高木浩光@自宅の日記 - Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた
■ Java用「winnytp://」プロトコルハンドラを作ってみたら簡単にできた タイミングのよいことに、11日の日記の「Winny可視化のため、WebブラウザにWinnyプロトコルハンドラを」に対して、「高木版Winnyプロトコルハンドラは妙だ」という反応があった。 それを言うなら winnytp://a272e2d2e7a6844d97ab5fd9619be1d6 というURIで、ネットワークのどこかにある a272e2d2e7a6844d97ab5fd9619be1d6 というハッシュのファイルを指すのが自然なんじゃないかと。 高木版Winnyプロトコルハンドラは妙だ, blog.fuktommy.com, 2006年6月25日 べつにそれに限定される理由はない。両方があり得るというだけのことだ。 URL (Uniform Resource Locator) として、場所を指定して
高木浩光@自宅の日記 - アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由
■ アンチウイルスベンダーがWinnyのCacheフォルダ内のウイルスを駆除しない理由 Winny経由の漏えいは止まるか? データに見る暴露ウイルスの感染推移, 新井悠/ITmedia, 2006年5月16日 一般に、ウイルスは発生直後にピークを迎えた後、緩やかに終息していくといわれている。WORM_ANTINNY.ABも、途中までは同様に終息に向かっていく下降線を描いているように見える。しかし、4月の突発的な上昇をもたらした要因は何だろうか。 という記事が出ていた。たしかに普通のウイルス(ワームおよびトロイの木馬を含む)の場合、発生直後に大流行した後に急速に衰えていく性質がある。それはウイルス対策ソフト(パターンマッチング方式によるウイルス削除システム)の普及が効果を挙げている結果であろう。それに対しこの記事は、Winnyを媒介するウイルスの場合は、あまり衰えずに継続して感染者が出続ける
高木浩光@自宅の日記 - Winnyを規制するISPは、Winnyトラフィック中の無駄割合を調査するべき
先月、朝日新聞社「論座」のインタビューを受けたものが記事となり、今月5日発売号に掲載されている。 ウィニー騒動の本質 あまりにも情報流出のリスクが大きい, 論座 2006年5月号 ここで確認しておきたい論旨は次の点である。 情報流出はウィニーだけの問題ではないとの声もある。だが、ウィニーの登場で情報漏洩による被害は格段に深刻なものとなった。ウィニーから流出した情報は、ほとんど自動的に無制限に広がっていく。回収する手段は皆無と言っていい。その深刻さは、今年3月に注目された新種のコンピューターウイルス「山田オルタナティブ」と比較すれば一目瞭然だ。「山田」に感染すると、パソコン内のデータが全部、外部から直接閲覧できてしまう。しかし、感染に気づいてパソコンをインターネットから切断すれば1次流出はそこで止まり、積極的に2次流出させる第三者がいない限り、それ以上は拡散しない。他人の個人情報を2次流出さ
高木浩光@自宅の日記 - 国土交通省電子申請システムにも英知出版みたいな記述が
■ Winny利用教唆本のセキュリティ対策指南、その仰天内容 先日、Winnyに対する意見を求められる取材申し込みが立て続けにあった。「現状を把握しておかねば」と思い、書店にずらりと並べられていると噂に聞いていた、Winny利用教唆本を何冊か買ってみることにした。とくに次の一冊の謳い文句が興味をひいた。 Winnyやりてぇー! 初心者のための「ファイル共有入門」, 英知出版, 2005年12月発売 こわーいウィルスから個人情報を完全に守る方法教えます!今日パソコンを買ってすぐ『ファイル共有』を初めたい人大集合!!!!!「ファイル共有」ヤバ〜イ、『お宝映像』もカンタンにダウンロードできる!! ほほう。さっそく通販で購入して目を通してみた。 しかし、ざっと見た限りどこにも「個人情報を完全に守る方法」らしきものは見当たらない*1。 それよりも目に飛び込んできたのは、はじめの方に書かれているこのペ
高木浩光@自宅の日記 - 「ファーミング」さえ理解していないフィッシング対策協議会, オレオレ証明書で本物だと太鼓判を押すフィッシング対策協議会
■ 「ファーミング」さえ理解していないフィッシング対策協議会 昨日の話もひどかったが、よく見てみれば、他にも杜撰なところだらけだ。 全く気付かなかったが、フィッシング対策協議会は、今年の1月に初のレポートを発表していた。この内容がひどい。2006年1月12日に公表された「2005/11 国内フィッシング情報届出状況」と題された文書*1には次の記述がある。 1.5. フィッシングサイトの動向 11 月度に報告のあったフィッシングサイト2 件に関してはURL の偽装や紛らわしいURL の使用などは認められませんでしたが、今月発見されたYahoo!オークションのフィッシングサイトに関してはメールと共に、ブログやSNS にIP アドレスのリンクが記載されており、ファーミングの手法も取り入れられていることが確認されました。 (略) 1.8. 総括 11 月度は7 月度以来の日本企業のフィッシングサイ
高木浩光@自宅の日記 - Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号
■ Mozillaで弱い暗号を使わない設定と銀行サイトで利用可能な暗号 以下は、昨年10月16日に書き始めたものの、頓挫していた日記ネタである。書き終わっていないが、ワケあって今日、取り急ぎ放出する。以下の表にある調査内容は、昨年10月16日時点のものであり、現在もこの状態であるとは限らない。 職場では隣の席にいる大岩さんの自宅の日記に、Mozillaで弱い暗号の使用を無効にする方法が書かれている。 40ビット暗号の攻撃可能性 Mozilla Suite における弱い暗号化を無効化する設定 Mozilla Firefox における弱い暗号化を無効化する設定 私は9月8日の日記で、 サーバ側がSSL 2.0しかサポートしていないWebサイトにアクセスすると、弱いプロトコルで通信させられることになるので、ユーザの自衛策として、ブラウザの設定で「SSL 2.0を使用する」をオフにしておいた方がよ
高木浩光@自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
高木浩光@自宅の日記 - やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), SSL 2.0でないと接続できないサイトにアクセスするとどう..
■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか 昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。 次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。 https://www.hellowork.go.jp/ FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。 OpenSSLのdebugモードで接続してみたところ次のようになった。 $ openssl s_client -debug -connect www.hellowork.go.jp:443 CONNECTED(00000003) wri
高木浩光@自宅の日記 - PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」
■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか?」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい! 何か間違ってる!」といった思考に至ることがありそうだ。 自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。 こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。 まず、サーバに自作の証明書と秘密鍵を
高木浩光@自宅の日記 - CSRF対策は進んでいるか
■ CSRF対策は進んでいるか 7月3日の日記で「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」というのを書いたが、 ようするに、CSRF攻撃によってどんな被害が起きるのかが、各サイトの各ペー ジごとに異なり、その差が大きいため、一律に対策が必要ということは誰にも 言い出せなかったためと思われる。日記で、 たとえば、4月19日の「水無月ばけらのえび日記」などにも書かれているように、パスワード変更機能で旧パスワードの同時入力がないと、CSRFによってパスワードを強制的に任意の文字列に変更されてしまうという脅威があることになる。変更したパスワードで不正アクセスされれば、それによって起きる被害は、ユーザに降りかかってくる。 他にも、ログイン中のWeb操作で変更が可能な設定項目によって、公開か非公開かを変更できるようなシステムの場合、非公開にしていたはずのコン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
