複数デザイン案と捨て案 | 水無月ばけらのえび日記
3案とありますが、なぜ2案や4案ではなく3案なのでしょうか。3という数字に根拠はあるのでしょうか。 また、その中からIPAが1案を選定するということですが、いったいどうやって選定するのでしょうか。 これがコンペで、3者に提案させて1者に絞るというなら分かります。3者はそれぞれ異なる視点、異なるコンセプトで提案するでしょうから、最もマッチすると思った提案を選べば良いのです。 しかし、1者に3案を作成させてもあまり意味がありません。受ける方は3案を等しく作るのではなく、ほとんどの時間を1案に費やし、平行して「捨て案」を2つ作るという対応をします。 これは別に手抜きではなく、以下のような事情があります。 ひとつのコンセプトからは、1人が考える最適なデザイン案は1つに収束する。コンセプトが全く異なる案を作るには、戦略 (コンセプト設計) の部分からやりなおさなければならない。デザインはスタディに時
匿名FTPによる図書館内部データの開放 | 水無月ばけらのえび日記
公開: 2012年4月15日20時55分頃 これまた驚きの話ですね……カーリルセキュリティアラート「匿名FTPによる図書館内部データの開放について」 (blog.calil.jp)。 「匿名FTPによる図書館内部データの開放」という見出しを見て、「ああ、図書館が蔵書データを匿名FTPで公開するようになったのか……」などと思ってしまいましたが、そんな話ではありませんでした。匿名FTPで公開されていたのはこんなデータだったそうで。 1.広島県内の公共図書館 ・システムの実行ファイル ・データベースのダンプと思われるデータ ・データベースサーバーの内部パスワード ・最終システムリプレイスは2011年5月 2.山口県内の公共図書館 ・予約データ(2005年10月~2012年4月6日) (利用者番号・電話番号等を含む) ・最終システムリプレイスはカーリル運用開始以前 岡崎市立中央図書館事件では、一部
OWASP Japan 1st Chapter Meeting | 水無月ばけらのえび日記
公開: 2012年3月30日2時10分頃 「OWASP Japan 1st Chapter Meeting (www.owasp.org)」というイベントがあったので参加してみました。 以下、ざっくりしたメモを箇条書きに。 OWASP / OWASP Japanについて最初はOWASPとOWASP Japanの紹介。 OWASPは "The Open Web Application Security Project" ですが、最近はモバイルのセキュリティも扱っているというような話も。 5分でわかるCSPここからプレゼンテーション。各自持ち時間10分なのでライトニングトークに近いです。 一発目は、はせがわようすけさんの「5分でわかるCSP」。プレゼン資料が以下で公開されています。 http://utf-8.jp/public/20120327/owaspj-csp.pptx (utf-8.j
meta refreshの解釈の差異によって発生する問題 | 水無月ばけらのえび日記
更新: 2012年3月12日15時10分頃 このお話は興味深いですね……「Googleのmetaリダイレクトに存在した問題 (masatokinugawa.l0.cm)」。 meta refreshのcontent属性の中身を動的生成している場合、ここに外部から値を入れられるとき、リダイレクト先を変更できてしまう場合があるという話です。 Internet Explorer 6/7では、以下のようなmetaタグの指定で、http://evil/へリダイレクトします。 <meta http-equiv="refresh" content="0;url='http://good/'url='http://evil/'"> ちなみにHTML5では、ご丁寧にmeta refreshのcontent属性のパース方法が決められていて、「4.2.5.3 Pragma directives - Refres
公衆無線LANによる通信傍受、改竄のリスク | 水無月ばけらのえび日記
更新: 2011年12月13日23時35分頃 ものすごい話が出ていますよ……「公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい (togetter.com)」。 以前から言われていた攻撃手法として、以下のようなものがありました。 悪意ある攻撃者が、無線LANのアクセスポイントを公開するSSIDを公衆無線LANサービスと思われるようなものにしておく誰かがそのアクセスポイントにアクセスすると、攻撃者は通信内容を自由に傍受・改竄して攻撃できるそして「野良無線LAN危ないから気をつけて」「HTTPSを使おう」という話になるわけですが、今回は、こういう攻撃が実際に、しかも公衆無線LAN提供会社によって組織的に行われていたという話ですね。おそらく当人には「攻撃」という意識はないと思いま
ターゲティング広告を利用して属性と個人を結びつける | 水無月ばけらのえび日記
公開: 2011年12月11日22時55分頃 「サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク (d.hatena.ne.jp)」。サードパーティCookieやターゲティング広告の問題点についてのmalaさんのまとめ。良くまとまっていて参考になります。 特に、「パーソナライズされた広告配信によって広告出稿者がユーザーの個人情報を取得することが可能」という指摘は鋭いと思いました。ターゲティング広告では、対象者の属性を絞って広告を出すわけですから、その広告をクリックしてきた訪問者はその属性を持っている確率が極めて高いと言えます。すなわち、以下のようなことが起きると個人と属性が結びつきます。 属性を絞って広告を出稿するその広告をクリックしてランディングページにたどり着いたユーザーを追跡するそのユーザーが商品を購入す
Self-XSSはブラウザの脆弱性か | 水無月ばけらのえび日記
公開: 2011年11月20日20時20分頃 こんな記事が……「Facebookの問題画像の氾濫はWebブラウザの脆弱性に原因か? (www.itmedia.co.jp)」。 Facebookはメディアに寄せたコメントで、この攻撃にはWebブラウザの「self-XSS」の脆弱性が悪用されたとの見方を明らかにした。 (~中略~) 今回の攻撃ではユーザーが不正なJavaScriptをWebブラウザのアドレスバーにコピー&ペーストするよう仕向けられたとされる。現時点で、どのWebブラウザが影響を受けるのかは分かっていない。 ブラウザのアドレスバーにjavascript:で始まる文字列をコピーさせてスクリプトを実行させるという話ですが、これ、ブラウザの脆弱性なのでしょうか。ユーザーが自らコピーして実行してしまうのではどうしようもないような……。 ……と、思ったら、実は最近のブラウザではけっこう対策
iOSのSafariがContent-Dispositionを無視する問題が修正された | 水無月ばけらのえび日記
公開: 2011年10月18日2時25分頃 既に「About the security content of iOS 5 Software Update (support.apple.com)」に出ていますが、JVNの方でも公開されました……「JVN#41657660 iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。 書いてあるまんまですが、iOS上のSafariがContent-Disposition: attachmentの指定を無視するという問題でした。 これを届け出たのは、2010年の8月のことです。9月のCSS Niteでしゃべることになっていたのですが、会場のアップルストアではWindowsマシンの持ち込みが原則禁止となっています。私はMacを持っていないのでどうしようかと思ったのですが、せっかくなので、当時話題だったiPadでプレ
AppLogが何をしようとしているのか良く分からない | 水無月ばけらのえび日記
公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より
吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
「ガンプラー」連呼のズッコケ事業仕分け | 水無月ばけらのえび日記
公開: 2010年11月27日20時0分頃 IPAの事業が事業仕分けの対象となって議論されたそうで。Ustreamに録画があるというので見てみました……「行政刷新会議 事業仕分け WG-B B-26 (独)情報処理推進機構 経済産業省 (www.ustream.tv)」。 まず吹いたのが29分過ぎあたりからのシーン、ウィルス対策事業の効果についての議論でGumblarの名前が出ているところです。私はこの前のCSS Nite in Ginza, Vol.52 (cssnite.jp)で「ガンプラーじゃないよ」というネタをやったわけですが……この録画では、勝間和代さんと思われる方が……何度聞き直しても「ガンプラー」と言っているように聞こえるのですよね……。他の人は「ガンブラー」と言っているのに、何度も何度も「ガンプラー」と連呼しているという光景が、あまりにも衝撃的でした。 CSS Nite i
個体識別番号は個人情報と容易に結びつく | 水無月ばけらのえび日記
更新: 2010年6月1日11時35分頃 「KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 (takagi-hiromitsu.jp)」。 「固体」ではなく「個体」が正解なのですが、KDDIのドキュメントには「固体」と記述してあるという。まあ、それは単なる変換ミスの類でしょうが、問題なのはその記述の内容の方ですね。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。 以上、[000021]EZ番号(固体識別番号)を変更したい。 より ※2010-06-01追記: 上記の記述は削除されたようで、現在は確認できません。 確かに、EZ番号それ自体には個人情報は含まれていないでしょう。しかし問題は、個人情報
次期Firefoxでは:visited疑似クラスのスタイルが制限される | 水無月ばけらのえび日記
公開: 2010年4月3日16時50分頃 「visited疑似クラスのビーコンを拾うサービスが登場」という話がありましたが、Firefoxでの対応方針が決まったようで……「CSS によるブラウザ履歴の漏えいを防ぐ取り組み - Mozilla Developer Street (modest) (dev.mozilla.jp)」。 具体的には、訪問済みリンクは、文字、背景、アウトライン、ボーダー、SVG の線と塗りといった、配色のみ変えられるようにします。 (~中略~) 次に、Gecko レンダリングエンジンの実装にいくつかの変更を加え、訪問済みと未訪問リンクの表示にかかる時間の違いを最小限にするため、処理プロセスを均一化します。 (~中略~) Web ページがリンク (とその子孫要素) の算出スタイルを取得しようとすると、Firefox は未訪問リンクのスタイル定義を返すようになります。
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://bakera.jp/downloads/pdf/a11ybar02-autumn_01
WASForum Conference 2010: オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 | 水無月ばけらのえび日記