高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
高木浩光@自宅の日記 - 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか?
■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか? セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ
高木浩光@自宅の日記 - 「nwitter」の違法性について考えてみる
■ 「nwitter」の違法性について考えてみる ウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日 この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報(メールアドレスとIDとパスワード)を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。 の件が再び話題になっていた。これは、 ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ
高木浩光@自宅の日記 - 位置特定につながるSSIDの割合は約17% (東海道新幹線沿線2007年8月調べ)
■ 位置特定につながるSSIDの割合は約17% (東海道新幹線沿線2007年8月調べ) 昨日の日記に書いた件、実際に、無線側MACアドレスを割り出されそうなSSIDがどのくらいの割合で存在しているのか気になったので、10月21日の日記の図1〜3で使用したデータを基に集計してみた。 このデータは、今年8月に東海道新幹線で名古屋から品川まで移動した際に、車中でNetwork Stumblerを稼動させてビーコン信号を検出したもので、全部で1760個のアクセスポイントがあった。 そのうち、9.7% は、ビーコン信号にSSIDを載せない、いわゆる「ステルス」設定のアクセスポイントで、これは実際にどんなSSIDが設定されているか不明であるため、次の集計から除外した。 なお、アクセスポイントをステルス設定にしていても、それに接続したことのあるWindows XPの無線LANクライアントは、そのSSID
高木浩光@自宅の日記 - ジャストシステムはどこへ向かっているのか
■ ジャストシステムはどこへ向かっているのか ジャストシステムが、ユーザの安全確保よりも、何らかの別の目標*1に向かっているらしいことは、次の事例で一目瞭然だろう。 こんな言い回しは他で見たことがない。 脆弱性情報を公表することの目的が、まだ修正版の存在を知らされていないユーザに対してアップデートの必要性を周知することにあるということは、(ユーザの立場で考えれば)誰でもわかるはずだ。それなのに、ジャストシステムは、まず先に、「ご安心ください」と言う。(図1の1つめの矢印部分。) Kaspersky Internet Security 6.0 および Kaspersky Anti-Virus 6.0のVista対応版プログラム以前の製品(バージョン 6.0.0.306)で5つの脆弱性が発見されています。この問題に対する修正は、3月14日より無償でダウンロード提供しているVista対応版プログ
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
高木浩光@自宅の日記 - アドレスバー百景 その2 「iPod Touch」的UIの活用を考える, iPod touch版Safariにはサーバ証明書の閲覧機能がない?
■ アドレスバー百景 その2 「iPod Touch」的UIの活用を考える 産業音楽の呪縛から逃れて久しかったが、ネットラジオLive365.comのチャンネルのひとつ「arabicmusic.com」の放送を聴いてから、このところすっかり「al-Jeel」というジャンルの音楽の虜になっていた。ネットラジオで表示される曲名で検索して、どこで買えるか探しまくっていた*1。ついにはiPod shuffleを買い、そして先日iPod touchを買った。 今更だが、iPod touchの操作性はすばらしい。特に、自由自在のズーム機能を活かしたSafariの操作性はすばらしく*2、もうEM・ONEでブラウズする気がしなくなった。駅まで歩く間のブラウズのためにlivedoor Wirelessも契約した。 しかし、セキュリティはどうなっているのか。Safariの画面をスクロールさせるとアドレスバーま
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
高木浩光@自宅の日記 - ファーストサーバ社は危険性をちゃんと顧客に伝えているのか
■ ファーストサーバ社は危険性をちゃんと顧客に伝えているのか 2年前の日記で、NHKエンタープライズ21の「RoBoCoN公式サイト」で「問い合わせ」という部分をクリックするとジャンプする https:// のページがオレオレ証明書で運用されていることについて書いた。証明書の発行者は「KSI First Server」と書かれていた。しかしこれがファーストサーバ社により発行されたものかは不明だった。 オレオレ証明書で運用されているこの状況は現在も変わっていない。そこで先月、ファーストサーバ社に以下の問い合わせをした。 Webサイトのデジタル証明書についてお尋ねします。 NHKのロボコン公式サイト http://www.official-robocon.com/top.html にある「問い合わせ」のページ https://www.official-robocon.com/FS-APL/FS
高木浩光@自宅の日記 - 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安
■ 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安 富士通FMVのテレビCMで、最後に「地底人の秘密」と入力して検索してみせるシーンが出てくるものがある。こうした手法は以前から他の会社のCMでも商標名を入力させるなどしばしば見かけるようになっていた。 しかし、本物のキャンペーンサイトが検索のトップに出てくるとは限らない。「ある日突然、なりすましサイトがトップに出る」ということも起こり得る。(フィッシング詐欺など。) トップを奪われたとき、それを検索サイトに苦情を言って削除させるというのは甚だ筋違いだし、ドメイン名のサイバースクワッティング紛争と違って、単なるページの内容について文句を言うことはできないだろう*1。 消費者は検索結果を安易に信じたりせず、たとえ画面が本物っぽい内容でも、どこのドメイン名のページなのか常にアドレス(URL)の確認を欠かさないようにしない
高木浩光@自宅の日記 - セッションハイジャック攻撃は1号不正アクセス行為か、それとも2号ないし3号か, 警察庁の不正アクセス行為類型の分類方法には不..
■ セッションハイジャック攻撃は1号不正アクセス行為か、それとも2号ないし3号か 情報ネットワーク法学会の学会誌「情報ネットワーク・ローレビュー」に論文を投稿していたところ、第5巻1号に掲載していただくことができた*1。 高木浩光, “不正アクセス行為の2つの文理解釈について”, 情報ネットワーク・ローレビュー, 第5巻1号, pp.30-43 (2006年5月). この論文は、昨年11月に開かれた同学会の研究大会での個別発表(発表時スライド, 関連報道)の際に予稿集に掲載された発表要旨に大幅に加筆したもの*2である。 追記した論点のうち次の部分について、説明が足りていないと思うので、詳細な検討を日記に書き留めておくことにする。 セッションIDは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないとされている符号」(同法2条2項1号)には当たらない場合が多いが、「制限
高木浩光@自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由
■ アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由 Winny経由の漏えいは止まるか? データに見る暴露ウイルスの感染推移, 新井悠/ITmedia, 2006年5月16日 一般に、ウイルスは発生直後にピークを迎えた後、緩やかに終息していくといわれている。WORM_ANTINNY.ABも、途中までは同様に終息に向かっていく下降線を描いているように見える。しかし、4月の突発的な上昇をもたらした要因は何だろうか。 という記事が出ていた。たしかに普通のウイルス(ワームおよびトロイの木馬を含む)の場合、発生直後に大流行した後に急速に衰えていく性質がある。それはウイルス対策ソフト(パターンマッチング方式によるウイルス削除システム)の普及が効果を挙げている結果であろう。それに対しこの記事は、Winnyを媒介するウイルスの場合は、あまり衰えずに継続して感染者が出続ける
高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版
■ IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版 「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。) それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。 凶悪設定3兄弟の改善 図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれ
高木浩光@自宅の日記 - 「Remojin」は不正指令電磁的記録か?
■ Greasemonkey利用者の感覚と不正指令電磁的記録作成罪立法者の感覚 JavaScriptでコードを書くことによりFirefoxの機能を手軽に拡張できるようにするという、Firefoxの機能拡張モジュール「Greasemonkey」がある。同様の機能が Operaでは標準搭載されているようだ。 これらは「User JavaScript」(ユーザスクリプト)という概念で、「ユーザスタイルシート」に似ている。ユーザスタイルシートとは、Webページの見た目のデザインをブラウザ側の設定で変更するものであるが、ユーザスクリプトではさらに進めて、ブラウザ側に設定したJavaScriptプログラムをページごとに動作させることによって、HTML内容などを改変して表示させるものだ。 自分で自分のブラウザに表示するHTMLを改変するという行為は、プロキシサーバ上での変換フィルタなどを用いるなどして古
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - 最高裁判所が電話してというので電話した
■ 最高裁判所が電話してというので電話した ボツネタ日記の「新しい裁判所のHPにリンクを貼ったときは,その旨を電話で連絡しなければならないようです。」というエントリを見て、裁判所Webサイトがリニューアルしたのを知った。 リニューアルした裁判所Webサイトには新たにプライバシーポリシーのページができていたのだが、その内容に誤りがあるため、それについてメモをとった。 裁判所Webサイトにリンクしたときは電話で連絡するよう留意せよとのことなので、出勤前の朝10時ごろ、指定されている最高裁判所事務総局広報課の番号に電話した。 私: 内線XXXXお願いします。 裁: はいお待ちください。……。ただいまお話し中です。 私: そう……ですか。 裁: 見学ですか? 私: いえ違います。 裁: 少々お待ちください。 ………… 裁: はいもしもし。 私: 裁判所Webサイトにリンクを設置しました。その場合電
高木浩光@自宅の日記 - ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ
■ ブログからFUDへ? 眞鍋かをりは30個の「スパイウェア」のうちcookieの数を明らかにせよ CA、スパイウェア撲滅キャンペーンに眞鍋かをりらが参加, INTERNET Watch, 2006年3月9日 最近までスパイウェア対策をしていなかったという眞鍋かをりは、CAのスパイウェア対策ソフト「eTrust PestPatrol アンチスパイウェア」でPCをスキャンしたところ、約30のスパイウェアが検出されたと告白。「目に見えてPCが故障するわけではなかったので意識していなかったが、気付かないうちに感染していて驚いた。何も対策をしていない人は、絶対感染しているはず」と訴えた。 また言ってるのか。一回目は黙っておこうと思ったが、繰り返すつもりなら、もうこれは黙認していくわけにはいかないだろう。 現在日本において「スパイウェアの被害」といえば、銀行から預金が盗まれる被害が連想される。昨年夏
高木浩光@自宅の日記 - 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか
■ 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか こんな記事が出ていた。 「3年で陳腐化するWebサイトの構築には軽量言語のほうが向いている」,日本Rubyの会,高橋征義会長, 日経ソフトウェア, 2006年2月10日 高橋氏は「Webサイトは構築してから3年経つと陳腐化する」と指摘する。ただ,壊れたわけでもないWebサイトを3年でリニューアルするには,事前に顧客と話をつけておく必要がある。3年で捨てる予定のアプリケーションの予算は少ない――これが,WebにはPHPやRubyといったLLが向いている理由である。Javaのような重量級の言語だと,10年持ちそうな設計や構造のアプリケーションを作ることになり,費用もそれなりに高額になってしまう。 それは話が逆だろう。「10年持ちそうな」という言葉で比喩されるような、つまり、しっかりとした設計や構造のアプリケーションを作ると
高木浩光@自宅の日記 - スパイウェア対策としてのTrusted Computingへの期待
■ スパイウェア対策としてのTrusted Computingへの期待 今日は休暇中。明後日はWebアプリケーションセキュリティフォーラムの第3回コンファレンスだ。 第3回コンファレンス, Webアプリケーションセキュリティフォーラム 日時: 2006年2月24日(金) 10:30〜18:00 受付開始:10:00 会場: 丸の内コンファレンススクエアM+ 1階 サクセス 13:20〜14:20 基調講演 『根源的なスパイウェア対策としてのTrusted Computing』 丸山 宏 日本アイ・ビー・エム株式会社 東京基礎研究所 今回は、IBM東京基礎研の丸山宏先生を基調講演にお招きし、スパイウェア対策にからめて、Trusted Computingについてご講演いただけることになった。このテーマとWebアプリケーションセキュリティの関係は、次のように言える。 昨年は、スパイウェアが原因と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
