128ビットカエサル暗号 | 水無月ばけらのえび日記
会社で Google Chrome をいろいろ見ていたのですが、HTTPSなサイトで情報を見ると……。 いや……単に128ビットとだけ言われてもなぁ。同じ128ビットでも、AESとRC4ではだいぶ違う気がするし……などと社内で話していたら、「ひょっとしたら128ビットカエサル暗号かもしれない」という話が。 カエサル暗号というのはローマ時代の暗号で、HELLO → IFMMP のように文字を前後にずらして暗号文を作るものです。この暗号における鍵とは、「何文字目の文字を何文字ずらすか」という情報になるでしょう。鍵が 12345 なら HELLO → IGOPT となるわけです。 ……これをバイナリに適用すると、バイナリデータの各ビットについてシフトする・しないを記したものが鍵ということになるでしょう。要は、鍵とデータとのXORをとるだけということですね。データの方が長い場合は (たいてい長いと
IPアドレスでのアクセス、サイトに細工と報道される | 水無月ばけらのえび日記
公開: 2012年7月16日13時0分頃 こんなニュースが……「児童ポルノ販売容疑で逮捕 サイト遮断、細工しすり抜け (www.asahi.com)」。 大手プロバイダーは昨年4月から、特定のサイトへはURLを入力しても接続できないブロッキングという仕組みを導入したが、林容疑者らは児童ポルノDVDを販売する約80サイトを開設し、ネット上の住所を示すIPアドレスを介して接続されるよう、サイトに細工を施していたという。 名前解決のところでブロックされるので、ドメイン名を使わずにIPアドレスでアクセスするようにした、という話。「DNSポイゾニングによるブロッキングに意味はある?」という話でも書きましたが、こうやって回避できることは最初から分かっていたわけで。 しかし、これを「細工」と言ってしまうのも凄いですね。むしろ、名前でアクセスできるサイトの方がDNSやらバーチャルホストやらで細工しているの
JavaScript勉強会の本を検討する | 水無月ばけらのえび日記
公開: 2012年7月14日17時5分頃 社内でJavaScriptの勉強会をやりたいという話が出てきたので、テキストをいろいろ検討。要件としてはこんな感じです。 週一で開催する予定参加者には営業やプロジェクトマネージャーなど、技術的な知識があまりない人も含まれる以前にHead First JavaScript (www.amazon.co.jp)を使って勉強会をやったことがあるらしいが、「バタ臭い」という評判だったらしいテキストの候補として挙げられたのは以下の4冊。 マンガでわかるJavaScript (www.amazon.co.jp)よくわかるJavaScriptの教科書 (www.amazon.co.jp)10日でおぼえるJavaScript入門教室 (www.amazon.co.jp)Head First JavaScript (www.amazon.co.jp)それぞれを見て評
OWASP Japan 2nd Local Chapter Meeting | 水無月ばけらのえび日記
公開: 2012年7月14日3時0分頃 OWASP Japanの2度目のLocal Chapter Meetingが開催されました……「OWASP Japan 2nd Local Chapter Meeting (www.owasp.org)」。 今回は楽天タワーが会場。楽天がセミナーをやるときのいつもの場所ですが、広い会場の一部だけを使用するような形。それでも200人以上は入っていたようですが。 雑多なメモをだらだらと。後半になるに従ってメモが雑になるのは仕様です。 Short talk of XSS – 短いXSSの話はせがわさんのお話。 とあるMSのサイトにあったXSS脆弱性、エラー表示をエスケープしていないので突破できるのですが、入力できるデータの長さが制限されているという。いかに短い文字数で任意のスクリプトを実行することができるか、というのが今回のお話。 Netscape4限定の
はてなブックマークボタン トラッキングを停止 | 水無月ばけらのえび日記
公開: 2012年3月15日20時40分頃 はてなブックマークボタン設置サイトがトラッキングをしていた問題、はてなが見解を発表しました。 はてなブックマークボタンから収集した行動情報の第三者提供をやめます - はてなの日記 (hatena.g.hatena.ne.jp)はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました - はてなブックマーク日記 (hatena.g.hatena.ne.jp)ひとまずトラッキングは停止されたようです。 本日、はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました。 はてな側での送信は3月13日(火)16時00分に停止しました。ただし環境によっては、変更が反映されるまでに最大24時間かかることがあります。 以上、はてなブックマークボタンが取得した行動情報の第三者への送信を停止しました - はてなブックマーク日記 より
日本の数学は大丈夫なのか | 水無月ばけらのえび日記
公開: 2012年3月4日23時55分頃 こんなものが公開されていますね……「日本数学会「大学生数学基本調査」に基づく数学教育への提言 (mathsoc.jp)」。 分析の概要としては、こう書かれています。 基本調査の結果とその分析 問1では「平均の定義と定義から導かれる初歩的結論」、「少し複雑な命題 の論理的読み取り」のどちらも誤答率が高く、論理を正確に解釈する能力に問題があることを示しています。 問2。記述式入学試験を課している難関国立大学の合格者を除くと、「偶数と奇数の和が奇数になる」証明を明快に記述できる学生は稀、という結果になりました。二次関数の性質を列挙する問題では、意味不明の解答が多く、準正答のなかにも、すでに挙げた性質と重複する性質を再度挙げる解答が目立ちます。論理を整理された形で記述する力が不足しています。 問3では、平面図形を定規とコンパスで作図するということが何を意味
ワタミの従業員はなぜ自ら辞めなかったのか、という問い | 水無月ばけらのえび日記
労災認定の件、大変残念です。四年前のこと 昨日のことのように覚えています。彼女の精神的、肉体的負担を仲間皆で減らそうとしていました。労務管理 できていなかったとの認識は、ありません。ただ、彼女の死に対しては、限りなく残念に思っています。会社の存在目的の第一は、社員の幸せだからです 以上、https://twitter.com/watanabe_miki/status/171926030666309632 より 無難なツイートですね……「労務管理 できていなかったとの認識は、ありません。」の一文さえなければ。 「労務管理できていなかったとの認識は、ありません」ということは、労働実態をきちんと把握して管理していた、と主張していることになります。そして審査官は「深夜勤務で時間外労働が月100時間を超え、休憩や休日も十分に取れなかった」と認定しているわけですから、そのような状況を把握していて、しか
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
ITシステム導入の失敗 | 水無月ばけらのえび日記
公開: 2011年11月27日13時40分頃 こんな記事が……「「IT中毒」の会社が陥る会議漬け [14]仕事を減らしたくない事務方が導く無限ループ (business.nikkeibp.co.jp)」。 本当は必要か不要なのか分からないのに、ITを導入検討したくなる人たちがいる。それが、いわゆる「事務方」と呼ばれる人たちだ。企画部や社長室といった、企業の事務方部門はIT化の検討、導入サポート、お守りをするのが仕事の大半を占めていたりする。最初はそのつもりがなくとも、結果的にそのようになっているケースが多々あるのである。 私もIT企業に勤めていたのでよくわかる。IT企業の営業がターゲットにしている部門は、まさにこういった企業の「事務方」である。彼らは事務方部門に出入りし、営業攻勢をかけて、多額なシステムの導入を検討してもらっているのだ。 「なぜ経営者は使えない情報システムを採用するのか」と
GoogleのHTTPS化で検索ワードのRefererが取れなくなる | 水無月ばけらのえび日記
Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol. 以上、RFC2616 15.1.3 Encoding Sensitive Information in URI's より HTTPSのページからはRefererは送られないようにするべき (SHOULD NOT) と書かれています。ほとんどのブラウザはこの記述に従って、HTTPSのページからHTTPへの遷移の際にRefererを送らないようにしています。 ※たとえば、http://www.b-architects.com/careers/jobs/ (www.b-architects.com) で「求人応募フ
吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
secure.softbank.ne.jp廃止できません!? | 水無月ばけらのえび日記
公開: 2011年7月15日2時10分頃 これは驚きました……「モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流 (d.hatena.ne.jp)」。 以下は、ログイン画面のURLがhttps://secure.softbank.ne.jp/~となっています。大手都市銀行は全てという感じです。 三井住友銀行三菱東京UFJ銀行みずほ銀行りそな銀行セブン銀行じぶん銀行住信SBIネット銀行楽天銀行新生銀行secure.softbank.ne.jpはホワイトリスト方式で残されるということでしたが、上記モバイルバンキングは、そのホワイトリストの対象なのでしょう。 なんということでしょう。 7月からは、secure.softbank.ne.jpで表示されるのは公式サイトのみ (かつ、ソフトバンクに申請したサイトのみ) になりましたから、公式サイトと無関係の者が罠コンテンツ
視点を変えると浮力の正体がわかりやすくなる | 水無月ばけらのえび日記
A君に計算してもらったところ、この装置で生み出される電力は1ワットにも満たないという。しかし、装置をもっと大きくして球の大きさを変えると、理論上、電力はそれに比例して大きくなるそうだ。 以上、記者も感激! さいたま市の80歳男性が発明した「夢のエネルギー製造装置」に迫る+(3/5ページ) より 一見すると、A君はニセ永久機関を絶賛してしまっている……というようにも見えるのですが、注意深く読んでみると、実はA君、永久機関だとかエネルギー問題が解決するといったことは一言も言っていないのですね。この装置が電力を生み出しているのは事実ですし、大きくすれば電力が増えるのも事実です (注入しなければならない水の量が増えるだけですが)。「こんなこと思いつくなんて」と感心してみせる場面でも、「こんなこと」の具体的な内容はコメントしていないという周到ぶり。嘘にならない範囲で、発明者の面子をつぶさないようにう
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
論理少女5 | 水無月ばけらのえび日記
更新: 2011年5月7日18時55分頃 出ていたので購入。 論理少女 5 (www.amazon.co.jp)最終巻でしたか。さすが最終巻というべきか、自分でも考えてみたくなるような面白い問題が多く、楽しめました。1巻に次ぐ面白さだったと思います。 以下、順に気になった問題をメモしておきます。 ハノイの塔の問題積み重ねたコインを1枚ずつ移動していくパズル。有名な問題ですが、なぜか「ハノイの塔」という名前は出ませんでしたね。 4枚のコインを移動する手数について、先生の解説では一般化してからn=4を代入していましたが、3枚を動かすのに7手かかることが分かっているはずですから、以下のように分解して考えれば一般化しなくても回答できます。 まず上の3枚をどかす (7手)一番下のコインを移動する (1手)どかしていた3枚を上に載せる (7手)基本的にハノイの塔は再帰の問題なので、1枚少ない状態の答え
徳丸さんのセキュリティ本 レビューの感想など | 水無月ばけらのえび日記
このように、レビュアーの皆様には、字句の間違い指摘というレベルを超えて、非常に本質的な「この脆弱性のなりたちは何か」という議論に及ぶこともあり、私自身非常に勉強になりました。 と、徳丸さんも書かれているように、誤字脱字の指摘が中心かと思いきや、そうでもありませんでした。「この脆弱性の本質は何か」とか「この保険的対策は実施した方が良いのか」といった、かなり奥深い部分から考え直す機会が何度もあり、面白かったです。しかも調子に乗って「追加でこれを書いてほしい」というリクエストまで出してしまい……。どう考えてもレビューの枠を超えていますが、それでも快く対応していただきました。本当にありがとうございます。 他に面白いと思ったのは、なぜか役割分担ができているように感じたことでしょうか。たとえばPHPを中心に見られている方、VMを中心に見られている方など、自然に担当が分かれるような感じになっていて、その
ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記
公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送
WASForum Conference 2010: ケータイ2.0が開けてしまったパンドラの箱 | 水無月ばけらのえび日記
公開: 2010年5月30日16時40分頃 WASForum Conference 2010。OpenIDのお話の後は、昼休みを挟んで午後のセッションです。午後の一発目は、HASHコンサルティングの徳丸浩さんによる「ケータイ2.0が開けてしまったパンドラの箱」。実はこのセッション、事前に「未公表のネタ2件を発表する (twitter.com)」と宣言されていました。未公表の脆弱性が複数公開されるのではないか……と、期待と不安が高まります。 各サービスのかんたんログイン機能はてな …… 「かんたんログイン」ありライブドア …… 「クイックログイン」ありmixi …… 「かんたんログイン」ありブラウザ三国志 …… なんと、「かんたんログイン」のみ。むしろ潔い?Twitter …… かんたんログインあり。このサービスは、端末が3台あれば3台ともかんたんログインできるように頑張っている。Remem
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記
更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
