高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
高木浩光@自宅の日記 - DPI行動ターゲティング広告の実施に対するパブリックコメント提出意見
■ DPI行動ターゲティング広告の実施に対するパブリックコメント提出意見 「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済, 朝日新聞, 2010年5月30日 「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ネット・ウイルス - デジタル, 朝日新聞, 2010年5月30日 この記事が今日の朝日新聞朝刊1面に出ている。紙の方の記事では「行動ターゲティング広告」と「米英では頓挫」のキーワード解説が載っている。 これは、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言」のことだろう。「ライフログ活用サービスに関する検討について」の中に「ディープ・パケット・インスペクション技術を活用した行動ターゲティング広告について」という節がある。(電気通信事業者の取扱中に係る通信の傍受のことを指して「ライフログ」を呼ぶのには強い違和感がある
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
高木浩光@自宅の日記 - 無断リンク禁止のむかし話
■ 無断リンク禁止のむかし話 ここの日記は、3年ちょっと前までたびたび無断リンク禁止条項の話題を取り上げていたが、その後は取りあげなくなっていた。それは、もはや決着がついており、残るラスボスは日経新聞と読売新聞と電通だけであり、それらが他に伝染することはもはやなかろうと思い、放置していたからだった。 今日、久しぶりに古いメールボックスを開いてみたところ、2006年9月に、読売新聞東京本社知的財産担当に対して、問い合わせしたときの文書が出てきたので、ここに公開しておく。 From: 高木浩光 Subject: 「リンクポリシー」について Date: 2006年9月24日 18:07:37 JST http://www.yomiuri.co.jp/policy/link/ の「リンクポリシー」を拝見して、 以下の通り問い合わせします。 個人でブログを書いている者です。日ごろから、新聞社のサイト
高木浩光@自宅の日記 - 2年前に書いた懸念がいよいよ現実のものになりつつある, 追記, 追記2
■ 2年前に書いた懸念がいよいよ現実のものになりつつある 2008年に書いた懸念、 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記 これが現実になりつつある。 先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス(トロイの木馬)によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長(システム担当 矢野さとる)(29日16:30修正、下記の追記2参照), 2010年3月21日 (略)この人物が校長だといわれているのはなぜか? それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
高木浩光@自宅の日記 - 地域型ドメイン名は廃止してはどうか
■ Firefox 3.5でSSLの確認方法が「緑なら会社名」「青ならドメイン名」と単純化される 今年中には正式版がリリースされると目されているFirefox 3.5だが、現時点でリリースされている3.5b4のベータバージョンで確認したところ、browser.identity.ssl_domain_display の初期設定値が「1」となるようだ。つまり、たとえば、楽天のログイン画面に移行すると、アドレスバー*1が図1のようになる。 これにより、パスワードやクレジットカード番号などを入力する前に、今訪れているサイトが本物であるかどうかを、アドレスバーに表示されるドメイン名で確認できるようになる。 この機能はFirefox 3.0でも実装されていたが、初期設定ではオフにされていた。従来は図2のように、青くなるだけでドメイン名は表示されず、クリックしてドメイン名を確認する必要があった(URL中
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
