Tポイントツールバーが立派なマルウェアである件 - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
しらべた。 まず利用許諾。情報の収集についてこんなことが書いてある。第6条(履歴の収集) 1.利用者は、当社が提供した本ツールバーをインストールした利用者端末による全てのWEB閲覧履歴(閲覧したURL、検索キーワード、ファイル名及びアクセス日時等の履歴情報をいい、以下「WEB閲覧履歴」といいます)が当社により取得されることをあらかじめ承諾するものとします。 1.当社は、前項に基づき取得した利用者のWEB閲覧履歴を蓄積し、?T会員規約に基づき当社が保有する利用者の購買履歴等の会員情報とWEB閲覧履歴を組み合わせて当社が利用者にとって有益であると判断する広告の表示並びに広告メール及びダイレクトメールの送付等を行うためのデータベースとして利用すること、?個人を特定できないマーケティング情報として加工し利用(第三者への譲渡を含む)することができるものとします。 1.本ツールバーには固有の利用番号が
Tカードの問題 - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
朝日新聞で医薬品の購買履歴がCCCに説明なく送られているという記事が出ました。 これに関係して,CCCは個人情報の保護に関する法律に抵触している証拠を貼っておきます。 薬局関連では刑法の第百三十四条,第六十一条 ,第六十二条が関係します。 個人情報保護法では第二十四条が関係します。 *追記:担当者名を伏せ,その後のやりとりを追記しました。 まず,7月2日に問い合わせフォームから問い合わせを行いました。 その後のやりとりは以下の通り。 cs.tsutaya@ccc.co.jp cs.tsutaya@ccc.co.jp 7月4日 (13日前) To 自分 スギタニトモヒロ様 ご依頼をいただきました開示方法についてご連絡をさせていただきます。 弊社では、個人情報保護法に則り、開示には書面による申請を基本としており、 開示項目はT会員入会時にお預かりした登録個人情報(氏名・生年月日・性別・住所・電
三菱電機インフォメーションシステムズ株式会社の MELIL/CS 導入図書館における情報漏洩に関するさまざま - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
さて。 私が知りえた情報から,かいつまんで書く前に,おおよその状況を把握しておいてもらいたい。 まず,前提として,岡崎市立中央図書館は今回の情報漏洩については被害者であること。 第二に,今回の情報漏洩は二つの事件がひとまとめで扱われていること。 第三に,この情報漏洩は拡大する可能性が極めて高いこと。 第四に,親会社である三菱電機が責任を負うべき事件であること。 まず第一に。本事件*1においては,岡崎市立中央図書館は被害者であるということを確認しておきたい。 手元にある契約書のコピーを参照しよう。次の文言がある。同じ文書は,念力デバッグで活躍した三名の筆頭格,前田氏のblogにもある。 委託者岡崎市を甲とし、受託者三菱電機株式会社中部支社を乙とし、次の条項により契約を締結する。 (中略) (再委託の禁止) 第5条 乙は、甲の承諾を得た場合を除き、自ら個人情報の処理を行うものとし、 第三者にそ
XSSとCSRFの違い早わかり - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
http://d.hatena.ne.jp/ockeghem/20071203 あー・・・・・ええと。うん。それ違うから。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く その表現は非常にまずい。まず「攻撃スクリプト」が混同されている。 少なくともサーバ上で「攻撃スクリプト」が動作するのはもう CSRF ではない。CSRF の場合,脆弱ではあっても悪意はない本来のスクリプトが記述された通りの「正常な」動作をしているにすぎないからだ。 第二に,CSRF でも悪意のスクリプトがブラウザ上で動作するパターンがある。というより記事内で例示されている CSRF ではブラウザ上で罠サイトに設置された攻撃スクリプトであるところの JavaScript が動作しているものだ。アプリケーションにポストする内容の話
たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜 - セキュリティ対策の「ある視点」 第1回 たった2行でできるWebサーバ防御の「心理戦」への反論
http://www.atmarkit.co.jp/fsecurity/rensai/view01/view01.html ちょっとこれはまずそうなので反論をうpっておこう。 サーバのバージョン情報を隠すことはプラスにはならない。むしろマイナスの効果を危惧すべきだ。 大多数の攻撃者はバナーなど見ていない。「思慮深い」攻撃者相手ならバナーを隠しても意味が無い。 むしろバナーを隠すことで「隠さなければならない事情」を想定させるだけ不利になる可能性すらある。 なにより、意味の無い「対策」があたかも「セキュリティ対策」であるかのように語ってしまうと、その意味の無い「対策」で安心してしまいかねない。バナーを隠したところで防げる攻撃など、ほとんどないことを知らなければならない。 攻撃者がサーバ等のデーモンのバージョン情報を見たとき問題になるのは、まず「脆弱なバージョンであることが示されている場合」にな
Winny - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
わかりやすさだけを主眼にする。詳細には語らず、大まかな部分だけ合っているように努力する('A`)間違ってたらゴメン。そんときは指摘おつゆ。なおすから。 Winny ってのは一般的なピュアP2Pに暗号化やキャッシュ分散による匿名性(一次放流者の遮蔽)を行ったツールだ、といえる。 例えると、「一般的な乗用車にいくつかの機能を追加した」といったところか。 運転者の顔が隠れるスモークガラスや、より広い車内空間とかそんな感じ? が。しかし。 Winny には管理機能がなかった。というより、管理させないようなつくりになっていた。自分がどんなコンテンツを送信しているのかが容易にはわからないようにしたことと、それを止める事が(Winnyを利用している限り)難しいようにした。 スピードメーターの表示が間違っている、ってとこかな? 著作権侵害はスピード違反くらいか。 情報漏洩は交通事故かな。仕組みとしては管理
Winny開発、Winny使用 なにが間違いかを読んで - たぬきん貧乏日記 〜No Worry, No Hurry. Eat Curry!〜
Winny問題では、さまざまな議論があるのだけど、著作権幇助やWinnyの使用に関していうと、間違いは次のどちらかだと思う。 1.開発者を著作権幇助の罪で逮捕したこと 2.Winny使用者を取り締まらないこと 1. はねえだろ。 著作権法に抵触しているのは Winny ユーザ。放流者は明らかに違反しているが、それを再うpしている中継者もアウトであると考えることができる。 となると、その状況を防ぎうる立場にありながらそうしなかった、ということが幇助に問われても仕方がない、ということだ。 管理できる立場にありながら管理を行わなかったことが罪に問われた例としてこういうものがある。「奥村弁護士の見解」より、アイコラ画像の投稿を黙認したことを名誉毀損とした事例(東京地裁H18.4.21)。 名古屋ではこんな事例もある。同じく奥村先生のところから掲示板管理者の刑事責任@名古屋地裁。 管理できないように
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
