高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
高木浩光@自宅の日記 - 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた
■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度(納税番号制度(aka 共通番号制度))のICカード配布の話の流れで、(住基カードが4%しか普及していないのに)TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。(「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照)。
高木浩光@自宅の日記 - 法務省担当官コンピュータウイルス罪等説明会で質問してきた
■ 法務省担当官コンピュータウイルス罪等説明会で質問してきた 情報処理学会、JPCERT/CC、JAIPA、JNSA共催で、法務省の立案担当官による説明会が開かれたので、コンピュータウイルス罪について質問してきた。 情報処理の高度化等対処のための刑法等の一部を改正する法律(サイバー刑法、刑事訴訟法)説明会, 2011年7月26日 私から尋ねた質問と、それに対する回答は以下の通り。 質問:まず最初に、6月16日の参議院法務委員会での法務大臣答弁で、バグについての説明があったが、ここで、「バグは、重大なものとはいっても、通常はコンピューターが一時的に停止するとか再起動が必要になるとかいったものであり」とか、そうでないものは「バグと呼ぶのはもはや適切ではない」と説明されていた。これはすなわち、「バグ」という言葉を、一時的な症状を起こすものと定義したうえで、これは不正指令電磁的記録に当たらないとし
高木浩光@自宅の日記 - 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)
■ 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編) 目次 解釈にブレが生じている条文 立法趣旨の理解についてのブレ バグ以外で問題となるケース 正当なプログラムが他者により悪用されるケース バグの件はどうなったか 不真正不作為犯は成立するのか 結局のところ懸念は払拭されたのか はじめに 法務省から「いわゆるコンピュータ・ウイルスに関する罪について」という解説が出た。その趣旨は、冒頭に書かれているように、参議院法務委員会の付帯決議に対応するためのものとされている。 いわゆるコンピュータ・ウイルスに関する罪について, 法務省, 2011年7月13日 「情報処理の高度過当に対処するための刑事法の一部を改正する法律」には,参議院法務委員会において付帯決議が付されており,同法の施行に当たり政府が特段の配慮をすべき事項として,不正指令電磁的記録に関する罪の構成要件の意義を
高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解
■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, (会議録未公表) 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員:(略)解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
高木浩光@自宅の日記 - 誤報是正「無罪判決でWinny利用者増加」は誤り
■ 誤報是正「無罪判決でWinny利用者増加」は誤り Winnyノード数は無罪判決後やや増加? ネットエージェント調査, INTERNET Watch, 2009年10月14日 逆転無罪の影響か?「Winny」のノード数が増加――ネットエージェント調べ, japan.internet.com, 2009年10月14日 逆転無罪判決でWinnyノードはやや増加、ネットエージェント, @IT, 2009年10月15日 Winny裁判、判決後にノード数が増加! 〜 10月最高値を更新, RBB TODAY, 2009年10月16日 上記の報道があり、たくさんの人々がこれを鵜呑みにしたようだが、増加した事実はない。 8月22日の日記に書いたように、5月から、Winnyネットワークに対して、ランダムなIPアドレスをソースノードとした偽キーの散布が、目的不明ながら、何者かによって断続的に実施されている
高木浩光@自宅の日記 - 楽天ad4Uが自粛していた
■ 楽天ad4Uが自粛していた 先週、「楽天 サイト閲覧情報収集し広告配信 無断利用に批判 政府問題視」というニュースが話題になっていたので、Twitterでの反応を調べに行ったところ、次の発言があった。 楽天ad4Uの顧客説明用資料かな? とりあえず,保存保存 http://bit.ly/X2iDZ viperbjpn 10:23 PM Aug 20th TweetDeckで リンク先の公開資料を見に行ったところ、こんなことが書かれていた。 「Firefoxにて現在スタイルシートの仕様上の課題について議論されている状況を鑑み(略)楽天ad4UのFirefoxへの対応を自粛させて頂く」とのこと。 ならば、Internet Explorerについても、こういう使い方をすることの善悪についてのMicrosoftの見解が示されていればよい(ということになる)。 関連: 楽天CERTに対するブラウ
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://takagi-hiromitsu.jp/diary/20091023.html%23p01