高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議, 追記
■ 緑シグナルが点灯しないのに誰も気にしていない?という不思議 フィッシング対策ソフトの導入動向 最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。 主要行等向けの総合的な監督指針(平成19年6月版), 中小・地域金融機関向けの総合的な監督指針(平成19年8月版), 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保 ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
高木浩光@自宅の日記 - ケータイWebはそろそろ危険
■ ケータイWebはそろそろ危険 これまでの背景と最近の状況変化 「安全なWebサイト利用の鉄則」にある通り、フィッシングに騙されずにWebを安全に使う基本手順は、(パスワードやカード番号などの)重要な情報を入力する直前に今見ているページのアドレスを確認することなのだが、しばしば、「そのページにアクセスする前にジャンプ先URLを確認する」という手順を掲げる人がいる。しかし、それは次の理由で失当である。 ジャンプ先URLを確認する手段がない。ステータスバーは古来よりJavaScriptで自由に書き換えられる表示欄とされてきたのであり、ジャンプ先の確認に使えない。 ジャンプ先URLを事前に確認したとしても、それが(任意サイトへの)リダイレクタになっている場合、最終的にどこへアクセスすることになるか不明。 そもそも、アクセスする前から、アドレス確認の必要性を予見できるとは限らない。普通は、アクセ
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準)
■ 「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準) 14日の日記に書いたように、日本CAはtracking cookieをスパイウェアと位置付けているわけだが、その「スパイウェア」とやらはいったいどんなときに我々のパソコンに侵入してくるのか、実験してみた。 実験方法は以下の手順。 Internet Explorerをデフォルト設定にする。 「インターネットオプション」の「全般」タブとのころにある、「Cookieの削除」ボタンを押す。 CA無料スパイウェアスキャンで、(CnsMin以外の)スパイウェアが検出されないことを確認する。 どこかのWebサイトを訪れる。 再びCA無料スパイウェアスキャンで、何か検出されるか調べる。 まず、トレンドマイクロ社Webサイトのトップページにジャンプした後、すぐスキャンしてみると、
高木浩光@自宅の日記 - 本物がいい加減なことをしていると偽物につけ入られる事例2件
■ 本物がいい加減なことをしていると偽物につけ入られる事例2件 スパイウェア対策ソフト売りのFUD PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ?, ITmedia, 2007年1月11日 という記事が出ているが、ここで次の映像の冒頭を見てみる。 【動画】 眞鍋かをり「スパイウェアの恐さをもっとわかって」*1, ソフトバンクビジネス+IT, 2006年10月5日 いや正直ですね、ほんとにあの去年の春に、はじめてあのー、まあ、お仕事させていただいてソフトを頂いたんですけど、それまでセキュリティ対策を一切やってなかったので、あのー、はじめてあの、ソフトを入れてチェックしたときはですね、スパイウェアがね、208個出てきたんですよ。(ハハハハ。)ふふ。ちょっとひどい状態、もしかしたら情報出ちゃってたかもしれないなと思うくらいなんですけども、たいした情報入ってないんですけど、ねー、で
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
