高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
高木浩光@自宅の日記 - グーグル社の東京都への回答「元データは保管していない」は虚偽か
■ グーグル社の東京都への回答「元データは保管していない」は虚偽か 今年2月の東京都情報公開・個人情報保護審議会で、ストリートビューの問題が審議された際に、委員から、写真の顔などを自動認識や手動でボカシ修正するとき、修正前の元データはどうしているのかとの質問が出たが、これに対し、出席していたグーグル日本法人の藤田一夫ポリシーカウンセルと舟橋義人広報部長は、「元データは保管していない」と回答していた(2月4日の日記「東京都情報公開・個人情報保護審議会を傍聴してきた」参照)。このことは、審議会の公式議事録にも、以下のようにはっきりと記載されている。 ○藤原委員 質問ですけれども、先ほど表札や顔でも、顔がきちんと認識されたら修正します、ぼかしを入れる、周辺でもとおっしゃったのですけれども、文字どおり技術的な問題ですが、修正される前のデータは誰がどう保存しているのですか。つまり、(略) (中略)
高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩していた可能性
■ 旧はてなブックマークで社内情報が漏洩していた可能性 昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。 はてなブックマーク - はてなブックマーク - http://192.168. たとえば次などがそれだ。 http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/ http://b.
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
高木浩光@自宅の日記 - 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート
■ 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの(自称「次世代」)行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。(Internet Explorer用。) #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
高木浩光@自宅の日記 - 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥, 残骸ではなく復活している模様(7日追記)
■ 緊急周知 Googleマイマップの削除で残骸が生じて消せなくなる欠陥 Googleマップの「マイマップ」機能で、秘密にしなければならない情報を利用者が誤って登録していた事故が立て続けに発覚しており、各地でマップ作成者の割り出しと作成者による削除の作業が行われているところと思われるが、Googleのシステムには不具合(バグ、欠陥)があり、削除不能に陥ってしまう場合が少なくない頻度で発生していることがわかった。削除作業を行う場合には注意が必要である。 背景 Googleマップは図1の構成になっている。図1は、「test_test」という文字列を含む地図を検索したときの様子で、検索結果の「A」をクリックしたときに、地図中の対応する位置に、当該登録地点の情報が「吹き出し」として表示されている様子を示している。登録地点にはテキストを書き込むことができるようになっており、ここでは「秘密の情報」と書
高木浩光@自宅の日記 - 不適切画像の削除作業は小鳥並の知能で行われる
つまり、地図上で灰色で示されている領域に隣接した道路を削除したようだ。これでよいのだろうか? 霊園の北側の出入り口付近を見てみると、以下の緑で示した部分が削除されていないのだが、ここは明らかに敷地内である(図2)。 ここは墓地の駐車場用道路だ。「北西」に進むと駐車場内に入って撮影していることがわかる。ゲートで遮断されており、目的外で入る場所でないことは誰の目にも明らかである。 ストリートビューで写真を見てみれば、これが不適切な写真だとわかるはずだ。グーグル株式会社は、その程度のチェックすらしていない。削除についてグーグル株式会社は朝日新聞に対し次の通りコメントしている。 グーグル日本法人の広報担当者は「一部公道と私道の区別がつきづらいところで、誤って撮影している場所が確認されている」と認めたうえで「ユーザーからの連絡や当方の再確認によって、削除している」と説明している。 無断撮影 公表に波
高木浩光@自宅の日記 - グーグル株式会社の3つの虚偽(まとめ)
■ グーグル株式会社の3つの虚偽(まとめ) もし日本にプライバシー擁護団体があったなら、ただちに次の3点について抗議声明を出していたことだろう。私が個人でこのようなことを言ってもニュースとして扱われることはない。団体の声明という形式が重要であるのだが、残念ながら日本にそのような活動のできる団体はまだなさそうだ。 「通りに立った目の高さで」という嘘 Googleマップのヘルプの「ストリートビューとは」には、「通りに立った目の高さで移動しながら周辺の景色を見ることができます」と、説明されている。 これは全くの嘘偽りで、実際には、約2.5メートルの高さから見下ろす景色であり、狭い路地では民家の塀の中まで覗き込む景色が撮影、公衆送信可能化されている。 日本の家屋の塀はグーグル社に適応して70センチ伸びるのか, 2008年8月12日の日記 Googleストカーの目線と常人の目線を比較する, 2008
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
