個体識別番号は個人情報と容易に結びつく | 水無月ばけらのえび日記
更新: 2010年6月1日11時35分頃 「KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 (takagi-hiromitsu.jp)」。 「固体」ではなく「個体」が正解なのですが、KDDIのドキュメントには「固体」と記述してあるという。まあ、それは単なる変換ミスの類でしょうが、問題なのはその記述の内容の方ですね。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。 以上、[000021]EZ番号(固体識別番号)を変更したい。 より ※2010-06-01追記: 上記の記述は削除されたようで、現在は確認できません。 確かに、EZ番号それ自体には個人情報は含まれていないでしょう。しかし問題は、個人情報
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記
更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ
ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記
公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送
モバイルサイトでCookieが使われない理由 | 水無月ばけらのえび日記
公開: 2010年3月14日21時30分頃 「ガラパゴスに支えられる携帯サイトのセキュリティ」という話を書いたところ、いろいろな反響がありました (ありがとうございます)。特に、「Cookieを使えばいいのに」「なんでCookieを使わないのだろう」というご感想を持たれた方が多かったように思います。 いわゆる「勝手サイト」に関して言うと、Cookieを使わない最大の理由は、単に対応していない端末があるからでしょう。特にdocomoでは、Cookieに対応しているのは2009年の夏以降に出た「iモードブラウザ2.0」対応端末だけです。Cookieに対応した端末が普及するまでは、まだまだ時間がかかるでしょう。 逆に言うと、Cookie対応端末が普及してくれれば問題ないことになります。勝手サイトを新規に構築する場合には、Cookie非対応端末のかんたんログインを切り捨てるという選択肢もあり得るで
docomo IDスタートでiモードIDの利用範囲が広がる | 水無月ばけらのえび日記
公開: 2010年3月14日22時20分頃 本日から、「docomo ID (i.mydocomo.com)」というものが使えるようになったそうで。 「iモードID」にはいろいろな問題がありますが、それに替わる新しい認証方式が出てきたのであれば、これは非常に喜ばしいことです。……と思ったらこれ、iモードIDに替わるものではなくて、iモードIDの利用を促進するもののようですね。PCサイトでもiモードIDが取得できるようになって、モバイルサイトと連携しやすくなるという話のようで。 確かに、PCサイトのアカウントとモバイルサイトのアカウントを結びつけたりするのはなかなか面倒で、簡単にできれば良いのにと思うことはあります。……ありますが、この方法では、iモードIDが強くなりすぎてしまわないでしょうか。 iモードIDは通常のCookieと異なり、どのサイトでも同一の値が送出されます。つまり、どのサイ
漢は黙ってXSSフィルタ | 水無月ばけらのえび日記
公開: 2010年2月28日1時10分頃 とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。 「"><s>test」を入れて打ち消し線が出ることを確認する「"><script>alert(document.cookie)</script>」を入れてみる。IE8ではXSSフィルタで蹴られるが、ソース上に<script>が出ていることを確認する (「<script>」という文字列だけ消す、というような処理があるかどうか確認するため)実際にスクリプトが動作することを確認最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使
DNS Rebinding問題の所在 | 水無月ばけらのえび日記
公開: 2010年2月15日23時40分頃 「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。 「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。 iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、
Gumblarによる改竄発生中 | 水無月ばけらのえび日記
更新: 2010年1月12日15時35分頃 「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。 原因・経緯(12月26日更新) ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。 以上、Hondaホームページ 「ストリーム」サイトに関する報告とお詫び より 4.原因・経緯 ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
楽天Webディレクション&デザイン2009: 1,000万人のメルマガ購読者を飽きさせない仕掛け | 水無月ばけらのえび日記
公開: 2009年12月12日12時45分頃 楽天ブックスの話の次は、「1,000万人のメルマガ購読者を飽きさせない仕掛け」。メールマガジン「楽天市場ニュース」のお話。 メールマガジンの役割ユーザーリアクションによる売上げ貢献広告媒体新規ユーザー獲得既存顧客育成マーケティングツール売上げ比率に占める広告の割合が大きい。KPIとしては配信数、開封数・開封率、CTR、CVR、売上げ。メルマガからの売上げは順調に推移流行発信・トレンド創出の役割も。例: ビリーズブートキャンプ、花畑牧場、六厘社つけ麺、端っこグルメ、訳ありグルメ&グッズ特集などテレビで放映された商品をいち早くお届けニュース性のある話題をテキストメールで配信
楽天Webディレクション&デザイン2009: 日本最大級の総合旅行サイト「楽天トラベル」の改善プロセス | 水無月ばけらのえび日記
流通構成比のツリートップ 日付検索 (X%)ワード検索 (Y%)地図検索 (Z%)もっとも多いのは日付検索 (XはYやZより大)。トップで日付を入力したあと……。 (3割)→エリアを選択 (8割)→プラン一覧 (5割)→施設ページ (3割)→施設プラン (5割)→プラン詳細 (7割リターン)と、経路を確認した上で、「問題児」ページを発見する。 前後のページ、類似ページと比較して戻り率、ドロップ率が高いページが問題児。
楽天Webディレクション&デザイン2009: 月間50億PV、社内ユーザー1000人のアクセス解析で分かったこと | 水無月ばけらのえび日記
アクセス解析の導入ギャップ分析 : 事実がゴールとどうかけ離れているか分析方法や深度が事業や人によりバラバラ : ツールも色々あった。GA、合併前から使われていた社内ツール、Analog等々。UserInsightは現在でも併用している。標準化と知識共有に課題 : 成果を挙げた人への評価もできていない。専任チームを結成 : 編成部 アクセス解析・最適化推進チーム 2009年頭に結成。Omnitureから2名常駐、ほか数名サポートグループ47社のうち、導入済みだったのは13社のみ。今年9月までかけて全社に導入。SiteCatalystをカスタマイズ導入。後半は「Test&Target」も測定コール数 +27% (月間50億)、社内ユーザー数 1.5倍 (約1,400) に
楽天Webディレクション&デザイン2009: 楽天グループ、RIA表現への取り組み | 水無月ばけらのえび日記
公開: 2009年12月9日14時25分頃 twitterの話に引き続き、「楽天グループ、RIA表現への取り組み」。スピーカーの竹部さんは普段はIA(情報設計)の話をされることが多いそうですが、今日はRIA推進の立場でのお話でした。 時間が押していたためか話のペースがかなり速く、手元のメモもだいぶ歯抜けです。 チームのミッション1. richUIの検討 : サービスUX向上、バックオフィス作業負荷軽減2. 事例共有、ノウハウ蓄積 : 共有方法の模索・勉強会の開催3. 効果測定・課題点 : SiteCatalystの導入、SEO・アクセシビリティの標準化、標準コンポーネントの整備 RIAに期待することユーザビリティとマネタイズ : 「儲からないでしょ?」→儲かるUX、概念モデルと行動モデルの乖離新しいユースケース : AIR・Silverlight / 番組中でその商品を買わせる、GPSでレ
楽天Webディレクション&デザイン2009: トークセッション | 水無月ばけらのえび日記
公開: 2009年12月8日0時50分頃 「楽天Webディレクション&デザイン2009 (corp.rakuten.co.jp)」(RWDD2009)というイベントがあったので参加してみました。 楽天のテクノロジー系カンファレンスは何度も開かれているのですが、今回のRWDDは編成部の方が開催されたものです。システム開発の部門ではなく、実際に普段サイトの運用を行っている現場の方たちのお話が中心です。 最初はトークセッション。三木谷氏、iモードの立ち上げに携わった夏野剛氏、元スクウェア社長の鈴木尚(ひさし)氏、の3名による楽天についてのトークです。 以下、気になったところを断片的にメモ。話がつながっていないように見えるのはメモの品質が低いせいです。その他、不正確な部分もあるかもしれません。 パネリスト自己紹介鈴木さんと夏野さんが知り合ったのはiモード版のファイナルファンタジーをつくったとき。楽
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場のRekoo日本法人設立で、情報漏洩の件の話 | 水無月ばけらのえび日記
公開: 2009年11月17日14時0分頃 サンシャイン牧場の件。先日、サンシャイン牧場のRekooが日本法人を設立したというニュースが出ていましたが、その会見の中で情報漏洩の件についても触れられていたようで。 なお、サンシャイン牧場のシステム不具合で、2009年10月21日から23日の3日間にクレジットカードでアイテムを購入した約4000人の利用者の電話番号とメールアドレスが閲覧可能な状態になっていたとの報道があった件に関して、小野氏は「ご迷惑、ご心配をおかけたことを申し訳なく思っている。ただ、一部報道にあったようにリストとして4000人分の情報を取り出せる状況にあったということではなく、事実としては他人のIDをたまたま知ることができた場合に、不正にアクセスして情報が取れたかもしれないという状況だった。今後はこうしたことのないようにしていきたい」と述べた。 以上、ITproの「SNSネイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
楽天Webディレクション&デザイン2009: 常に改善、常に前進 変わり続ける楽天市場トップページ! | 水無月ばけらのえび日記
楽天Webディレクション&デザイン2009: 「楽天ブックス」ユーザー中心設計アプローチの実践と商品検索UIの改善 | 水無月ばけらのえび日記
楽天Webディレクション&デザイン2009: 「楽天トラベル」つぶやきながら見えてきたTwitter活用3つのポイント | 水無月ばけらのえび日記