「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準)
■ 「スパイウェア」が侵入してくるのはどんなときか実験してみる(CA基準) 14日の日記に書いたように、日本CAはtracking cookieをスパイウェアと位置付けているわけだが、その「スパイウェア」とやらはいったいどんなときに我々のパソコンに侵入してくるのか、実験してみた。 実験方法は以下の手順。 Internet Explorerをデフォルト設定にする。 「インターネットオプション」の「全般」タブとのころにある、「Cookieの削除」ボタンを押す。 CA無料スパイウェアスキャンで、(CnsMin以外の)スパイウェアが検出されないことを確認する。 どこかのWebサイトを訪れる。 再びCA無料スパイウェアスキャンで、何か検出されるか調べる。 まず、トレンドマイクロ社Webサイトのトップページにジャンプした後、すぐスキャンしてみると、
高木浩光@自宅の日記 - 蔓延する「サイバーパテントデスクのWWWサーバ」
■ 蔓延する「サイバーパテントデスクのWWWサーバ」 「現場でコピペしてるんだ」の話から、5年前の話を思い出し*1、再び検索してみると、該当ページは増えていた。 http://www.yurinsha.com/ssl.htm インターネットセキュリティ(SSL)は安全です!! SSL(Secure Sockets Layer)は、WWWブラウザとWWWサーバ間でデータを安全にやりとりするための業界標準プロトコルです。 SSLには、認証と暗号化の機能があります。 認証機能により、接続しているWWWサーバが確かにNRIサイバーパテントデスクのWWWサーバであることを保証します。 また、暗号化機能により、検索内容が暗号化された上でインターネット上で通信されます。これにより、データがインターネット上で盗聴、改竄される危険性が小さくなります。 http://tweb.omt.ne.jp/ssl_in
高木浩光@自宅の日記 - 「無断リンクは禁止とします」について岡山県警にも聞いたが……
■ 「無断リンクは禁止とします」について岡山県警にも聞いたが…… 10月7日の「「無断リンクは禁止とします」について栃木県警に聞いた」の際、同じく「無断リンクは禁止とします」としていた岡山県警に対しても同じ問い合わせをしていた。 最初の質問(9月25日): http://www.pref.okayama.jp/kenkei/sitepolicy.htm の「サイトポリシー」 を拝見してお尋ねします。 > 3.リンクについて > 当サイトへリンクされる場合は、リンク元のサイトの運営主体、リンクの目的 > 及びリンク元のページのURLを事前にご連絡ください。無断リンクは禁止とします。 とありますが、「無断リンクは禁止とする」理由を教えていただけますか。 また、事前に連絡が必要とされている理由を教えてください。 -- 高木 浩光@自宅 これにメールで返事を頂いたので、それについて次の質問をした(
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
高木浩光@自宅の日記 - 非接触型電子マネーは消費者にとって安全なのか
■ 非接触型電子マネーは消費者にとって安全なのか 最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者(発行者)ないし加盟店に損金が出るリスクと、消費者(利用者)に損金が出るリスクを分けて考えるべきだろう。 発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。 さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいと
高木浩光@自宅の日記 - 素人メディアに脆弱性報告文化を破壊されるおそれ
■ 素人メディアに脆弱性報告文化を破壊されるおそれ みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。 これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。 「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え?」と驚かれるでしょうか。 例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったから
高木浩光@自宅の日記 - 新聞の意味不明な識者コメントはデスクの解釈で捏造される
■ 新聞の意味不明な識者コメントはデスクの解釈で捏造される 13日のWinny判決の日は、午後からIPAで講演のため留守にしていたこともあり、当日のマスコミからの取材申し込みはお断りさせていただき、事前に申し込みのあったものについてだけコメントさせていただいた。そもそも私は業務上この判決の是非についてコメントする立場になく、情報セキュリティの観点から今後のWinnyをどう考えるかについてのみ、コメントするようにしている。判決が出てから慌ててコンタクトしてくるようなメディアには、短時間で私の主張の趣旨が理解されない恐れがあり、危なくて応じられない。 しかし、注意深く応じたにもかかわらず、読売新聞13日夕刊には、言っていないコメントを掲載されてしまった。 高木浩光・産業技術総合研究所情報セキュリティ研究センター主任研究員の話 「ウィニーは、本人の意思に関係なく、個人のファイルやデータが流出して
高木浩光@自宅の日記 - 「不 当 判 決」 村井証人証言は僕ら技術者を幸せにしたか
■ 「不 当 判 決」 村井証人証言は僕ら技術者を幸せにしたか この日記エントリは以下の文書を読んだ上でのものである。 京都地裁平成16年(わ)第726号著作権法違反幇助事件 判決要旨の原文 Winny裁判、罰金刑は重いか?軽いか?--自己矛盾を抱えた判決, 佐々木俊尚, CNET Japan, 2006年12月13日 「Winny自体は価値中立で有意義」の司法判断、その影響は!?, 佐々木俊尚, @IT, 2006年12月15日 Winny事件判決の問題点 開発者が負う「責任」とは, 白田秀彰, ITmedia, 2006年12月17日 Winny京都地裁判決要旨を読んで(前), 弁護士 落合洋司(東京弁護士会)の「日々是好日」, 2006年12月17日 高性能車とウィニー, 元検弁護士のつぶやき, 2006年12月17日 まず、判決要旨(原文)には次の通り書かれている。 6. 被告人に
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
高木浩光@自宅の日記 - 第1回「リンクポリシー」大賞 受賞者決定
■ 全盲読者に配慮したWebページ作りを妨げる文部科学省と環境省と地方自治情報センター 総務省が推進するウェブアクセシビリティ。JIS規格にもなった JIS X 8341-3。これらでは、全盲の読者への配慮として、「新しいウィンドウを開かない」ことを留意点として挙げている。 ポイント4:利用者が迷わないリンク, 情報バリアフリーのための情報提供サイト, 情報通信研究機構 b. 新しいウィンドウは混乱のもと 新しいウィンドウが開いても、それを目で確認できないため混乱する利用者がいます。(略)新しいウィンドウは基本的には開かない。(略) 総務省 報道資料 「公共分野におけるアクセシビリティの確保に関する研究会」報告書 付録4a, 「公共分野におけるアクセシビリティの確保に関する研究会」報告書の公表, 総務省 ・リンク先のページを新しいウィンドウに表示すると、全盲の利用者や高齢者をはじめ、混乱し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - はてブを使うことにした