高木浩光@自宅の日記 - JPRSに対する都道府県型JPドメイン名新設に係る公開質問
■ JPRSに対する都道府県型JPドメイン名新設に係る公開質問 JPRSから以下のプレスリリースが出ていた。 「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」, 株式会社日本レジストリサービス, 2011年9月26日 内容を見て仰天。都道府県ドメインに第3レベルでの登録を認める「都道府県型JPドメイン名」を新設するという。そこで以下の公開質問状を送った。 株式会社日本レジストリサービス御中 都道府県型JPドメイン名新設に係る公開質問 東京都〓〓区〓〓〓〓〓 高木 浩光 2011年9月27日 貴社2011年9月26日報道発表の「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」について、Webのセキュリティ及び可用性の観点から、公共の利益に影響を及ぼす懸念があると思料するため、貴社に対し、以下の通り、公開を前提と
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
高木浩光@自宅の日記 - MIAUニコ生で憧れのフリップ投げをしてきた
今回の出演中、DPI広告の例としてPhormのケースについて、技術的な観点から、生のHTTPを使えなくなってしまう件について解説しようとしたとき、途中で何を言うのだったかわからなくなって固まってしまった。この件については、後日、日記でちゃんと説明しようと思う。アニメ化する必要があると思っている。 それから、肝心なところを話し忘れてしまった。通信の秘密が、片方の同意で合法となるとされる点について、ニコ生放送では、鈴木先生のお話から、通信の秘密には社会的法益もあるはずという点までは話が進んだものの、その先の論点、つまり、具体的にどういう社会的利益が損なわれるのかについて、話す用意をしていたのに言いそびれてしまった。このことについても、後日の日記で書こうと思う。
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
高木浩光@自宅の日記 - Nyzilla Pro版、ストリーミングプレーヤ搭載へ
■ Nyzilla Pro版、ストリーミングプレーヤ搭載へ 昨年12月にリリースした「Nyzilla」には、非公開版の「Pro」(プロフェッショナル)バージョンがあり、通常版では先頭1ブロックの48バイトを確認できるだけだったところ、Pro版では、ファイル全体をダウンロードして保存する機能を持ったプロ仕様になっています。 もちろんこれは、公衆送信を伴わない真の意味でのダウンロードであり、ファイル共有ではありません。しかも、Nyzillaの本来の機能により、既にファイルを保持して公衆送信している相手に接続して、そこから直接コピーして入手するものなので、通常のWinnyを使って入手する場合の「複製を増やしてしまいかねない」といった懸念を払拭できるという、まさにプロ仕様になっています。 昨年12月の時点では、いかなるファイルもこの方法で適法にファイル内容の確認ができました。ところが、今年1月1日
高木浩光@自宅の日記 - 日本航空のEV SSL導入のナンセンス
■ SSLを要するモバイル環境でのパスワードマネージャの使い方に注意 Basic認証の話 この日記にSSLを導入した*1。基本的には自分用(編集時の安全を確保する)のもので、FirefoxとSafari(Mac OS版のSafari)からしか使えない*2*3。これにより、外出先の公衆無線LANからでも日記を編集できるようになった。 これまでは、自宅のコンピュータでしかログインしないようにして、http:// のままBasic認証を使っていた。パスワードが生のまま送信されるが、自宅の通信環境はまあ信頼できるので、(その先の通信路上で盗聴されるリスクがあるにしても)リスクは受容できると考えてきた。しかし、外出先で公衆無線LANを使うとなると、そのリスクは受容できない。6日の日記「公衆無線LANで使うと危ないiPod touchアプリに注意」にも書いたように、公衆無線LAN内の通信は簡単に傍受さ
高木浩光@自宅の日記 - StartCom CAでコード署名用証明書を取得した
■ StartCom CAでコード署名用証明書を取得した takagi-hiromitsu.jpでは、1年前から(2008年12月21日の日記)、StartCom CAの無料のDV (Domain Validation) SSLサーバ証明書を取得して、https:// ページを用意していた。その時点では、WindowsのルートCAストアにStartCom CAが含まれていなかったため、WindowsのInternet Explorerなどでは使えない状況だった。それが、今年になって、StartCom CAがWindowsのルートCAストアに組み込まれるようになったため、Internet Explorerなどでもこのサイトを https:// で閲覧できるようになった。*1 Microsoft Adds Support for StartCom Certificates, Linux Tod
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
高木浩光@自宅の日記 - Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる, 追記(30日) 非公開設定のカレンダーも削除されない
■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。 実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面(図2上)の「マイサービス」という部分の「編集」というリンクの先(図2下)にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
高木浩光@自宅の日記 - グーグルが女子高に侵入して撮影した事例
■ グーグルが女子高に侵入して撮影した事例 10月15日追記 その後以下に掲載していたストリートビューは「この画像はなくなりました」の黒画面になっていたが、10月15日になって、青い線で示される経路情報まで消去された(現在の状況)ため、表示内容がおかしくなり、近くの別の場所が表示されるようになってしまった。これでは意味不明となるので、ストリートビューの部分をコメントアウトし、掲載当時の画面に差し替える処置を施した。当時は、ストリートビューで向きを変えることにより、校舎をくまなく見たり、至近距離から窓にズームすることなどができる状態だった。ここでは、できるだけ問題のない向きの画像を掲載している。 8月29日の日記「グーグル社がゲートのある敷地内に進入して撮影した事例 その2」に続き、「その3」となる事例。 このストリートビューは、女子高の正門の中(校舎の玄関前)で撮影されている。 これはどう
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA
■ B-CAS社の個人情報登録サイトのSSL証明書がNTT DATA B-CAS社の「オンラインによるB-CASカードのユーザー登録」の画面から、登録画面に進むと、個人情報入力画面が現れるのだが、ここでページが https:// になっていることを確認の上、サイト証明書の内容を確認してみると、「NTT DATA CORPORATION」と表示される。 よく見てみると、さっきまでは b-cas.co.jp を閲覧していたはずが、この画面はいつのまにか、b-cas.jp という別サイトに飛ばされている。 しかも、b-cas.jp ドメインの保有者が誰なのか、whois で調べてみると、さらに別の会社になっている。 不特定多数からの大量の登録を受け付けるサイトにしてはずいぶんと稚拙だ。
高木浩光@自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」(第1条)が損なわれるという点も共通する。 しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」にも書いた。
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
高木浩光@自宅の日記 - はてなブックマークを禁止する技術的方法, 追記, 追記2 (23日)
■ はてなブックマークを禁止する技術的方法 ある属性を持つ人々にとって、はてなブックマークは、必要な情報源を巡回するための効率的なツールとなっている。もはや「はてブ」されない記事は存在しないのも同然となってしまている人もいるかもしれない。ソーシャルブックマークサービスはなにも「はてな」だけではないのだが、事実上「はてな」が独占状態にあり(少なくとも一部の分野においては)、「はてなブックマーク」でないと情報源となり得ない状況になっている。この状況はアーキテクチャ的に望ましい状態ではないと思うが、しかたない。 そういう中で一つ問題がある。情報セキュリティの話題を追いかけるには「セキュリティ」タグを見ていればよいわけだが、ここに「JVN」のエントリが出てこない。 JVNの認知度が高まらないのにはいろいろな要因があって、JVNのサイトデザインが最悪だ(ユーザビリティを何も考えていない)という問題も
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
