高木浩光@自宅の日記 - 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 追記(24日)
■ 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ すごいタレコミがあった。東芝テクノネットワーク(株)の「サイトポリシー」と東芝テクノシステム(株)の「サイトポリシー」にすごいことが書いてある。 リンクについて ※御社の規定によって下記の2つよりお選び下さい。 (事前の連絡不要の場合) このウェブサイトへのリンクは原則として自由です。ただし、途中のページやページ内のコンテンツそのものにリンクを張ることや、当社が不適当と判断するホームページからのリンクはお断りすることがあります。 (事前の連絡必要の場合) 事前に当社からの文書による承諾を得ない限り、このウェブサイトへリンクをはることはできません。このウェブサイトへのリンクを希望する場合は、必ずリンク元のURL、当社ホームページの希望リンク先のURLをこちらへご連絡ください。リンクの際のURLは、(http: //www.tos
高木浩光@自宅の日記 - ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか
■ ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか やじうまWatchによると、mixiにログインしたまま放置されていた店頭のPCを操作してプロフィールを「改ざん」した(当人曰く)という人がいて、それを著名サイトで公言していることが注目を浴びているという。いくつか反応を見てまわったところ、不正アクセス禁止法違反ではないかという議論*1があり、その中に、「パスワードを入力したわけではないから、不正アクセス行為にあたらない」などという主張をみかけた。 興味深い話題なのでちょっと検討してみる。なお、ここでは、技術的側面から行為の外形が不正アクセス禁止法3条の構成要件を満たしているかだけを検討するものであり、刑罰に値する違法性があるか否かについては検討しない。 まず、不正アクセス禁止法3条2項各号の「入力して」とは、手元のコンピュータにキーボードで入力することを
高木浩光@自宅の日記 - サイボウズ「闇改修」の件のその後, テスト用エントリ
■ サイボウズ「闇改修」の件のその後 一昨日の日記の件*1について、出勤前の午前中にサイボウズのお客さま対応窓口から電話があった。 電話の要件は訂正があるとのことで、以下の3点を訂正するとのことだった。(以下は私による要約。) ディレクトリトラバーサルの脆弱性については、ログインしていない者によっても攻撃され得る。告知文を訂正する。 ユーザの一覧を取得できてしまう問題について、脆弱性としなかったのは、重要度が低いと評価していたという誤った認識によるものだった。告知文を訂正する。 去年のクロスサイトスクリプティング脆弱性対応について、対策として追加された警告表示機能がデフォルトでオフとなっている理由は、既存バージョンとの互換性を考えたものであり、それはユーザが混乱するのではないかと考えたためで、そのような認識は誤りだった。今後、デフォルトでオンとするように検討する。 そしてさきほど告知ページ
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
高木浩光@自宅の日記 - 金子勇氏の正直な人柄を垣間見られる映像
■ 金子勇氏の正直な人柄を垣間見られる映像 金子勇氏には1月のこのイベント*1のときにお会いしたので、私としては既にどんなお人柄かは肌で感じていてたが、映像として見られる金子氏というと、4月14日の報道ステーションの放送と、6月13日の毎日放送のニュース番組「VOICE」での放送があるものの、これらはいずれもシナリオどおりに編集された内容なので、金子氏の人柄というのはなかなか見えてこないものだった。 ところが、7月25日付のマル激トーク・オン・ディマンド(有料)でネット配信されている「Winnyは悪くない」での出演では、無編集に近い形で生の発言が収録されているので、彼のお人柄を垣間見ることができる。 特に興味深かったのは、1時間19分28秒あたりから始まる「SkeedCast」に関する話題の部分だった。 司会の神保哲生氏が「SkeedCastというのが、今えー、これは何なんですか?」と話題
高木浩光@自宅の日記 - 一日中幼児たちの映像を不特定多数に公衆送信している保育所, 追記(19日)
■ 一日中幼児たちの映像を不特定多数に公衆送信している保育所 子ども守るIT ――学校で駅で街で, 朝日わくわくネット, 2005年9月28日 ネット中継 幼稚園での笑顔満開/職場で家で親安心 (略)こうしたシステムでは、保護者らには専用パスワードを配布して映像が見られるようにするが、権限のない部外者には映像を見せないのが普通だ。しかし、同保育所は「保育所に興味を持ってほしい」と、一般にも映像を公開している。もっとも、子どもの安全を守るため、カメラのズームアップはできないようにしており、保護者でもない限り、映像で子どもの見分けはできない。 という記事があった。「西脇保育所」で検索してみると見つかった。 社会福祉法人 西脇保育所 ライブ映像 たしかに、誰でもライブ映像を見られるようになっている。今見たところ、プールから出た女児たちが全裸になって着替えている様子が映っていた。 「映像で子どもの
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
高木浩光@自宅の日記 - Winnyに関する国会の議論
■ Winnyに関する国会の議論 国会議事録(3月14日の法務委員会)にこのようなやりとりが記録されていた。 ○竹花政府参考人 先ほど来法務省の方からの答弁にもございましたように、ウィニーというソフト自体を、法令に違反する、そういう存在として定めている法令がないわけでございますので、そのもの自体を取り締まることは現行法令においては難しいものと私どもは思っております。 しかしながら、ウィニーというものあるいはそれに類似した機能を有するものが今後さまざまな形であらわれていくであろう。しかし、それが有用な側面を持つ一方で、悪用されるおそれもあるという点について、私どもといたしましては、今後の状況を十分注視しながら、適切な対応が必要な場合も生ずるのではないかというふうに考えておるところでございます。 ○高山委員 それでは、最後に法務大臣に伺います。 このウィニーというソフト、便利な反面、法務省でも
高木浩光@自宅の日記 - 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安
■ 「地底人の秘密」のセキュリティ脆弱性:検索で誘導するテレビCM手法の不安 富士通FMVのテレビCMで、最後に「地底人の秘密」と入力して検索してみせるシーンが出てくるものがある。こうした手法は以前から他の会社のCMでも商標名を入力させるなどしばしば見かけるようになっていた。 しかし、本物のキャンペーンサイトが検索のトップに出てくるとは限らない。「ある日突然、なりすましサイトがトップに出る」ということも起こり得る。(フィッシング詐欺など。) トップを奪われたとき、それを検索サイトに苦情を言って削除させるというのは甚だ筋違いだし、ドメイン名のサイバースクワッティング紛争と違って、単なるページの内容について文句を言うことはできないだろう*1。 消費者は検索結果を安易に信じたりせず、たとえ画面が本物っぽい内容でも、どこのドメイン名のページなのか常にアドレス(URL)の確認を欠かさないようにしない
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - 「ファーミング」さえ理解していないフィッシング対策協議会, オレオレ証明書で本物だと太鼓判を押すフィッシング対策協議会
■ 「ファーミング」さえ理解していないフィッシング対策協議会 昨日の話もひどかったが、よく見てみれば、他にも杜撰なところだらけだ。 全く気付かなかったが、フィッシング対策協議会は、今年の1月に初のレポートを発表していた。この内容がひどい。2006年1月12日に公表された「2005/11 国内フィッシング情報届出状況」と題された文書*1には次の記述がある。 1.5. フィッシングサイトの動向 11 月度に報告のあったフィッシングサイト2 件に関してはURL の偽装や紛らわしいURL の使用などは認められませんでしたが、今月発見されたYahoo!オークションのフィッシングサイトに関してはメールと共に、ブログやSNS にIP アドレスのリンクが記載されており、ファーミングの手法も取り入れられていることが確認されました。 (略) 1.8. 総括 11 月度は7 月度以来の日本企業のフィッシングサイ
高木浩光@自宅の日記 - フィッシング対策協議会が、VISAの信用を貶める誤報を誘発
■ フィッシング対策協議会が、VISAの信用を貶める誤報を誘発 1月27日付で「VISAのシステムがハッキング被害、フィッシングに注意」という報道が飛び交っていた。記事の内容はこうだ。 フィッシング詐欺対策協議会は1月26日、VISAカードをかたるフィッシングメールとサイトについて注意を呼びかけている。これは、Visaのシステムがハッカーによる被害を受けたためで、「システムの変更が発生するため、自身のアカウントを確認する」といった内容の英文のメールが出回っている。(略) VISAのシステムがハッキング被害、フィッシングに注意, Scan Daily Express, 2006年1月27日 何か変だ。 フィッシング対策協議会のサイトを見に行ってみると、1月26日付で、こんなものが掲示されていた。 概要: Visaのシステムがハッカーによる被害を受けたため、システムの変更が発生するため、自身の
高木浩光@自宅の日記 - ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである
■ ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである 星澤さんがウイルスバスター2006のスパイウェア疑惑について、11月2日から書いていらしたが、18日になってもト レンドマイクロから回答が得られないとお困りのご様子だったので、21日 の午前、私も聞 いてみることにした。 一般的に、ユーザからの問い合わせが多くなる商品を販売している会社では、 この種の重要事項の問い合わせ(たとえば脆弱性の指摘など)が、ユーザの一 般的な質問に紛れ込んでしまい、判断のできる肝心な担当者へ情報が伝わらな いということが起きがちなものだ。そこで、大代表に電話をし、個人情報保護 担当者と電話で話したいと伝えた。 (トレン ドマイクロの個人情報保護方針にはメールアドレスしか書いてない。) すると「システムの都合でここから個人情報保護担当者には電話をつなげない」 と言われるわけだが、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
