Archived MSDN and TechNet Blogs
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
追記(19日)東洋経済オンラインの的外れ記事 / 高木浩光@自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
CCCが運営する海老名市立図書館の公式サイトは「無断リンク禁止」 | スラド IT
神奈川県海老名市の海老名市立図書館が10月1日にリニューアルされ、カルチュア・コンビニエンス・クラブ(CCC)によって運営される形になったのだが、この海老名市立図書館のWebサイトはいわゆる「無断リンク禁止」となっているようだ(産経アプリスタ)。 同図書館のサイトポリシーには、『本サイトのトップページへリンクを行う場合、「info@ebina-library.jp」までリンク元のURLを事前にご連絡ください』という文言に加え、「海老名市、海老名市立図書館、ならびに海老名市立図書館の指定管理者を誹謗・中傷するwebサイト」からのリンクを断る旨も書かれている。 CCCの広報担当者によると、武雄市図書館の蔵書問題が騒ぎになったのを受けて「慎重な対応」を行うことにしたためだそうだ。
ios9の広告ブロック機能を有効化している人をブロックする方法
まずは「Crystal」について ダウンロードしてアプリを開いたらこの画面になるのですが、有効化するのはめっちゃ簡単です。 誰でも出来ます。 コンテンツブロッカー有効化の前後です。 あたかも最初から何事もなかったかのようにアドセンスが消えてます。笑 広告がうざいと思ってる人は予想以上に多かったのか、有料とはいえ120円という価格だからなのかは分かりませんが、リリース後12時間で10万ダウンロードされたみたいですし、情報が広まればもっと増えるのかもしれませんね。 参考 「iOS 9」のコンテンツブロッカー機能に対応し広告をブロック出来るアプリ「Crystal」、リリース後12時間で10万ダウンロードを突破 ちなみにAmazonやアフィリエイトリンクは消えてませんでした。 広告ブロック機能を有効化している人にはサイトを見せないようにする ここからが本題です。 『広告を非表示にされるぐらいなら、
総務省|報道資料|ウェブサービスに関するID・パスワードの管理・運用実態調査結果
総務省は、この度ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査した結果を取りまとめましたので公表します。 現在、インターネットショッピングやインターネットバンキング、ソーシャルネットワーキングサービス等、インターネットを通じて様々なサービスが提供されています。 総務省では、ウェブサービスにおいて利用者を確認する主な手段としてID・パスワードが利用されていることを踏まえ、ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査を行いました。 (1)約9割のサービスで3種類以上の文字種をパスワードとして利用できる パスワードとして利用可能な文字種(大文字・小文字・数字・記号)について、約9割が3種類以上利用可能であり、6割近くが4種類利用可能である等、大半のサービスで複数の文字種の組み合わせによるパスワードの設定が可能となっている。 (
エキサイト乗り換え案内
出発または到着に「現在地」を指定した検索は「mixway」での検索となります。 「駅すぱあと for web」での検索を続ける場合は、「現在地」の指定を解除してください。
高木浩光@自宅の日記 - 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5)
■ 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) 平成22年4月1日施行の改正国立国会図書館法に基づき、国立国会図書館が、国・地方公共団体等の公共機関を対象に、インターネット上で公開されている資料のWebクローラによる収集を開始したという。その説明資料によると、クローラのアクセス間隔の基準は「1秒以上」だという。中野区立図書館の場合、/robots.txt が置かれておらず、セッションタイムアウトは実測で600秒*1であることから、1秒間隔でクローラが来ると*2、散発的につながらない状態がしばしば発生すると思われる。 目次 /robots.txtで自ら姿を隠す公共図書館 国立国会図書館法第25条の3第2項に違反 国会図書館が公共機関のWebサイトを消滅させる虞れ /robots.txtで自ら姿を隠す公共図書館 中野区立図書館や岡崎市立中央図書館は、三菱電機
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
新聞社が「無断リンク」を禁止する3つの理由
「日本経済新聞 電子版」のリンクポリシーで「リンクをお断りする」場合が列挙され、その中に「個別記事へのリンク」があり、「以上の項目に違反した場合は、損害賠償を請求することがあります」と記載されていることが話題になっている。日本経済新聞社に限らず、他のマスコミ、企業一般の中にも、無断リンクを禁止する旨の「リンクポリシー」があり、20世紀の頃から、Webや技術に詳しいユーザーにとっては格好の話題だ。 アスキー・メディアワークスのリンクポリシーには、「本サイトのトップページ、ならびに本サイト内の各コンテンツへのリンクは、ご自由にご利用ください。弊社の許諾等は必要ありません。」とあり、「あえてはっきり言いたい。馬鹿じゃないの?」とか「完全に時代遅れ」と言われる心配はなさそうだ。とはいえ、「すべての新聞社はリンク自由のリンクポリシーを策定すべし」とも思わない。 今回のコラムはその理由を書こう。日経新
メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド セキュリティ
INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。 しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起metaタグ(noindex,nofollow,noarc
日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 | スラド IT
日本経済新聞がWebサイトを刷新、新サイト「日本経済新聞 電子版」を始動した。新サイトは「紙と違う魅力満載」として紹介され、「新聞では表現できない」「これまでにない読み方を提案」「ネット時代にふさわしい情報発信の新しいプラットフォームを目指す」とされていた。しかし、始動した新サイトのフッタには「リンクポリシー」というページが用意されており、次のように書かれている。 リンクポリシー 「日本経済新聞 電子版」のフロントページや専門サイトのトップページへのリンクは原則として自由ですが、リンクを張る場合は、リンク先のページとURL、リンク元のホームページの内容とURL、リンクの目的などを記載してお問い合わせページでご連絡ください。リンクの仕方やページの内容によっては、お断りする場合があります。リンクをお断りするのは次の場合です。 営利目的や勧誘を目的とするなど、「日本経済新聞 電子版」の趣旨に合わ
Google、Flash Playerを組み込んだGoogle Chrome開発版を公開。新たなプラグイン機構も開発中 | OSDN Magazine
米Googleは3月30日、開発者向けのGoogle Chrome新版を開発者チャネルで公開した。米Adobe Systemsの「統合版Flash Playerプラグイン」があらかじめ組み込まれているのが特徴。同時にFlashへの支持を表明し、Adobeと共同でプラグインモデルの課題に取り組むとした。 Googleは現在のブラウザプラグインモデルに一定の評価を示しつつも、インターフェイス仕様が完全ではない、機能に制限がある、ブラウザやOSによって機能が異なる、といった課題を指摘。これらは互換性の低下につながるだけでなく、Webブラウザの性能やセキュリティにも影響を与えるという。 そのため同社は現在、ブラウザプラグインを提供するAdobeやFirefoxを開発するMozillaらと、現在のプラグインモデルの欠点を補う次世代のブラウザ向けプラグインAPIの開発を進めているという。 また、Ado
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
JR東日本サイトがまた改ざんされた模様 | スラド
改ざんされたファイルは前回とは違い、現在のところ原因も不明とのこと(Security NEXT)。 JR東日本の管理体制が甘いと言われても仕方ないけど、今回は4日 (2010年2月18日(木)22時29分~2010年2月22日(月)17時18分) [jreast.co.jp]でサービスを停止できたわけだからまだマシな感染事例ではないかと。 一方ガンブラー攻撃は次々亜種が登場し、攻撃の様相が様変わりしている模様。 イタチごっこ続くWebサイト改ざん、埋め込みコードがまたまた変化 [so-net.ne.jp](2010/01/28 セキュリティ通信) 昨年12月から被害が続出している国内のWebサイト改ざんだが、28日未明から、再び改ざんサイトに埋め込むコードの書き換えが始まっている。 22日未明に「/*LGPL*/」から「/*Exception*/」に変わった際には、それまで検出できていたウ
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
辞典・百科事典の検索サービス - Weblio辞書
五山送り火京都市如意ケ岳(大文字山)他、五つの山で行われるかがり火。しゃんしゃん祭り鳥取市で中心街の主要道路を利用して、地元の各団体が鈴の付いた傘を使い、きなんせ節など鳥取の唄に合わせて踊る。元は県無形民俗文化財の「因幡の傘踊り」。備中たかはし松山踊り岡山県高梁市で行われ、五穀豊穣と町家の繁栄を願って踊る。(8月14日から)木頭おどり徳島県那賀郡那賀町で行われる盆踊り 8月16日のことばをすべて見る
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ビジネス向け経路検索のAPIなら、駅すぱあとWebサービス
