高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - 日記予定、Nyzillaの進捗
■ 日記予定、Nyzillaの進捗 「Winny作者事件二審無罪判決で今後どうなるか」といったエントリを書かなくてはと思っていたが、まだ書いていない。書きたいのは次の点など。 判決を伝える新聞各紙の論調がもたらしかねない今後への悪影響。 朝日新聞10月8日夕刊大阪3版掲載の安田直氏の有識者コメントに見る典型的な害。 私の新聞コメントについて。 金子氏の発言内容が以前から変わってきている件。 (金子氏発言に依拠すると)私たち(利用者、開発者)はどうするべきなのか。 金子氏に望むこと。 高裁の判決理由についての考察(判決要旨を基にして)。 ところで、開発中の「Nyzilla」は、かなり開発が進み、残すところあと1つを実装すれば、機能的には完成といったところとなった。 最初の接続時には注意書きが出る。*1 このプログラムは、いわゆる「クローラ」ではなく、アドレスバーの「接続先」に入力されたホスト
高木浩光@自宅の日記 - あるある大事典が「一切リンクお断り」としていた心境を推察すると見えてくるもの
■ あるある大事典が「一切リンクお断り」としていた心境を推察すると見えてくるもの 恥ずかしながら、私の勤務する研究所も、何年か前は、研究所Webサイトへのリンクについて、公序良俗に反するサイトからのリンクを「お断りします」としていた。その理由というのはどうやら、研究成果などに対していかがわしい会社からリンクされることが、ある種の人たちには懸念される事柄と思われているためのようだった。 だが考えてみて欲しい。たとえば、研究所の研究員の発表論文やテクニカルレポートが、食材販売業者のチラシやWebサイトで、参考文献として挙げられているときに、私たちはそれを止めさせる立場にあるだろうか? 論文の参考文献リストへの掲載について 以下のいずれかに該当する出版物、Webサイトその他においては、○○研究所の職員が発表した論文を参考文献リスト等に無断で掲載することをお断りします。 (1) 公序良俗に反するも
高木浩光@自宅の日記 - ワンタイムパスワードは何のためにあるのか
■ ワンタイムパスワードは何のためにあるのか 先月、ジャパンネット銀行から「SecurID」が送られてきた。RSAセキュリティのワンタイムパスワード生成器(以下「トークン」)だ。ジャパンネット銀行は全口座の利用者に対してこれを配布している。 届いた郵便物には図1の案内状が入っていた。 ここに書かれていることは事実でないので、信じてはいけない。 2. トークンはスパイウェアに監視されないので安全です。 トークンはパソコン、携帯電話などと一切の通信を行いません。万が一パソコンや携帯電話がスパイウェア(不正プログラム)に感染しても、トークンに表示されたワンタイムパスワードが監視されることがなく安心です。 これを読んだユーザは、「今後はダウンロードした .exe ファイルを安心して実行できる」と思ってしまうかもしれないが、トロイの木馬(不正プログラム)を実行してしまっては、たとえこのワンタイムパス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
