高木浩光@自宅の日記 - 岡崎図書館事件(2の2) 図書館はどうしたのか 前編
■ 岡崎図書館事件(2の2) 図書館はどうしたのか 前編 岡崎市立中央図書館のホームページへの大量アクセスによる障害について, 岡崎市立中央図書館, 2010年9月1日 が話題になっている。 事件直後、つまり逮捕報道の翌々日の5月28日、最初に電話取材したのは岡崎市立中央図書館だった。このときは録音していたが、とくに意味のある情報が得られなかったので聴きかえすことはなかったのだが、今日改めてはじめてその内容を聴いてみたところ、図書館側の姿勢が当初から現在まで全く変わっていないことに驚愕した。この時点で既に言うべきことは言っていたが、図書館側は当初から話を受け入れる様子がまるでなかった*1。以下、正確性を期すためそのまま内容を示す。先方は、岡崎市教育委員会図書館交流プラザ中央図書館企画室の三浦氏(日経コンピュータ8月4日号の記事で図書館側として出ていた方)。 私: 情報セキュリティの研究をし
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Health Insurance Contact Lens Best Penny Stocks High Speed Internet Migraine Pain Relief Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
OS運用記録7月1
2010 年 7 月 8 日 anchor Twitterのブログプラグイン2つほど Twitterをやり始めて3ヶ月でやはりというか予想通りというか、結構時間をとられている。 このツールはネット中毒を加速させる気がする。 とはいうもののまだ3ヶ月だからしかたないともいえるが、フォローもフォロワーもそんなに増えているわけでもないし、インフルエンシャルなユーザになっているわけでは当然ない。 ということで本家ブログをTwitterアカウントとは別に持っている人は、折角母艦ブログで培ってきた常連をTwitterに誘導したいところだ。 本当はTwitter経由で人が流れ込んでくるようにしたいのだが、その前提はまずTwitterのアカウントに力を持たさなければいけない。何だかニワトリとタマゴ? それはともかく企業向けのTwitterのSEOなんかにはよく企業ホームページで広報Twitterアカウント
高木浩光@自宅の日記 - 2年前に書いた懸念がいよいよ現実のものになりつつある, 追記, 追記2
■ 2年前に書いた懸念がいよいよ現実のものになりつつある 2008年に書いた懸念、 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記 これが現実になりつつある。 先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス(トロイの木馬)によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長(システム担当 矢野さとる)(29日16:30修正、下記の追記2参照), 2010年3月21日 (略)この人物が校長だといわれているのはなぜか? それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.
ハードウェア・チップによるサイバー攻撃と、「ホワイト・ハウスの暗殺者」
サイバー攻撃の常套手段といえば、マルウェア(悪意あるソフトウェア)を用いるものと思っていた。攻撃コードと防衛コードのせめぎあい、プログラマ vs プログラマの闘いのようなものを思い描いていたが、違っているようだ。 「フォーリンアフェアーズ」2月号の、NATOの元軍事司令官によると、ハードウェア方面の防衛対策が遅れているらしい。誤動作を起こすよう欠陥を埋め込まれた集積回路が流通し、あるタイミングで「発火」する。もっとも、脅威と認識するからには上手く利用されているようだ。2007年9月のシリアへの核関連施設へのイスラエルの空爆が成功したのは、遠隔操作による監視レーダーを停止させる「キルスイッチ」が奏功したからだと報告されている。 こうしたハードウェア・チップを用いた攻撃には、ソフトウェアと違ってパッチをあてて修復することはできない。普段は何事もなく動作しており、いざとなればテロリストに化ける、
Twitterクラッキングによるアカウント乗っ取りを図にした
今日の15:00頃にtwitter.comがクラッキングされて、全く異なるトップページが表示されていたようです。 Twitter Blog: DNS Disruption Twitter がクラッキングを受けてダウンしている模様 – Yaks Twitterがクラックされている件 – 西尾泰和のはてなダイアリー 私が見た時は単に接続ができない状態だったのですが、DNSを不正に書き換えられてtwitter.comが別サーバに向くようになっていました。 すでに各サイトで技術的な解説はされているので、タイムラインで懸念されているアカウント乗っ取りについて図を書いてみました。 通常時 OAuthを使っていない多くのTwitterクライアントは、Basic認証を使ってアカウントの認証を行っています。つまりTLを取得するなり、postするなり、twitter.comへのリクエスト毎にアカウントIDとパ
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
高木浩光@自宅の日記 - ダウンロード違法化反対家の知られるべき実像
■ ダウンロード違法化反対家の知られるべき実像 あるきっかけで、あるダウンロード違法化反対家の人の、自宅のものと思われるIPアドレスを知ってしまった。知ることができたのは、2007年と2008年のいくつかのある日におけるIPアドレスである。そのIPアドレスを手元のWinnyノード観測システムの接続ログと突き合わせてみたところ、5回の日時において、WinnyノードのIPアドレスとして観測されていたのを見つけた。 それらのIPアドレスがソースとなっていたキーを抽出し、16日の日記の方法で視覚化したところ、図1のとおりとなった。 他の区間でどうだったかを調べたいところだが、2007年の部分と2008年の部分では、ISPが異なっており、ポート番号も「4857」と「3857」という具合*1に違っていた。 一般的に個人宅に割り当てられるIPアドレスは時々変化しており、それを追跡することは通常、簡単でな
Pidginにリモート攻撃の脆弱性、Adiumにも | エンタープライズ | マイコミジャーナル
Pidgin is an easy to use and free chat client used by millions. Connect to AIM, MSN, Yahoo, and more chat networks all at once. 18日(米国時間)、人気の高いクロスプラットフォーム、マルチプロトコル対応のインスタントメッセンジャーPidginにリモート攻撃を受ける脆弱性があることが発表された。詳細はCore Security TechnologiesやPidgin Security Advisoriesにおいてまとめられている。 Pidginの主要ライブラリであるlibpurpleのmsn_slplink_process_msg()関数に問題があり、特別に細工したMSNSLPメッセージを2つ続けて送信されることで不正な処理が実行される可能性がある。2.5.8および
なんちゃってなIT用語辞典26
ウイルス Virus 09年は近年稀に見る・・・というよりも空前のウイルス当たり年になりそうだ。 あらゆる統計数字がそれを示唆している。 過去にウイルスの当たり年といえば2003年末から2004年、2005年にかけて、MSBlasterとかSasserとかが大流行した年があったが、最近の各社のウイルス定義ファイルの更新ぶりを見ていると、もうこの2004年なんか問題にならないくらいの更新頻度になっている。 この1〜2年はウイルスは落ち着いてきていたので、この問題は神経質にならなければ大問題ではないという空気がやや醸し出されていた。 ところが比較的のんびりしていたノートンのアンチウイルスのウイルス定義ファイルの更新も最近は必ず一日に1回以上あるようになってきた。 MacやLinuxで愛用しているclamavのウイルス定義は2〜3年前には1万種類程度のウイルスを登録していた。 しかし今では登録さ
Subversionに脆弱性 | エンタープライズ | マイコミジャーナル
Subversion is an open source version control system. Google、Matt Lewis氏がSubversionにヒープオーバーフローの脆弱性があることを報告している。脆弱性の詳細はSecurityFocusにおいてSubversion Binary Delta Processing Multiple Integer Overflow VulnerabilitiesやSubversion heap overflow Aug 07 2009 02:47PMとしてまとめられている。 これは処理の一部で正しく入力値のチェックをしていないために発生する脆弱性。攻撃者にこの脆弱性をつかれると、Subversionサーバに影響がでるほか、場合によってはクライアントにも影響が及ぶ可能性がある。攻撃に失敗した場合でもDoS攻撃につながると説明がある。 1
CNET Japan
人気の記事 1「Pixel Watch 2」の一部機能、初代モデルでも利用可能に 2024年03月05日 2マイナカードのiPhone搭載「もうちょっとお待ちを」--河野大臣が笑顔で言及 2024年03月05日 3計算アプリ「Photomath」、グーグルのアプリとして公式に公開 2024年03月04日 41ビットコインが1000万円を突破--史上初 2024年03月05日 5バンナム、シリーズ完全新作「学園アイドルマスター」--「成長を描く」にこだわり 2024年03月05日 6「Pixel」、Ultra HDR写真と10ビットHDR動画をInstagramに投稿可能に 2024年03月05日 7格安にゲームに課金できる?--「課金代行」の仕組みと手を出してはいけないワケ 2024年01月27日 8楽天の株価に連動して「楽天ポイント」が増減する新サービス 2024年03月05日 9【追記
楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明
※この記事は「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」の続きですので、1本目の記事を読んでいない方はまず1本目の記事に目を通してからご覧ください。 「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」という記事中でも触れましたが、楽天は2005年7月の個人情報流出騒動によってシステムを変更し、楽天に出店しているショップに対してはメールアドレスを「非表示」にしているとお伝えしましたが、実際にはまったく違っていました。 なんと、楽天市場に登録した個人情報のほとんどを各ショップは閲覧することが可能で、なおかつメールアドレスを含む個人情報については楽天市場自身が各ショップに1件10円でダウンロード販売しているとのこと。ダウンロードはCSV形式のファイ
不正コピー問題の意外な解決策: たけくまメモ
昨日「オンライン出版本を買ってみて」というエントリをアップし、オンライン電子出版の問題点(不正コピー防止のプロテクトによって、かえって本としては不便になる問題)について書いたところ、編集者のMさんという方からメールを戴きました。Mさん、ありがとうございました。 メールには、アメリカのプラグマティック・ブックシェルフ(Pragmatic Bookshelf)社という技術系出版社の試みについて、たいへん興味深い事例が書かれてありました。 http://www.pragprog.com/ ↑The Pragmatic Bookshelf 俺は英語が苦手なので、Mさんの解説をもとにざっと読んだだけなんですが、それでもこの会社がかなりユニークな試みをしていることはわかりました。 まず本の購買ページを見ると、プルダウン・メニューが「PDF+PaperBook」になっており、ほかにpdfファイルオンリー
リスク対応では生産性の低下を意識する - コンプラやさん。
セキュリティ, 事務局向け | 週末ちょっと考えていた。またISMSの見直しの時期になってきたので、今年もアンカーの打ち込みがてら書いておきたい。「事務局向け」っていうカテゴリに入れたのは事務局への啓発、警鐘のため。 今年の決意今年は「利便性」という言葉を使わないようにしたい。 利便性は生産性につながる「セキュリティは利便性との負の相関関係がある」みたいに言われる。で、利便性は犠牲にしても良いからセキュリティを優先する、みたいな議論になる。組織の中で聞かれる「利便性」って言葉は、良いイメージが無いような感覚がある。でも、多くの場合「利便性」は「生産性」に直結するわけで。利便性が低下すると生産性が下がる。ついでにモチベーションも下がる。ますます生産性が下がる。「開発環境の生産性向上」と言うと「推進しよう」となるけど、「開発環境の利便性向上」と言うと「制限したほうが…」となる謎。「甘やかすな!
OS運用記録5月1
2009 年 5 月 1 日 anchor 新作ウイルスゲットだぜ! 連日ウイルス話が続くのが申し訳ないが、今のところ他に話題も無いので結局辟易としながらもウイルス話を続ける。 今まで個人でもらうウイルスの量なんてたかがしれていたし、私の周りにはMacユーザが多いのでそういう人達からあまりウイルス付きメールというものももらわない。 ところが最近にわかシステム管理者みたいなまねごとをやらされているせいで、一日に何十というメディアやPCをスキャンするものだから、膨大なウイルスコレクションが増えてしまった。 検疫するたびに新種を見つけたら、検体サンプルとして保管するのでこれが結構な種類ある。 新種のVirutも今日ゲットしてしまった。 ちょっと古いNetskyも手に入れたし、Autorun1792とかのスクリプトだけでなくついに本体も捕獲した。 世の中にはスゴい量のウイルスがあって、それが蔓延し
中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
読売新聞が中国、ITソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる(はてなブックマーク、痛いニュース)。 しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。 【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1。 まず第一に、審査対象と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)
メッセサンオー個人情報流出事件 まとめ その2:【2ch】ニュー速VIPブログ(`・ω・´)
『Avast Free Antivirus』が5.0にアップデート!インターフェースも改善され、使用リソースも軽量化 | ライフハッカー・ジャパン
