP2004302764A
JP2004302764A JP2003093625A JP2003093625A JP2004302764A JP 2004302764 A JP2004302764 A JP 2004302764A JP 2003093625 A JP2003093625 A JP 2003093625A JP 2003093625 A JP2003093625 A JP 2003093625A JP 2004302764 A JP2004302764 A JP 2004302764A
Authority
JP
Japan
Prior art keywords
server
web
falsification
tampering
page
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003093625A
Other languages
Japanese (ja)
Inventor
Akimasa Sato
昭正 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2003093625A priority Critical patent/JP2004302764A/en
Publication of JP2004302764A publication Critical patent/JP2004302764A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a Web-page falsification monitoring method which can clearly assure anonymity of a Web page. <P>SOLUTION: A falsification checking center 2 stores the Web page of a company 1 as master information after converting the Web page to a hash value when the anonymity of the Web page is maintained. When a Web questionnaire page is accessed from a user terminal 20, a questionnaire collecting server 10 transfers processing to a falsification checking PRG on a falsification checking server 30. The questionnaire collecting server 10 generates a hash value of each module as information to be checked and transmits the value to the falsification checking server 30. The falsification checking PRG compares the transmitted hash vale as the information to be checked with the hash value stored as the master information in the prior processing. If the above values are the same, the falsification checking PRG determines that there is no falsification and conducts a questionnaire survey, and determines that there is a falsification if the values are not the same, and stops the processing. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は、ウェブ技術を利用してネットワーク上に構築されたページ(ウェブページ)の改竄を監視する方法に関する。
【0002】
【従来の技術】
ウェブページの改竄を監視する方法は従来から知られている。例えば、特許文献1には、ウェブページで提供される電子情報コンテンツを監視し、改竄を検出する技術が開示されている。なお、この文献では、対象となるウェブページは企業や官庁の情報発信用のウェブページである。
【0003】
一方、製品の開発や組織の改革の資料とするため、ウェブ上にアンケートページを設置して広くユーザの意見を収集することは一般に行われている。アンケートは匿名で実施される場合も多く、特に企業内部で経営側が実施するアンケートでは、忌憚のない意見を表明できるよう匿名性が重要となる。
【0004】
【特許文献1】特開2002−318726号公報
【0005】
【発明が解決しようとする課題】
しかしながら、特許文献1は、単にコンテンツ提供者以外の第三者が定期的にコンテンツの改竄をチェックすることを開示するのみで、上記のようなウェブページの匿名性は考慮されていない。ウェブ上にアンケートページを設ける場合、実施者が匿名をうたっていても、ユーザからは実際に匿名性が確保されているかどうかを確かめることができない。アンケート収集サーバがユーザ端末のIPアドレスを取得することによりユーザが特定されるおそれがあり、特に企業内ネットワークにアンケート収集サーバとユーザ端末とが接続されている場合には、アンケートの回答者のIPアドレスを取得すればユーザ端末を容易に特定することができる。このように匿名性が明確に保証されていないと、萎縮効果が働き、建設的な意見であっても経営側を批判するような内容は書き込みにくくなり、結果として建設的な意見の集約が難しくなる。
【0006】
また、改竄を監視していない場合には、アンケートの集計結果が主催者側に都合の悪い結果となった場合に、主催者側が勝手にアンケートの質問内容を改竄するおそれがあり、公平性を保証することができない。さらには、主催者側も気づかないうちに悪意の第三者により質問内容が改竄される可能性もあり、改竄が監視されていないと、ユーザは改竄されたアンケートに回答することになり、特に匿名性が改竄された場合には個人情報が不当に収集される可能性がある。
【0007】
本発明は、上記の従来技術の課題に鑑み、アンケートページのようにユーザの匿名性が重視されるウェブページの匿名性を明確に保証することができるウェブページの改竄監視方法を提供することを目的とする。
【0008】
【課題を解決するための手段】
本発明にかかるウェブページの改竄監視方法は、上記の目的を達成させるため、ウェブサーバにより公開されるウェブページの改竄を、ウェブサーバとネットワークにより接続された改竄監視サーバにより監視する方法において、ウェブサーバにより公開されるウェブページの匿名性を確認して当該ページに関する固有情報をマスタ情報として改竄監視サーバに保存し、ユーザ端末からウェブページに対するアクセスがあった時に、ウェブサーバは、ユーザ端末からのアクセスを改竄監視サーバに自動的に転送すると共に、ウェブページのアクセス時の固有情報を被チェック情報として改竄監視サーバに転送し、改竄監視サーバは、マスタ情報と被チェック情報とを比較し、両者が一致する場合には改竄なしと判定してユーザ端末からのアクセスをウェブサーバへ自動転送してアクセスを許可し、両者が一致しない場合には改竄ありと判定してアクセスを禁止することを特徴とする。
【0009】
上記の方法によれば、ユーザ端末からウェブページにアクセスがある度に改竄監視サーバによりウェブページが改竄されているか否かが判断され、改竄されている場合にはそのウェブページへのアクセスが禁止されるため、ウェブページの匿名性を明確に保証することができ、例えばアンケートページの改竄を監視する場合には、ユーザが萎縮せずに忌憚のない意見を書き込むことができる。
【0010】
固有情報としては、ウェブページに関連するファイルのハッシュ値を利用することが可能である。また、マスタ情報と被チェック情報とが一致しない場合、ユーザ端末からのアクセスをウェブサーバへ転送せずにユーザ端末に警告を表示させるようにしてもよい。
【0011】
【発明の実施の形態】
以下、この発明にかかるウェブページの改竄監視方法の実施形態を説明する。図1は、実施形態の改竄監視方法を実現するためのシステムの概略を示すブロック図である。最初に、図1に基づいてシステムの構成を説明する。実施形態では、匿名性が重視されるウェブページとして、アンケート収集サーバ(ウェブサーバ)上に構築されたウェブアンケートページを改竄監視の対象としている。このウェブアンケートは企業内の情報収集に用いられ、ウェブアンケートページの改竄の監視は、この企業とは異なる第三者の企業が運営する改竄チェックセンターにより行われる。
【0012】
企業1内には、アンケート収集サーバ10が設置されている。このサーバ10は、WWWサーバ機能11として、初期画面データ(TOP.html)11a、質問画面作成PRG(プログラム、P1.cgi)11b、回答結果取得PRG(P2.cgi)11c、ハッシュ作成PRG(H.cgi)11d、WWWサーバ動作環境ファイル(httpd.conf)11eを備えている。また、質問画面作成PRG11bは、アンケートの質問内容が格納された質問内容DB(データベース)12に接続され、回答結果取得PRG11cは、アンケートに対するユーザからの回答を格納する回答結果DB13に接続されている。さらに、WWWサーバ機能11は、プログラムやモジュールをハッシュ化するためのハッシュ化手段14に接続されており、ハッシュ化された値(ハッシュ値)は被チェックハッシュ値DB15に格納される。
【0013】
企業1には、企業内ネットワーク3が設けられており、このネットワークにアンケートに回答するユーザ端末20と、上記のアンケート収集サーバ10とが接続されている。また、企業内ネットワーク3は、インターネット4に接続されている。ユーザ端末20には、ウェブページを閲覧するためのブラウザ21が設けられている。
【0014】
一方、改竄チェックセンター2には、改竄チェックサーバ30が設けられている。改竄チェックサーバ30は、改竄チェックPRG(C.cgi)31と、このプログラムによりアクセスされるマスタハッシュ値DB32とを備え、インターネット4を介してアンケート収集サーバ10、ユーザ端末20との間で通信可能とされている。なお、アンケート収集サーバ10に設けられた被チェックハッシュ値DB15は、ウェブアンケートページのアクセス時の固有情報であるハッシュ値を被チェック情報として格納するデータベースであり、他方、改竄チェックサーバ30に設けられたマスタハッシュ値DB32は、事前にウェブアンケートページの匿名性を確認して当該ページに関する固有情報であるハッシュ値をマスタ情報として格納するデータベースである。
【0015】
上記のシステム構成においてウェブアンケートページの改竄を監視するための処理の概略を以下に箇条書きにし、図2〜図4を参照して説明する。それぞれの詳細については後に説明する。以下の手順1〜10のうち、1〜3はアンケート実施前に予め実行しておく前処理、4以下はユーザがウェブアンケートページにアクセスする際に実行される通常処理である。
【0016】
1.アンケートを実施する企業1が改竄チェックセンター2に対してオフラインで匿名性の認証を依頼する。
2.改竄チェックセンター2は企業1のウェブページのモジュール類(cgiファイル,htmlファイル,md5ライブラリ)について匿名性が保たれているかを検閲し、匿名性が保たれていれば認証する。匿名性が保たれていない場合は指導する。
【0017】
認証のための検閲プロセスを図2に示す。検閲プロセスでは、ステップS1において各モジュールの階層を調査する。例えば、初期画面データ(TOP.html)をチェックして、「TOP.htmlのl1行目でacclog.plというcgiを呼び出している」ということが判定できたら、次に、acclog.plをチェックする。ここで、「acclog.plから別モジュールを呼び出していない」ということが判定できたら、「階層は2階層」と判断できる。
【0018】
ステップS2では、ステップS1で調査された各階層について各モジュールのソースを査読する。図3(A)に、htmlで記載された初期画面データ(TOP.html)のソースの一部を示す。「TOP.htmlにはIPアドレスを保存している機能は見当たらない」ということが判定できたら、次に初期画面から呼び出されるacclog.plをチェックする。図3(B)に、perlというcgi言語で記載されたacclog.plのソースの一例を示す。この例では、「acclog.plの6行目でREMOTE_ADDRという環境変数を参照し、リモートホストのIPアドレスを取得している」こと、「acclog.plの8行目に、取得したIPアドレスをacclog.datというファイルに保存している」ことが判定できる。このことから、acclog.plは匿名性を保っていないと判断できる。匿名性が保たれていない場合には、ソースを変更して匿名性を保つように指導する。
【0019】
なお、リモートホストのIPアドレスは、ユーザプログラム(cgi)だけでなく、wwwサーバ自体の機能によっても保存される。したがって、この機能を無効にしなければ匿名性を保つことができない。例えば、apacheというwwwサーバの場合には、http.confという動作環境ファイル内のログファイル名を/dev/nullというファイル名にすれば、IPアドレスの保護機能を無効にすることができる。但し、なりすましにおける複数投票を避けるため、IPアドレスをハッシュ化して記録する。
【0020】
3.改竄チェックセンター2は、認証されたモジュール類(cgi,html,md5ライブラリ)をmd5でハッシュ値に変換し、マスタ情報としてマスタハッシュ値DB32に格納する。このとき、企業1は、質問内容をハッシュ化したデータと、質問内容の有効期限とを改竄チェックセンター2へ申請する。改竄チェックセンター2は、これらのデータを上記のモジュール類と同様にマスタ情報としてマスタハッシュ値DB32に格納する。なお、質問内容自体は改竄チェックセンター2へは通知しない。
【0021】
4.図4に示すように、ユーザ端末20からウェブアンケートページにアクセスがあると(t1)、アンケート収集サーバ10は初期画面のデータ(TOP.html)をユーザ端末20に送信する(t2)。なお、インターネットを介してアクセスする場合には、SSLの暗号化手順にしたがってデータが送受信される。ユーザ端末20には、ブラウザ21により初期画面が表示される(t3)。初期画面のイメージを図5に示す。
【0022】
5.アンケート収集サーバ10は、改竄チェックサーバ30上の改竄チェックPRGへ処理を飛ばす(t4)。
6.改竄チェックPRG31は、アンケート収集サーバ10に対してハッシュ値を取得するよう依頼する(t5)。
7.アンケート収集サーバ10は、各モジュールのハッシュ値を被チェック情報として作成し、改竄チェックサーバ30へ送信する(t6)。
【0023】
8.改竄チェックPRGは、t6で送信された被チェック情報としてのハッシュ値と、前処理でマスタ情報としてマスタハッシュ値DB32に格納されているハッシュ値とを比較して改竄があるか否かをチェックする(t7)。
9.ハッシュ値が同じであれば、改竄がないものと判断してアンケート収集サーバ10に処理を戻す。ハッシュ値が異なれば、改竄があったものと判断して処理を中断する。
【0024】
10.改竄がない場合には、アンケート収集サーバ10は質問画面を作成してユーザ端末20に送信し(t8)、ユーザ端末20にはアンケートの質問画面が表示される(t9)。アンケートの質問は、質問内容DB12から読み込んで動的に作成される。なお、図示はしていないが、改竄チェックサーバ30は、アンケート収集サーバ10が質問画面を作成する際に質問内容をチェックし、有効期限内であって被チェック情報のハッシュ値がマスタ情報のハッシュ値と異なる場合には、アンケート主催者側で改竄が発生したと判断して処理を中断する。
【0025】
11.ユーザ端末20でアンケートの回答が入力されて結果がアンケート収集サーバ10に戻されると(t10)、アンケート収集サーバ10は回答結果を取得して統計上の処理等を実行する。このとき、ユーザ端末20のIPアドレスをmd5でハッシュ化した情報が回答情報に添付される。これにより、アンケート収集サーバ10側からは、個々の回答についてのIPアドレスを特定することはできないが、複数の回答に添付されたIPアドレスのハッシュ値が同一である場合には、同一のユーザ端末20からなりすましで複数の回答が寄せられたと判断することができる。したがって、統計上の処理等をする場合には、ハッシュ値が同一である回答を除外することにより、正確な処理が可能となる。
【0026】
次に、上述した処理の中の主要な処理について、より詳細に説明する。
まず、図6に基づいてアンケート収集サーバ10により実行されるハッシュ値作成PRG(図4、t6)の処理について説明する。ハッシュ値作成PRGが実行されると、アンケート収集サーバ10は、ステップS10においてハッシュ値の依頼元が改竄チェックサーバ30であるか否かをチェックする。アンケート収集サーバ10の匿名性を認証しているのは改竄チェックセンター2であり、他のサイトからのアクセスには応じる必要がない。そこで、ステップS10では、依頼元のIPアドレスが改竄チェックサーバ30のアドレスを示す「*.senta.co.jp」でない場合には、そのまま処理を終了する。アドレスが一致する場合には、改竄チェックサーバ30からの依頼と判断してステップS11以下の処理を続行する。
【0027】
ステップS11では、初期画面のソースTOP.htmlのハッシュ値を作成する。同様にして、ステップS12では質問画面作成PRGのソースP1.cgiのハッシュ値を作成し、ステップS13では回答結果取得PRGのソースP2.cgiのハッシュ値、ステップS14ではハッシュ値作成PRGのソースH.cgiのハッシュ値、ステップS15ではWWWサーバ動作環境ファイルhttpd.confのハッシュ値、ステップS16ではハッシュ化手段のハッシュ値をそれぞれ作成する。これらのハッシュ値は、ウェブアンケートページのアクセス時の被チェック情報として生成されるデータであり、ステップS17において改竄監視サーバ10に自動的に転送される。
【0028】
被チェックハッシュ値DB15、及びマスターハッシュ値DB32は、図7に示すような構造でデータを保持している。すなわち、これらのDBは、URL、ファイル名、ハッシュ値の3つのフィールドを備え、ファイル毎に1つのレコードを有している。
【0029】
次に、図8に基づいて改竄チェックサーバ30により実行される改竄チェックPRGの処理について説明する。改竄チェックPRGが実行されると、改竄チェックサーバ30は、ステップS20において依頼元がアンケート収集サーバ10であるか否かをチェックする。改竄チェックセンター2が監視を受け持っているのは企業1のアンケート収集サーバ10であり、他のサイトからのアクセスには応じる必要がない。そこで、ステップS10では、依頼元のIPアドレスがアンケート収集サーバ10のアドレスを示す「*.kigyo.co.jp」でない場合には、ステップS21で図9に示す認証NGメッセージ画面をユーザ端末20に表示させ、処理を終了する。アドレスが一致する場合には、アンケート収集サーバ10からの依頼と判断してステップS22以下の処理を続行する。
【0030】
ステップS22では、改竄チェックサーバ30はアンケート収集サーバ10に対してハッシュ値の作成を依頼する(図4、t5)。ステップS23では、アンケート収集サーバ10から送られてくるハッシュ値を取得し、ステップS24でハッシュ値の異同をチェックする。被チェック情報のハッシュ値がマスタ情報のハッシュ値と異なる場合には、ステップS21で認証NGメッセージ画面をユーザ端末20に表示させ、処理を終了する。ハッシュ値が同一である場合には、ステップS25で図10に示す認証OKメッセージ画面をユーザ端末20に表示させ、質問画面作成PRGをアンケート収集サーバ10に実行させる(図4、t8)。
【0031】
アンケート収集サーバ10により実行される質問画面作成PRGの処理を、図11に示す。ここでは、ステップS30において、ユーザ端末20に表示されていた前ページをチェックする。すなわち、アンケートが実行されるのは、改竄チェック処理が実行されて改竄なしと判断された直後であることが望ましい。チェック後に時間が経過すると、その間に改竄が行われる可能性があるからである。そこで、直前に改竄チェックPRG(C.cgi)が実行されていたか否かをチェックする。前のページがWWW.senta.co.jp/C.cgiでない場合には、改竄チェックが実行されてから時間が経過したものと判断し、処理を中断する。前ページがWWW.senta.co.jp/C.cgiである場合には、ステップS31以下の処理が実行される。
【0032】
ステップS31では、質問内容DB12から質問の内容が読み込まれる。質問内容DB12は、図12に示すような構造を有している。すなわち、質問Noと質問内容との2つのフィールドを備え、質問毎に1つのレコードを有している。続いてステップS32では、読み込んだ質問に基づいて質問ページを動的に作成する(図4、t8)。ステップS33では、作成した質問ページをユーザ端末20に表示させ、ステップS34で回答結果取得PRGを実行する。
【0033】
回答結果取得PRGの処理内容は、図13に示したとおりであり、ステップS40でユーザ端末20から送信されるアンケートの回答を取得し、ステップS41で取得した内容を回答結果DB13に書き込む。回答結果DBは、図14に示すような構造を有している。すなわち、質問内容DBと共通の質問No、シーケンス番号、回答内容の3つのフィールドを備え、各回答の質問毎に1つのレコードを生成する。
【0034】
(付記1)
ウェブサーバにより公開されるウェブページの改竄を、前記ウェブサーバとネットワークにより接続された改竄監視サーバにより監視する方法において、
前記ウェブサーバにより公開されるウェブページの匿名性を確認して当該ページに関する固有情報をマスタ情報として改竄監視サーバに保存し、
ユーザ端末から前記ウェブページに対するアクセスがあった時に、前記ウェブサーバは、前記ユーザ端末からのアクセスを前記改竄監視サーバに自動的に転送すると共に、前記ウェブページのアクセス時の固有情報を被チェック情報として前記改竄監視サーバに転送し、
前記改竄監視サーバは、前記マスタ情報と前記被チェック情報とを比較し、両者が一致する場合には改竄なしと判定して前記ユーザ端末からのアクセスを前記ウェブサーバへ自動転送してアクセスを許可し、両者が一致しない場合には改竄ありと判定してアクセスを禁止することを特徴とするウェブページの改竄監視方法。
【0035】
(付記2)
前記固有情報として、ウェブページに関連するファイルのハッシュ値を利用することを特徴とする付記1に記載のウェブページの改竄監視方法。
【0036】
(付記3)
前記マスタ情報と前記被チェック情報とが一致しない場合、前記ユーザ端末からのアクセスを前記ウェブサーバへ転送せずにユーザ端末に警告を表示させることを特徴とする付記1又は2に記載のウェブページの改竄監視方法。
【0037】
(付記4)
前記改竄チェックサーバは、前記ユーザ端末からのアクセスが転送された際に、転送元が前記アンケート収集サーバであるか否かをチェックし、転送元が前記ウェブサーバであるときに限って後の処理を実行することを特徴とする付記1〜3のいずれかに記載のウェブページの改竄監視方法。
【0038】
(付記5)
前記改竄チェックサーバは、被チェック情報としての前記固有情報を転送するよう前記ウェブサーバに対して要求し、前記ウェブサーバは、前記要求の依頼元をチェックして前記改竄チェックサーバからの依頼であるときに限って前記固有情報を転送することを特徴とする付記4に記載のウェブページの改竄監視方法。
【0039】
【発明の効果】
以上説明したように、本発明の改竄監視方法によれば、事前に匿名性の認証をしたウェブページについて、ユーザ端末からアクセスがある度に、当該ページが改竄されているか否かを判断し、改竄されていない場合にのみアクセスを許可するようにしたため、ウェブページの匿名性を明確に保証することができる。したがって、対象をウェブアンケートページとした場合には、ユーザは特性名が保証されることから萎縮せずに忌憚のない意見を書き込むことができる。
【0040】
また、主催者側や悪意の第三者がアンケートの質問等の内容を改竄した場合にも、改竄の事実を発見することができるため、公平性を保証することができ、個人情報が不当に収集されるのを防ぐことができる。
【図面の簡単な説明】
【図1】本発明にかかるウェブページの改竄監視方法を実施するためのシステム構成を示すブロック図である。
【図2】ウェブアンケートページの匿名性を検証するための検閲プロセスを示すフローチャートである。
【図3】図2のプロセスで検証の対象となるファイルのソースを示すリストである。
【図4】実施形態の改竄監視方法の処理全体を概略的に示すフローチャートである。
【図5】アンケート収集サーバから送信されてユーザ端末上に表示されるTOPページの画面イメージを示す。
【図6】アンケート収集サーバにより実行されるハッシュ作成プログラムを示すフローチャートである。
【図7】アンケート収集サーバの被チェックハッシュ値DB及び改竄チェックサーバのマスタハッシュ値DBの構造を示す表である。
【図8】改竄チェックサーバにより実行される改竄チェックプログラムを示すフローチャートである。
【図9】改竄チェックサーバから送信されてユーザ端末上に表示される認証NGメッセージ画面のイメージを示す。
【図10】改竄チェックサーバから送信されてユーザ端末上に表示される認証OKメッセージ画面のイメージを示す。
【図11】アンケート収集サーバにより実行される質問画面作成プログラムを示すフローチャートである。
【図12】アンケート収集サーバの質問内容DBの構造を示す表である。
【図13】アンケート収集サーバにより実行される回答結果取得プログラムを示すフローチャートである。
【図14】アンケート収集サーバの回答結果DBの構造を示す表である。
【符号の説明】
1 企業
2 改竄チェックセンター
3 企業内ネットワーク
4 インターネット
10 アンケート収集サーバ
11 WWWサーバ機能
11a 初期画面データ
11b 質問画面作成プログラム
11c 回答結果取得プログラム
11d ハッシュ作成プログラム
11e WWWサーバ動作環境ファイル
12 質問内容DB
13 回答結果DB
14 ハッシュ化手段
15 被チェックハッシュ値DB
20 ユーザ端末
21 ブラウザ
30 改竄チェックサーバ
31 改竄チェックプログラム
32 マスタハッシュ値DB[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a method for monitoring tampering of a page (web page) constructed on a network using web technology.
[0002]
[Prior art]
Methods for monitoring web page tampering have been known in the art. For example, Patent Literature 1 discloses a technique of monitoring electronic information content provided on a web page and detecting tampering. In this document, the target web page is a web page for information transmission of a company or government office.
[0003]
On the other hand, it is common practice to set up a questionnaire page on the web and collect user opinions widely in order to use it as material for product development and organizational reform. Questionnaires are often conducted anonymously, especially in a survey conducted by management within a company, where anonymity is important so that frank opinions can be expressed.
[0004]
[Patent Document 1] Japanese Patent Application Laid-Open No. 2002-318726
[Problems to be solved by the invention]
However, Patent Literature 1 merely discloses that a third party other than the content provider periodically checks the content for tampering, and does not consider the anonymity of the web page as described above. When a questionnaire page is provided on the web, even if the implementer is anonymous, the user cannot confirm whether or not the anonymity is actually secured. When the questionnaire collection server obtains the IP address of the user terminal, the user may be identified. In particular, when the questionnaire collection server and the user terminal are connected to a company network, the IP of the respondent to the questionnaire may be identified. If the address is obtained, the user terminal can be easily specified. If the anonymity is not clearly assured in this way, the atrophy effect will work, making it difficult to write content that criticizes the management side even if it is a constructive opinion, as a result it is difficult to aggregate constructive opinions Become.
[0006]
Also, if tampering is not monitored, the organizer may arbitrarily alter the questionnaire questionnaire if the result of the questionnaire is inconvenient for the organizer, and We cannot guarantee. Furthermore, there is a possibility that the contents of the question may be altered by a malicious third party without the organizer's knowledge, and if the alteration is not monitored, the user will respond to the altered questionnaire. If the anonymity is falsified, personal information may be collected unfairly.
[0007]
The present invention has been made in view of the above-described problems of the related art, and provides a method of monitoring tampering of a web page that can clearly guarantee the anonymity of a web page in which anonymity of a user is important, such as a questionnaire page. Aim.
[0008]
[Means for Solving the Problems]
In order to achieve the above object, a method for monitoring tampering of a web page according to the present invention is a method of monitoring tampering of a web page published by a web server with a tampering monitoring server connected to a web server via a network. The anonymity of the web page published by the server is confirmed, the unique information on the page is stored as master information in the falsification monitoring server, and when the user terminal accesses the web page, the web server The access is automatically transferred to the tampering monitoring server, and the unique information at the time of accessing the web page is transferred to the tampering monitoring server as checked information. The tampering monitoring server compares the master information and the checked information, If they match, it is determined that there is no tampering, and Scan and automatic transfer to allow access to the web server, if they do not match and inhibits the access is determined that there is tampering.
[0009]
According to the above method, every time a user terminal accesses a web page, the tampering monitoring server determines whether the web page has been tampered with. If the web page has been tampered with, access to the web page is prohibited. Therefore, the anonymity of the web page can be clearly assured. For example, when monitoring the falsification of the questionnaire page, the user can write frank opinions without shrinking.
[0010]
As the unique information, a hash value of a file related to the web page can be used. When the master information and the checked information do not match, a warning may be displayed on the user terminal without transferring the access from the user terminal to the web server.
[0011]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of a web page tampering monitoring method according to the present invention will be described. FIG. 1 is a block diagram schematically illustrating a system for realizing the falsification monitoring method according to the embodiment. First, the configuration of the system will be described with reference to FIG. In the embodiment, a web questionnaire page constructed on a questionnaire collection server (web server) is targeted for falsification monitoring as a web page in which anonymity is emphasized. This web questionnaire is used for collecting information in a company, and monitoring of tampering of the web questionnaire page is performed by a tampering check center operated by a third party company different from this company.
[0012]
The questionnaire collection server 10 is installed in the company 1. The server 10 includes, as WWW server functions 11, initial screen data (TOP.html) 11a, question screen creation PRG (program, P1.cgi) 11b, answer result acquisition PRG (P2.cgi) 11c, hash creation PRG (H .Cgi) 11d and a WWW server operating environment file (httpd.conf) 11e. Further, the question screen creation PRG 11b is connected to a question content DB (database) 12 storing questionnaire question contents, and the answer result acquisition PRG 11c is connected to an answer result DB 13 storing answer from the user to the questionnaire. . Further, the WWW server function 11 is connected to a hashing means 14 for hashing a program or a module, and the hashed value (hash value) is stored in the checked hash value DB 15.
[0013]
The company 1 is provided with a company network 3, and a user terminal 20 that answers a questionnaire to the network and the questionnaire collection server 10 are connected to the network. The intra-company network 3 is connected to the Internet 4. The user terminal 20 is provided with a browser 21 for browsing a web page.
[0014]
On the other hand, the tampering check center 2 is provided with a tampering check server 30. The tampering check server 30 includes a tampering check PRG (C.cgi) 31 and a master hash value DB 32 accessed by this program, and can communicate with the questionnaire collection server 10 and the user terminal 20 via the Internet 4. It has been. The checked hash value DB 15 provided in the questionnaire collection server 10 is a database that stores, as checked information, a hash value that is unique information at the time of accessing the web questionnaire page. The master hash value DB 32 is a database that confirms anonymity of a web questionnaire page in advance and stores a hash value that is unique information regarding the page as master information.
[0015]
The outline of the process for monitoring the falsification of the web questionnaire page in the above system configuration will be described below in an itemized form, and will be described with reference to FIGS. Details of each will be described later. Of the following procedures 1 to 10, 1 to 3 are pre-processes to be executed in advance before conducting a questionnaire, and 4 and below are normal processes to be executed when a user accesses a web questionnaire page.
[0016]
1. The company 1 that conducts the questionnaire requests the tampering check center 2 to perform anonymous authentication off-line.
2. The tampering check center 2 checks whether anonymity is maintained for the modules (cgi file, html file, md5 library) of the web page of the company 1, and authenticates if the anonymity is maintained. Provide guidance if anonymity is not maintained.
[0017]
The censorship process for authentication is shown in FIG. In the censorship process, the hierarchy of each module is checked in step S1. For example, if the initial screen data (TOP.html) is checked and it is determined that “cgi called acclog.pl is called in line 11 of TOP.html”, then acclog. Check pl. Here, if it is determined that “another module is not called from acclog.pl”, it can be determined that “the hierarchy is two layers”.
[0018]
In step S2, the source of each module is peer-reviewed for each layer investigated in step S1. FIG. 3A shows a part of the source of the initial screen data (TOP.html) described in html. If it is determined that “top.html has no function for storing the IP address”, acclog. Check pl. FIG. 3B shows acclog. Written in the cgi language called perl. Here is an example of a pl source. In this example, "the environment variable called REMOTE_ADDR is referred to in the sixth line of acclog.pl to obtain the IP address of the remote host", and "the eighth line of acclog.pl .Dat ". From this, acclog. It can be determined that pl does not maintain anonymity. If anonymity is not maintained, change the source and instruct them to maintain anonymity.
[0019]
The IP address of the remote host is stored not only by the user program (cgi) but also by the function of the www server itself. Therefore, anonymity cannot be maintained unless this function is invalidated. For example, in the case of a www server called Apache, http. If the log file name in the operating environment file “conf” is changed to a file name “/ dev / null”, the IP address protection function can be disabled. However, in order to avoid multiple votes in spoofing, the IP address is hashed and recorded.
[0020]
3. The tampering check center 2 converts the authenticated modules (cgi, html, md5 library) into a hash value with md5 and stores it in the master hash value DB 32 as master information. At this time, the company 1 applies to the falsification check center 2 the data obtained by hashing the content of the question and the expiration date of the content of the question. The tampering check center 2 stores these data in the master hash value DB 32 as master information in the same manner as the above modules. The contents of the question itself are not notified to the tampering check center 2.
[0021]
4. As shown in FIG. 4, when there is access to the web questionnaire page from the user terminal 20 (t1), the questionnaire collection server 10 transmits data (TOP.html) of the initial screen to the user terminal 20 (t2). When accessing via the Internet, data is transmitted and received according to the SSL encryption procedure. An initial screen is displayed on the user terminal 20 by the browser 21 (t3). FIG. 5 shows an image of the initial screen.
[0022]
5. The questionnaire collection server 10 skips the processing to the tampering check PRG on the tampering check server 30 (t4).
6. The tampering check PRG31 requests the questionnaire collection server 10 to acquire a hash value (t5).
7. The questionnaire collection server 10 creates a hash value of each module as information to be checked, and transmits it to the tampering check server 30 (t6).
[0023]
8. The tampering check PRG compares the hash value as the information to be checked transmitted at t6 with the hash value stored in the master hash value DB 32 as the master information in the preprocessing to check whether there is tampering. (T7).
9. If the hash values are the same, it is determined that there is no tampering, and the process is returned to the questionnaire collection server 10. If the hash values are different, it is determined that there has been tampering, and the processing is interrupted.
[0024]
10. If there is no tampering, the questionnaire collection server 10 creates a question screen and transmits it to the user terminal 20 (t8), and the question screen of the questionnaire is displayed on the user terminal 20 (t9). The question of the questionnaire is read from the question content DB 12 and dynamically created. Although not shown, the tampering check server 30 checks the content of the question when the questionnaire collection server 10 creates the question screen, and the hash value of the checked information is within the validity period and the hash value of the checked information is the hash value of the master information. If it is different from the value, the questionnaire organizer determines that tampering has occurred and interrupts the process.
[0025]
11. When the answer of the questionnaire is input at the user terminal 20 and the result is returned to the questionnaire collection server 10 (t10), the questionnaire collection server 10 acquires the answer result and executes statistical processing and the like. At this time, information obtained by hashing the IP address of the user terminal 20 with md5 is attached to the response information. As a result, the questionnaire collection server 10 cannot identify the IP address of each answer, but if the hash value of the IP address attached to a plurality of answers is the same, the same user terminal It can be determined that a plurality of answers have been sent by the spoofing of 20. Therefore, when performing statistical processing or the like, accurate processing can be performed by excluding answers having the same hash value.
[0026]
Next, main processes in the above-described processes will be described in more detail.
First, the process of the hash value creation PRG (FIG. 4, t6) executed by the questionnaire collection server 10 will be described based on FIG. When the hash value creation PRG is executed, the questionnaire collection server 10 checks whether or not the requester of the hash value is the falsification check server 30 in step S10. It is the tampering check center 2 that authenticates the anonymity of the questionnaire collection server 10, and there is no need to respond to access from other sites. Therefore, in step S10, if the IP address of the request source is not “* .senta.co.jp” indicating the address of the tampering check server 30, the process is terminated as it is. If the addresses match, it is determined that the request is from the tampering check server 30, and the process from step S11 is continued.
[0027]
In step S11, the source screen TOP. Create a hash value for html. Similarly, in step S12, the source P1. cgi, and in step S13, the source P2. cgi, in step S14, the source H. of the hash value creation PRG. cgi hash value. In step S15, the WWW server operating environment file httpd. In step S16, the hash value of the hash value of the conf is created. These hash values are data generated as information to be checked when accessing the web questionnaire page, and are automatically transferred to the falsification monitoring server 10 in step S17.
[0028]
The checked hash value DB 15 and the master hash value DB 32 hold data in a structure as shown in FIG. That is, these DBs include three fields of URL, file name, and hash value, and have one record for each file.
[0029]
Next, processing of the tampering check PRG executed by the tampering check server 30 will be described with reference to FIG. When the tampering check PRG is executed, the tampering check server 30 checks whether the request source is the questionnaire collection server 10 in step S20. The tampering check center 2 monitors the questionnaire collection server 10 of the company 1 and does not need to respond to accesses from other sites. Therefore, in step S10, if the IP address of the request source is not “* .kigyo.co.jp” indicating the address of the questionnaire collection server 10, the authentication NG message screen shown in FIG. Is displayed, and the process ends. If the addresses match, it is determined that the request is from the questionnaire collection server 10, and the process from step S22 is continued.
[0030]
In step S22, the tampering check server 30 requests the questionnaire collection server 10 to create a hash value (FIG. 4, t5). In step S23, the hash value sent from the questionnaire collection server 10 is obtained, and in step S24, the difference between the hash values is checked. If the hash value of the information to be checked is different from the hash value of the master information, an authentication NG message screen is displayed on the user terminal 20 in step S21, and the process ends. If the hash values are the same, the authentication OK message screen shown in FIG. 10 is displayed on the user terminal 20 in step S25, and the question screen creation PRG is executed by the questionnaire collection server 10 (t8 in FIG. 4).
[0031]
FIG. 11 shows the process of the question screen creation PRG executed by the questionnaire collection server 10. Here, in step S30, the previous page displayed on the user terminal 20 is checked. That is, it is desirable that the questionnaire be executed immediately after the alteration check processing is executed and it is determined that there is no alteration. This is because if time elapses after the check, tampering may be performed during that time. Therefore, it is checked whether or not the tampering check PRG (C.cgi) has been executed immediately before. The previous page is WWW. senta. co. jp / C. If it is not cgi, it is determined that time has passed since the tampering check was executed, and the processing is interrupted. The previous page is WWW. senta. co. jp / C. If it is cgi, the process from step S31 is executed.
[0032]
In step S31, the content of the question is read from the question content DB12. The question content DB 12 has a structure as shown in FIG. That is, it has two fields of a question number and a question content, and has one record for each question. Subsequently, in step S32, a question page is dynamically created based on the read question (t8 in FIG. 4). In step S33, the created question page is displayed on the user terminal 20, and in step S34, the answer result acquisition PRG is executed.
[0033]
The processing content of the answer result acquisition PRG is as shown in FIG. 13. In step S40, the answer to the questionnaire transmitted from the user terminal 20 is acquired, and the acquired content is written in the answer result DB 13 in step S41. The answer result DB has a structure as shown in FIG. That is, it has three fields of a question number, a sequence number, and an answer content common to the question content DB, and generates one record for each answer question.
[0034]
(Appendix 1)
A method for monitoring tampering of a web page published by a web server by a tampering monitoring server connected to the web server via a network,
Confirming the anonymity of the web page published by the web server, storing unique information related to the page as master information in the falsification monitoring server,
When the user terminal accesses the web page, the web server automatically transfers the access from the user terminal to the falsification monitoring server, and outputs the unique information at the time of accessing the web page to the checked information. Transferred to the falsification monitoring server as
The falsification monitoring server compares the master information and the checked information, and when they match, determines that there is no falsification and automatically transfers access from the user terminal to the web server to permit access. If the two do not match, it is determined that there is tampering and the access is prohibited, and a method of monitoring tampering of a web page is provided.
[0035]
(Appendix 2)
2. The method according to claim 1, wherein a hash value of a file related to the web page is used as the unique information.
[0036]
(Appendix 3)
The web page according to claim 1 or 2, wherein when the master information and the checked information do not match, a warning is displayed on the user terminal without transferring the access from the user terminal to the web server. Falsification monitoring method.
[0037]
(Appendix 4)
The falsification check server checks whether or not the transfer source is the questionnaire collection server when the access from the user terminal is transferred, and performs the subsequent processing only when the transfer source is the web server. 3. The method for monitoring tampering of a web page according to any one of supplementary notes 1 to 3, wherein
[0038]
(Appendix 5)
The falsification check server requests the web server to transfer the unique information as the information to be checked, and the web server checks a request source of the request and receives the request from the falsification check server. 5. The method according to claim 4, wherein the unique information is transferred only when necessary.
[0039]
【The invention's effect】
As described above, according to the falsification monitoring method of the present invention, each time a user terminal accesses a web page that has been authenticated anonymously, it is determined whether the page has been falsified. Since access is permitted only when the web page has not been tampered with, the anonymity of the web page can be clearly guaranteed. Therefore, when the target is a web questionnaire page, the user can write frank opinions without shrinking because the property name is guaranteed.
[0040]
In addition, even when the organizer or a malicious third party alters the contents of a questionnaire question or the like, the fact that the information has been altered can be found, so that fairness can be guaranteed and personal information can be unfairly used. It can be prevented from being collected.
[Brief description of the drawings]
FIG. 1 is a block diagram showing a system configuration for implementing a web page tampering monitoring method according to the present invention.
FIG. 2 is a flowchart illustrating a censorship process for verifying anonymity of a web questionnaire page.
FIG. 3 is a list showing a source of a file to be verified in the process of FIG. 2;
FIG. 4 is a flowchart schematically showing an entire process of a falsification monitoring method according to the embodiment;
FIG. 5 shows a screen image of a TOP page transmitted from the questionnaire collection server and displayed on the user terminal.
FIG. 6 is a flowchart showing a hash creation program executed by the questionnaire collection server.
FIG. 7 is a table showing a structure of a checked hash value DB of the questionnaire collection server and a master hash value DB of the tampering check server.
FIG. 8 is a flowchart showing a tampering check program executed by a tampering check server.
FIG. 9 shows an image of an authentication NG message screen transmitted from the tampering check server and displayed on the user terminal.
FIG. 10 shows an image of an authentication OK message screen transmitted from the tampering check server and displayed on the user terminal.
FIG. 11 is a flowchart showing a question screen creation program executed by the questionnaire collection server.
FIG. 12 is a table showing a structure of a question content DB of the questionnaire collection server.
FIG. 13 is a flowchart showing an answer result acquisition program executed by the questionnaire collection server.
FIG. 14 is a table showing a structure of an answer result DB of the questionnaire collection server.
[Explanation of symbols]
1 Company 2 Tamper Check Center 3 Company Network 4 Internet 10 Questionnaire Collection Server 11 WWW Server Function 11a Initial Screen Data 11b Question Screen Creation Program 11c Answer Result Acquisition Program 11d Hash Creation Program 11e WWW Server Operating Environment File 12 Question Content DB
13 answer result DB
14 hashing means 15 hash value DB to be checked
20 User Terminal 21 Browser 30 Tamper Check Server 31 Tamper Check Program 32 Master Hash Value DB

Claims (3)

ウェブサーバにより公開されるウェブページの改竄を、前記ウェブサーバとネットワークにより接続された改竄監視サーバにより監視する方法において、
前記ウェブサーバにより公開されるウェブページの匿名性を確認して当該ページに関する固有情報をマスタ情報として改竄監視サーバに保存し、
ユーザ端末から前記ウェブページに対するアクセスがあった時に、前記ウェブサーバは、前記ユーザ端末からのアクセスを前記改竄監視サーバに自動的に転送すると共に、前記ウェブページのアクセス時の固有情報を被チェック情報として前記改竄監視サーバに自動的に転送し、
前記改竄監視サーバは、前記マスタ情報と前記被チェック情報とを比較し、両者が一致する場合には改竄なしと判定して前記ユーザ端末からのアクセスを前記ウェブサーバへ自動転送してアクセスを許可し、両者が一致しない場合には改竄ありと判定してアクセスを禁止することを特徴とするウェブページの改竄監視方法。A method for monitoring tampering of a web page published by a web server by a tampering monitoring server connected to the web server via a network,
Confirming the anonymity of the web page published by the web server, storing unique information related to the page as master information in the falsification monitoring server,
When the user terminal accesses the web page, the web server automatically transfers the access from the user terminal to the falsification monitoring server, and outputs the unique information at the time of accessing the web page to the checked information. Automatically transferred to the tampering monitoring server as
The falsification monitoring server compares the master information and the checked information, and when they match, determines that there is no falsification and automatically transfers access from the user terminal to the web server to permit access. If the two do not match, it is determined that there is tampering and the access is prohibited, and a method of monitoring tampering of a web page is provided. 前記固有情報として、ウェブページに関連するファイルのハッシュ値を利用することを特徴とする請求項1に記載のウェブページの改竄監視方法。2. The method according to claim 1, wherein a hash value of a file related to the web page is used as the unique information. 前記マスタ情報と前記被チェック情報とが一致しない場合、前記ユーザ端末からのアクセスを前記ウェブサーバへ転送せずにユーザ端末に警告を表示させることを特徴とする請求項1又は2に記載のウェブページの改竄監視方法。3. The web according to claim 1, wherein when the master information does not match the checked information, a warning is displayed on the user terminal without transferring the access from the user terminal to the web server. Page alteration monitoring method.
JP2003093625A 2003-03-31 2003-03-31 Web-page falsification monitoring method Pending JP2004302764A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003093625A JP2004302764A (en) 2003-03-31 2003-03-31 Web-page falsification monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003093625A JP2004302764A (en) 2003-03-31 2003-03-31 Web-page falsification monitoring method

Publications (1)

Publication Number Publication Date
JP2004302764A true JP2004302764A (en) 2004-10-28

Family

ID=33406368

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003093625A Pending JP2004302764A (en) 2003-03-31 2003-03-31 Web-page falsification monitoring method

Country Status (1)

Country Link
JP (1) JP2004302764A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100736540B1 (en) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 Web defacement checker and checking method thereof
US7924473B2 (en) 2004-12-15 2011-04-12 Fujifilm Corporation Apparatus and method for image evaluation and program thereof
WO2019083950A1 (en) * 2017-10-26 2019-05-02 Easy Solutions Enterprises Corp. Systems and methods to detect and notify victims of phishing activities
CN113742742A (en) * 2021-06-23 2021-12-03 福建华通银行股份有限公司 Front-end Web page display method, display system and intelligent terminal

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7924473B2 (en) 2004-12-15 2011-04-12 Fujifilm Corporation Apparatus and method for image evaluation and program thereof
KR100736540B1 (en) * 2006-02-20 2007-07-06 에스케이 텔레콤주식회사 Web defacement checker and checking method thereof
WO2019083950A1 (en) * 2017-10-26 2019-05-02 Easy Solutions Enterprises Corp. Systems and methods to detect and notify victims of phishing activities
US10645117B2 (en) 2017-10-26 2020-05-05 Easy Solutions Enterprises Corp. Systems and methods to detect and notify victims of phishing activities
CN113742742A (en) * 2021-06-23 2021-12-03 福建华通银行股份有限公司 Front-end Web page display method, display system and intelligent terminal

Similar Documents

Publication Publication Date Title
KR102514325B1 (en) Model training system and method, storage medium
WO2021143497A1 (en) Infringement evidence storage method, apparatus, and device based on evidence storage blockchain
JP2022123064A (en) Digital asset traceability and assurance using distributed ledger
US8949990B1 (en) Script-based XSS vulnerability detection
US8560669B2 (en) Tracking identifier synchronization
JP2004310420A (en) Server for storing maintenance/diagnostic data, system for storing/acquiring maintenance/diagnostic data, and system for storing/presenting maintenance/diagnostic data
CN113868659B (en) Vulnerability detection method and system
JPH09146824A (en) Method and device for interactive management type information presentation
WO2000046681A1 (en) Content certification
JP2004185263A (en) Dispersed cooperative content delivery system
CN102664872A (en) System used for detecting and preventing attack to server in computer network and method thereof
CN110581841B (en) Back-end anti-crawler method
Fairweather et al. Non-repudiable provenance for clinical decision support systems
JP2008015733A (en) Log management computer
WO2019026172A1 (en) Security diagnostic device and security diagnostic method
US7987513B2 (en) Data-use restricting method and computer product
Rosenthal et al. Enhancing the LOCKSS digital preservation technology
JP4052007B2 (en) Web site safety authentication system, method and program
JP2004302764A (en) Web-page falsification monitoring method
JP2011524044A (en) System and method for preventing duplicate investigation attempts
US20100125738A1 (en) Systems and methods for transferring information
CN110598449B (en) Data processing method and device for performing insurance function, storage medium and computer equipment
JP2004046590A (en) Contract document storage device and system and its method
KR101980568B1 (en) Preventing Security Control Duplication Method In Association With 3-tier Cloud Access Security Broker
JP5063440B2 (en) Processing apparatus and processing method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050913

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20071116

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20071210

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090116

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090331

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090811