パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
IPアドレスでのアクセス、サイトに細工と報道される | 水無月ばけらのえび日記
公開: 2012年7月16日13時0分頃 こんなニュースが……「児童ポルノ販売容疑で逮捕 サイト遮断、細工しすり抜け (www.asahi.com)」。 大手プロバイダーは昨年4月から、特定のサイトへはURLを入力しても接続できないブロッキングという仕組みを導入したが、林容疑者らは児童ポルノDVDを販売する約80サイトを開設し、ネット上の住所を示すIPアドレスを介して接続されるよう、サイトに細工を施していたという。 名前解決のところでブロックされるので、ドメイン名を使わずにIPアドレスでアクセスするようにした、という話。「DNSポイゾニングによるブロッキングに意味はある?」という話でも書きましたが、こうやって回避できることは最初から分かっていたわけで。 しかし、これを「細工」と言ってしまうのも凄いですね。むしろ、名前でアクセスできるサイトの方がDNSやらバーチャルホストやらで細工しているの
JavaScript勉強会の本を検討する | 水無月ばけらのえび日記
公開: 2012年7月14日17時5分頃 社内でJavaScriptの勉強会をやりたいという話が出てきたので、テキストをいろいろ検討。要件としてはこんな感じです。 週一で開催する予定参加者には営業やプロジェクトマネージャーなど、技術的な知識があまりない人も含まれる以前にHead First JavaScript (www.amazon.co.jp)を使って勉強会をやったことがあるらしいが、「バタ臭い」という評判だったらしいテキストの候補として挙げられたのは以下の4冊。 マンガでわかるJavaScript (www.amazon.co.jp)よくわかるJavaScriptの教科書 (www.amazon.co.jp)10日でおぼえるJavaScript入門教室 (www.amazon.co.jp)Head First JavaScript (www.amazon.co.jp)それぞれを見て評
パスワードをマスクしない実装 | 水無月ばけらのえび日記
公開: 2012年7月9日3時5分頃 こんなお話が……「COOKPADの「伏せ字にせず入力」ボタンは素晴らしい (blog.tokumaru.org)」。 通常、パスワード入力欄では、入力中のパスワードがマスクされて読めないようになっています。しかし、マスクしない方が良いのではないかという説もあります。ずっと前に「パスワードを隠すのをやめよう?」という話でも触れましたが、ヤコブ・ニールセンが「パスワードを隠すのをやめよう (www.usability.gr.jp)」という主張をしています。 パスワード入力が難しくなると、ユーザーはより入力しやすいパスワードを利用しようとするでしょう。実際、ケータイでは複雑なパスワードを入れるのが大変面倒なため、ユーザーは数字のみの短いパスワードを好む傾向があります。パスワード入力がやりにくいと、ユーザーは弱いパスワードを使うようになり、逆に安全性が損なわれ
「文字はShift+JISで入力してください」 | 水無月ばけらのえび日記
公開: 2012年6月24日23時50分頃 武雄市の図書館が話題になったりしていて、ハッシュタグ #takeolibrary をたまに見たりしているのですが、keikumaさんがこんなツイートをされていました。 市長「今の検索システムは江戸時代末期のシステムです」 00:33:40 へぇ、と思って実際にサイトを見てみると……。 武雄市図書館・歴史資料館 (www.epochal.city.takeo.lg.jp)見た瞬間に呼吸が止まるほどの衝撃を受けました。 いきなりframeで、noframes要素の中身は「このページを表示するには、フレームをサポートしているブラウザが必要です」。 ないわー、江戸時代でもこれはないわー、などと思いつつ「本をさがす」のページを見てみるわけです。リンク先のURLはHTTPSなのに、HTTPSでないフレームの中に展開されて軽く驚きますが、ともあれ、実体は以下に
平成24年度春期情報セキュリティスペシャリスト試験のXSS問題 | 水無月ばけらのえび日記
公開: 2012年4月30日13時35分頃 今年の春の情報処理技術者試験の問題が公開されていますね。 平成24年度春期(1)試験 問題冊子・解答例・採点講評・配点割合 (www.jitec.ipa.go.jp)面白いと思ったのは「情報セキュリティスペシャリスト試験」の午後Ⅰの問1。こういうコードがあります。 out.println("<a name=\"#\" onclick=\"alert('" + escape(word) + "')\">"); out.println("previous search word"); out.println("</a>"); 以上、平成24年度 春期 情報セキュリティスペシャリスト試験 午後Ⅰ 問題 図4(続き) より
首相官邸サイトリニューアル、しかしすぐに再リニューアルが必要 | 水無月ばけらのえび日記
公開: 2012年4月8日16時40分頃 首相官邸 (www.kantei.go.jp)のサイトがリニューアルしたそうで。 4500万円かかったと報じられていますが、何をやったのかが分からないので、高いか安いかは評価のしようがないですね。単純に規模から「やるべき事」を考えてみると、CMS抜きで4500万円かかっても不思議ではないと思います。戦略をみっちりやったり、それなりなCMSを入れたりすれば足りなくなるかもしれません。 そして実際にサイトを見てみると、まず、見た目だけで以下のような点が気になるわけです。 背景にうっすらと写真が敷かれていますが、肝心な部分がコンテンツの下敷きになってよく見えない上に、「首相官邸」というタイトルまわりが読みにくくなってしまっています。プロがこういう中途半端な写真の使い方をすることはまずありません。写真を見せたいならちゃんと見せるでしょうし、見せなくても良い
AppLogのミログ社、解散・清算 | 水無月ばけらのえび日記
公開: 2012年4月3日22時10分頃 AppLogのミログ社、第三者委員会報告書も出してサービスの見直しと再開に向けて動いていた……と思ったら、なんと解散だそうで。 株式会社ミログの解散•清算に関して (milog.co.jp) 株式会社ミログ(本社:東京都大田区、代表取締役:城口洋平、以下「弊社」)は、平成24年4月2日をもちまして、弊社が取り組んで参りました全ての事業を売却および撤収し、会社を解散・清算することを決定致しましたので、ここにご報告申し上げます。 (~中略~) 平成23年秋より同事業がスマートフォンにおけるプライバシー問題の一例として個人情報保護の観点から社会的批判を集めはじめました。また、弊社の一部アプリケーションが無許諾で利用者様のアプリケーション情報を収集する致命的な瑕疵も発覚したため、平成23 年秋より同事業の一部終了、停止をしておりました。 こうした状況を受け
はてなブックマークボタン設置サイトがトラッキングをしていた問題 | 水無月ばけらのえび日記
公開: 2012年3月15日2時15分頃 2011年9月からとのことですが、正直申しまして、全く気づいておりませんでした……。 はてなブックマークボタンは2011年9月1日より行動情報の取得をしている (d.hatena.ne.jp)ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会 (d.hatena.ne.jp)はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ (matome.naver.jp)はてなブックマークボタンを外しました (blog.tokumaru.org)はてブボタンを表示するスクリプトがスパイウェア的な挙動をしていたことが話題に (it.slashdot.jp)はてなブックマークを経由したトラッキングに関するお詫び (www.nantoka.
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
HashTableのアルゴリズムを突いたDoS攻撃 | 水無月ばけらのえび日記
更新: 2012年1月20日1時0分頃 これは興味深いですね……「Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 (blog.tokumaru.org)」。 PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には、高速な検索が要求されるためハッシュテーブルが用いられます。ハッシュテーブルは、文字列を整数値(ハッシュ値)に変換するハッシュ関数を用いて、平均的には一定時間に検索・挿入・削除が行えるデータ構造です。しかし、ハッシュ値が一致する(衝突する)キー文字列については、通常ハッシュテーブルは順次的な探索となり、検索・挿入などが遅くなります。 以上、Webアプリケーションに対する広範なDoS攻撃手法
キヤノンはなぜ達成等級「A」を満たせなかったのか | 水無月ばけらのえび日記
7.2.4.1 ブロックスキップに関する達成基準 複数のウェブページ上で繰り返されているコンテンツのブロックをスキップできるメカニズムが利用可能でなければならない。 注記 この達成基準は,等級A の達成基準である。 以上、JIS X 8341-3:2010 7.2.4.1 より ……これで全てです。これだけではさっぱり分からないと思いますので、対応するWCAG2.0の解説を参照することをお勧めします。JIS X 8341-3:2010の達成基準7.2.4.1は、WCAG2.0の2.4.1に対応します。 Understanding WCAG 2.0 - Understanding Success Criterion 2.4.1 (www.w3.org)WCAG 2.0解説書 - 達成基準 2.4.1 を理解する (waic.jp)ここで注意する必要があるのは、何らかの方法でブロックスキップが
ミログ「第三者委員会」、驚きの提言 | 水無月ばけらのえび日記
公開: 2012年1月3日17時20分頃 AppLogやApp.tvが話題になったミログですが、「第三者委員会報告書」というものが出たようで。 第三者調査委員会の調査結果に関するお知らせ (milog.co.jp)報告書はPDFで、以下にあります。 株式会社ミログ 第三者委員会報告書 (milog.co.jp)委員会の名称が「第三者調査委員会」なのか「第三者委員会」なのか良く分かりませんが、いずれにしても中立的な第三者による調査ということですね。 しかし内容を見ると、かなり違和感のあることが書かれています。 ミログがapp.tv 及びAppLog を用いて行おうとしていたターゲティング広告それ自体については、ユーザーに対しても有用な広告が配信されるといったメリットが与えられるものであり、ユーザーに対し、収集される情報に関して十分な説明が行われ、その上でユーザーの同意が取得される場合には、こ
ITシステム導入の失敗 | 水無月ばけらのえび日記
公開: 2011年11月27日13時40分頃 こんな記事が……「「IT中毒」の会社が陥る会議漬け [14]仕事を減らしたくない事務方が導く無限ループ (business.nikkeibp.co.jp)」。 本当は必要か不要なのか分からないのに、ITを導入検討したくなる人たちがいる。それが、いわゆる「事務方」と呼ばれる人たちだ。企画部や社長室といった、企業の事務方部門はIT化の検討、導入サポート、お守りをするのが仕事の大半を占めていたりする。最初はそのつもりがなくとも、結果的にそのようになっているケースが多々あるのである。 私もIT企業に勤めていたのでよくわかる。IT企業の営業がターゲットにしている部門は、まさにこういった企業の「事務方」である。彼らは事務方部門に出入りし、営業攻勢をかけて、多額なシステムの導入を検討してもらっているのだ。 「なぜ経営者は使えない情報システムを採用するのか」と
AppLogが何をしようとしているのか良く分からない | 水無月ばけらのえび日記
公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より
都道府県型JPドメインの衝撃 | 水無月ばけらのえび日記
公開: 2011年10月3日1時50分頃 JPRSが「都道府県型JPドメイン」なるものの導入を発表したことが話題に……「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 (jprs.co.jp)」。 既に「地域型JPドメイン名」というものがあります。よく知られているのは地方公共団体が使用しているドメインでしょう。たとえば東京都は metro.tokyo.jp というドメインを使っていますし、港区はcity.minato.tokyo.jpを使っています (Webはどちらもwwwをつける必要があります。http://www.metro.tokyo.jp/ (www.metro.tokyo.jp)、http://www.city.minato.tokyo.jp (www.city.minato.tokyo.jp))。 しかし、実はこれだけではありません。あま
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
iOSのUDID問題 | 水無月ばけらのえび日記
公開: 2011年8月27日16時25分頃 iOS5以降ではUDIDが段階的に廃止されるらしい、という話に対して、それでは困るという話が出てきて盛り上がっているようですね。 UDIDに依存する人々とたしなめる人々 (togetter.com)iOS 5で、開発者がUDIDにアクセスすることを禁止 (yebo-blog.blogspot.com)UDIDは端末ごとに固有で不変のIDなので、つまりはケータイIDと同じようなものです。ケータイIDの場合には以下のような性質があり、 全てのサイトに同一のIDが送出される (IDは秘密情報ではない)送出するIDを改竄することが難しい (キャリアのゲートウェイを通るため)後者の条件があるため、危険だと言われつつも辛うじて成立しています (それでも、キャリアのゲートウェイを通ってきたことを確認する必要があったり、さまざまな条件があります)。しかしiPho
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
