高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
高木浩光@自宅の日記 - 香母酢とライムの違いから日本の異端ぶりを読み解く
■ 香母酢とライムの違いから日本の異端ぶりを読み解く 先々週、こんなニュースがあった。 児童ポルノ公開の疑い、交換ソフト利用の10人書類送検, 朝日新聞, 2009年11月7日 捜査関係者によると、書類送検されたのは、全国の10〜50代の男。いずれも世界有数の利用者がいる「Cabos(カボス)」と呼ばれるファイル交換ソフトを使い、日本人の中学生の少女を写した同じ画像をネット上から入手して自宅などのパソコンに保存。他人が閲覧できるように公開していた疑いがある。カボスは、1人がパソコン内の特定の場所に画像などのファイルを保存することで、ネットワークでつながる他のソフト利用者も入手、保存できる仕組みになっているという。 少年課が5月、児童ポルノの捜査にカボスを導入したところ、この少女の画像を多数の利用者が保存、公開しているのを確認。(略) 10人のうち3人は、すでに略式起訴され、罰金50万円の略
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」
■ PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 「オレオレ証明書クイズ」なるものが実施されていたようだ。 (1) 案内文の前半にある「暗号化は正常に行われます」は正しいでしょうか。 設問が悪い。案の定、正常だと回答する人が現れ、模範解答を見て 「間違っていなかったようだ」などと言っている。 たとえば、 金庫の上にその鍵が置いてあります。この金庫は正常に機能しているでしょうか? と問うことのバカバカしさなら理解できるだろうか。あるいは、 共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します*1。この暗号は正常に機能しているでしょうか? ならどうか。暗号そのものは作動しているだろうが、それを言ったところで何 か意味があるのか? つまり、プロトコル全体として正常に機能しているかが 問われている文脈において、個々の暗号アルゴリズムが作動しているかどうか を云々す
高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩していた可能性
■ 旧はてなブックマークで社内情報が漏洩していた可能性 昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。 はてなブックマーク - はてなブックマーク - http://192.168. たとえば次などがそれだ。 http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/ http://b.
高木浩光@自宅の日記 - Winnyにおける流出ファイルの流通寿命と共有数
■ Winny媒介型暴露ウイルスによるファイル流出被害発生件数の推移 その2 昨年3月2日の日記に書いた「Winny媒介型暴露ウイルスによるファイル流出被害発生件数の推移」について、その後の状況を調べた。集計方法は同じ。グラフの表示方法を若干改良した*1が、読み方の注意点は前回と同様である*2。 図1は、1日当たりの流出ファイル流通量(赤い点)(目盛りは左の縦軸)と、1日に新たに発見された流出ファイルの数(緑の線)(目盛りは右の縦軸)と、1日に新たに発見された同トリップ数(青の線)(目盛りは右の縦軸)の推移である。暴露ウイルスは一度に複数のファイルを放流し、その個数もまちまちであるので、緑の線は大きく変動する。被害発生件数は青の線で読み取ることができる。 暴露ウイルスの被害は減少傾向にあるようだ。2007年5月に被害が急増した*3が、2007年8月には元に戻り、その後は減少が続いた。ただし
高木浩光@自宅の日記 - Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる, 追記(30日) 非公開設定のカレンダーも削除されない
■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。 実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面(図2上)の「マイサービス」という部分の「編集」というリンクの先(図2下)にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
