高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない
■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2
高木浩光@自宅の日記 - リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案
■ リーチサイト規制の条文にも欠陥 ダウンロード違法化等著作権法改正法案原案 ダウンロード違法化対象範囲拡大の論点 著作権法の改正案が国会に提出されようとしているが、そのうち「ダウンロード違法化の対象範囲の拡大」の部分を巡って混乱が続いている。 画像や文書も…ダウンロード違法化、対象拡大?, 読売新聞, 2019年1月23日 静止画ダウンロード違法化案「目的を見失っている」──情報法制研究所、懸念と改善案を提言, ITmedia NEWS, 2019年2月8日 「意味のない法改正」「イラスト界が壊滅する」 違法ダウンロード対象拡大で漫画家らが“反対集会”, ITmedia NEWS, 2019年2月8日 法学者ら84人「ダウンロード違法化」に緊急声明 「海賊版対策に必要な範囲に限定せよ」, ITmedia NEWS, 2019年2月19日 DL違法化「必要な議論尽くされた」「バランスの取れ
高木浩光@自宅の日記 - Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2
■ Coinhive事件、なぜ不正指令電磁的記録に該当しないのか その2 昨年6月10日の日記「懸念されていた濫用がついに始まった刑法19章の2『不正指令電磁的記録に関する罪』」の「なぜ不正指令電磁的記録に該当しないのか」の節は、続きを書くつもりだったが、それからだいぶ経ってしまった。今改めてそれを書いておく。 当時、私が「Coinhiveの使用が不正指令電磁的記録の供用でない」と主張したことに対して、「それではあれが処罰できなくなる」だとか、「俺のPCのリソースが無断で消費されるのは許せない」とか「電気窃盗だろ」といった反応がチラホラ見られた。これらについて整理しておく。 刑法は「利益窃盗」を不可罰とする 刑法の講学上の概念として「利益窃盗」なる言葉がある。これは、刑法に規定された財産犯が二つのタイプに分けられることから来ている。すなわち、強盗、詐欺、恐喝には1項と2項が規定されていて、
高木浩光@自宅の日記 - 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない
■ 改正NICT法がプチ炎上、工場出荷時共通初期パスワードが識別符号に当たらないことが理解されていない 先月のこと、NHKニュースが「総務省 IoT機器に無差別侵入」と報じたおかげで、一部のメディアが後追いし、プチ炎上して気の毒なことになっていた。その後もじわじわと延焼し、昨日になって、ひろゆき氏から「総務省のセキュリティ調査に「国が不正ログイン」と騒ぐ頭の悪い人たち」とのトドメ記事が出るに至った。これは最初のNHK報道が素人考えで偏向していたところに原因がある。 総務省 IoT機器に無差別侵入し調査へ 前例ない調査に懸念も, NHKニュース, 2019年1月25日 全国の家庭や企業にあるインターネット家電などいわゆる #Iot機器 に国が無差別に侵入を試みる。そんな世界でも例のない調査が来月から始まります。 #サイバー攻撃 対策の一環だということですが、実質的に不正アクセスと変わらない行
高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ
■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
高木浩光@自宅の日記 - 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を
■ 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を まえがき 3年前、「通信の最適化」でついに事故が発生し、炎上したことがあった。しかし、当時はまだこの問題への世間の理解が浅く、問題提起しても、天才プログラマの清水亮から「ピュアオーディオを有難がる宗教法人と大差ない」とか「トラブルはアプリ書いた人の能力の問題」などと小馬鹿にされる始末だった。川上量生は「どこが通信の秘密なんだよ」とひたすら独り言を続けていたし、ガラケー全盛期に名を馳せたケータイジャーナリストの面々もろくに動く様子がなかった。 ハッハッ、見ろ!第1種電気通信事業がゴミのようだ!! #通信の最適化(), 2015年6月 「通信の最適化」に関する高木浩光氏の見解, 2015年7月 kadongo38氏「日本の通信事業者よりAppleやFacebook, Google の方が問題」,
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
高木浩光@自宅の日記 - GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ
■ GPS捜査の総務省ガイドライン改正で携帯電話事業者と警察が不正指令電磁的記録の罪を犯すおそれ 目次 経緯 刑法168条の2 不正指令電磁的記録に関する罪 パブリックコメント提出用意見書(期限超過) 4月にこういう記事が出ていた。 携帯GPS情報、本人通知せず捜査に活用 指針見直しへ, 朝日新聞, 2015年4月17日朝刊 総務省が、通信事業者の個人情報の取り扱い方を定めるガイドラインの見直し案を17日に発表する。意見公募の手続きを経て、6月にも運用がはじまる見通しだ。 (略)捜査機関が、裁判官の令状にもとづき、GPS情報を取得できる規定がガイドラインに盛り込まれたのは2011年11月。誘拐犯や指名手配犯の居場所の把握に有効と考えられた。ただ、プライバシーへの配慮から、取得を本人に知らせる「条件」つきだった。 だが、被疑者に知られると証拠を隠されたり、逃げられたりする恐れがある。誘拐犯な
高木浩光@自宅の日記 - 現行法の理解(パーソナルデータ保護法制の行方 その2)
■ 現行法の理解(パーソナルデータ保護法制の行方 その2) この議論に参加するには現行法の理解が欠かせない。私も半年前にようやく理解したばかりであり、一部は論文として書いていた*1ところ、一般向けには、図を用いるなどしてプライバシーフリーク・カフェの動画コンテンツで提供したかったところだが、悠長にやっている場合ではなく、今すぐ全ての人が知るべきだと思うので、とりあえず取り急ぎ*2ほとんど文章だけで。以下、行政機関個人情報保護法や情報公開法と対比しながら、個人情報保護法の民間部門の第三者提供の制限について考える。 1. 個人に関する情報 まず最初に、先日の第1回「プライバシーフリーク・カフェ」(前編)の様子をまとめた「「個人を特定する情報が個人情報である」と信じているすべての方へ」を踏まえておかないといけない。ここは基礎の基礎であり、これを間違えていると全部が吹っ飛んでしまう。「個人を特定す
高木浩光@自宅の日記 - 目次を作成した
データプライバシー パーソナルデータ RFID(ICタグ/Wi-Fi/Bluetooth) 契約者・端末固有ID(ケータイID) IPv6 ストリートビュー Webビーコン スパイソフト プライバシーポリシー 行動ターゲティング 情報セキュリティ UDID/かんたんログイン Phishing(フィッシング詐欺) PKI(オレオレ証明書) SSL/HTTPS 電子政府 愚かな設定指示 脆弱性対応 サニタイジング Webセキュリティ ICカード(Edy/Suica/PASMO) ドメイン名 CAPTCHA FUD その他のセキュリティ 刑事刑法/行政刑法 不正指令電磁的記録に関する罪 岡崎図書館事件 不正アクセス禁止法 Winny 単純所持罪 通信の秘密 誤認逮捕 話題対象別 携帯電話 無線LAN Tポイント グーグル アマゾン ウイルスバスター プレイステーション 武雄市 はてな その他 無
高木浩光@自宅の日記 - 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機, 追記(4月1日)訂正あり
■ 空前の武雄市TSUTAYAドヤリングで住所・氏名・電話番号漏洩の危機 まもなく武雄市に2軒目のTSUTAYAが開業するということで、昨日から一般市民に先んじて内覧会に招集された市長のお友だちらから続々と喜びの声があっている。また、会員登録の事前登録が始まっているため、入手したTポイントカードの写真を撮ってツイートする人が次々と現れている。 カード作ってみた #osoreiri #武雄市 @ 武雄市立図書館 instagram.com/p/XbaH0pkQSn/ — 末広栄二さん (@e_suehiro) 2013年3月29日 武雄市のTカードに更新してきたーーー(^ー^) レンタル無料券とスタバの無料券もらったー(^ー^) twitter.com/kpnnnnu/status… — KPさん (@kpnnnnu) 2013年3月29日 このように、Tポイントカードの番号(Tカード番号)
高木浩光@自宅の日記 - ダウンロード犯罪化で秩序はどう変わるか
■ ダウンロード犯罪化で秩序はどう変わるか 違法ダウンロード刑事罰化・著作権法改正案が可決・成立 10月1日施行へ, ITmediaニュース, 2012年6月20日 ダウンロード、アップロード、匿名、顕名、そしてプライバシー。これらの間の関係はその時々の倫理あるいは法との力学によって形作られている。 振り返ってみれば、10年前、Winnyが誕生したのは、日本が他国に先駆けてアップロード(公衆送信可能化)を刑罰をもって厳しく規制したことによる必然的結果であったし、Winny独自の仕組み(地引きダウンロードによる無差別自動ダウンロード)がこうも躊躇なく普及したのは、欧米と異なり児童ポルノの単純所持が処罰されない日本法の条件下でこそ実現し得たもの*1であった。その結果として、流出したファイルが消せないという環境ができあがり、世界にも類を見ない数々の悲惨な被害が繰り返され、さらには国家的脅威*2す
高木浩光@自宅の日記
■ OECDガイドラインの8原則についてChatGPTに聞いてみた ChatGPTに色々聞いてみるテストは1月にTwitterに結果を報告していた*1が、GPT-4が使えるようになったということで、もう一度やってみた。ChatGPTは基本的に、質問者に迎合しようとする(質問者の期待に応えようとする)ので、ChatGPTが答えたといっても質問者の意図した答えになっているにすぎない(それゆえ、質問者の意図が明確にされず、ChatGPTも知らないことが問われると、全くの出鱈目を答えてしまうという現象が起きるようだ。)わけであるが、それでも、質問者が誘導しているわけでもないのに質問者が必要としていることを言葉の端々から察知して根拠を探してきてくれるような回答をする。以下は、できるだけ誘導しなように(といっても、後ろの方で明確に誘導しているところもあるがw)質問した例だが、最初のうちはChatGPT
高木浩光@自宅の日記 - 心から利用者に説明する気なぞ微塵もない日本の事業者たち
では、この「利用規約を見る」ボタンを押せば、「端末情報を取得します」というのが何であるのかが、わかるようになっているのだろうか。 このボタンを押すと、Webブラウザが開くようになっており、表示されるのは以下のWebページであった。 セカイカメラ サービス利用規約, セカイカメラ サポートセンター このページの内容をくまなく見てみたが、どこにも「端末情報」という文字列は存在しないし、「UDID」の文字列もなければ、「端末識別」という文字列もない。内容的にUDIDに関係しそうなところを探して*5も、次の記述しか存在しない。 8. プライバシー 8.1 登録ユーザーが当社に届け出る情報および当社が取得したユーザーに関する情報は、当社が別途本サービスにおいて掲示するプライバシーポリシーに従って取り扱われるものとし、ユーザーは、かかるプライバシーポリシーに基づく個人情報の取扱いにつき同意するものとし
高木浩光@自宅の日記 - 日記予定
■ 日記予定 流れが速すぎて書く時間がない。 スパイウェアとは何か、刑法168条の2不正指令電磁的記録との関係 法務省担当官ウイルス罪ご講演で質問してきた第2弾 Webの行動ターゲティングが許されてミログ社が許されないのはなぜか データエクスチェンジとか言ってるが、大丈夫か いいかげん、「端末IDは個人情報ではない」とかフリーダムなこと言わせてるとヤバいよ Pマーク胴元のJIPDECですら個人情報が何であるか間違えている件
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)