高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
第6回 OpenSSHの公開鍵をLDAPで管理 | gihyo.jp
公開鍵管理の概要 読者の皆さんの多くはリモートメンテナンスのために、各サーバでsshデーモンを動作させているはずです。しかしtelnetではなくsshにすればそれだけで安心安全、というわけではありません。共通鍵認証ではそれぞれの通信自体は暗号化されているとはいえ、近年では総当たり攻撃のターゲットとなっているケースも非常に多くセキュリティ的に安心できるものではないためです。皆さんはちゃんとRSAやDSAによる公開鍵認証を利用されていますか? 公開鍵認証のメリットは、共通鍵認証と比較して、より安全な認証を実現することができる点にあります。その一方、クライアント側には秘密鍵ファイルと多くの場合はパスフレーズが、サーバ側には公開鍵ファイルが必要になるため、デメリットとしてユーザ数が多いとそれらの管理も煩雑になることが挙げられます。 たとえば管理対象のサーバが100台あるとすれば、あるユーザの入社時
【B面】犬にかぶらせろ! - 新風舎より削除要請がきた
先週、はてなより削除要請のメールが来た。 さて、このたびid:gotanda6様にご利用いただいているはてなダイアリーの下記記事「騙されてないすか?」 http://d.hatena.ne.jp/gotanda6/20070731/book の記事内の「新風舎って、あの詐欺まがい商法の?」との記述につきまして名誉毀損、信用毀損、営業妨害に該当するとして、株式会社新風舎より削除要請が参っております。 先週はあまりに忙しかったこともあり、要請通り削除したが、この際だから新風舎についてちょっと書いておこう。 新風舎は昨年の出版点数だけでいえば講談社を超える、日本一の出版社。 しかし、講談社などの普通の出版社とビジネスモデルはまったく違う。新風舎は“共同出版”の出版社。共同出版は、自費出版本を一般書店で売ることができるということを売りにして、お金を集めるというビジネスだ。 この手のビジネスは定年退
Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
「信号機問題」の解 - ちょっと呟いてみる
「アクセルとブレーキを間違えたぐらいで暴走する車が悪い」: LM-7氏「A Successful Failure」 上記エントリのはてなブックマークのページ 上記エントリに登場する「フェイルセーフ設計」や「フールプルーフ設計」とは何か、という事に関してはwikipediaの「信頼性設計」のページにお任せするとして。 ブクマで少し盛り上がっている「信号機問題」について一言。 安全側という概念を理解するために、ランプが1つだけしかない信号機を考える。仮にそのような信号機を設計しなければならない時、赤と青とどちらのランプを1つだけもった信号機を設計するだろうか。この場合、設計者は必ず青だけの信号機を作る。 仮に赤だけの信号機があるとしよう。赤が点灯している時は止まれで、消灯しているならば進んでいい。万が一ランプが切れた場合、利用者は信号は青だと思って進んでしまう。本当は赤でなければならない時にこ
アクセルとブレーキを間違えたぐらいで暴走する車が悪い - A Successful Failure
毎日新聞の報道によれば、83歳の女性の運転する乗用車が急発進し、若い女性を轢き殺した事故が発生したという。 調べでは、小林さんは知人の見舞いの後、帰宅するため駐車場からバックで車を出そうとして、ギア操作を誤ったとみられる。車は公園との境にあった木1本を押し倒し、約40センチ下にある公園に進入。車は約5メートル離れたベンチに背を向けて座っていた新田さんをはね、さらに約5メートル先の立ち木に衝突して停車した。 新田さんは同病院でカルテ整理を担当しており、昼食のため1人でベンチに座っていた。小林さんは調べに「車が前進したのでパニックになり、ブレーキではなくアクセルを踏んでしまった」と話しているという。 http://www.mainichi-msn.co.jp/today/news/20070429k0000m040048000c.html この件に関し、運転者が83歳と高齢の女性であったことか
sudo
ref:ウノウラボ Unoh Labs: 専用サーバを構築するときにまず行う4つの設定 む。 /etc/sudoers の編集には visudo を使いましょう。文法チェックもしてくれる /etc/shadow の編集には sudo vipw -s としましょう。まぁインストール直後だと問題ないだろうけど su を禁止するのはいいけど、この設定だと sudo -u user -s とか、sudo sh -c su とやってしまえば通過できてしまう。まぁ、su を禁止することで類似する行為をするな、というメッセージにはなるので、まったくの無意味だとは言わないが。sudo で実行したコマンドはログに残るし つうか、半端に一部のユーザに su 出来るようにするのは変でないかい?postgres の権限で実行したいなら % sudo -u postgress commandsで十分。root と
2007-03-05
ログイン画面の「次回から自動的にログイン」につきまして はてなにログインする際に「次回から自動的にログイン」にチェックを入れていると、毎回ユーザー名とパスワードを入力する必要がなく、一定期間ログインしたままの状態ではてなをお使いいただけますが、本日、ログイン画面の初期状態が、このチェックを入れている状態となるよう変更いたしました。 「次回から自動的にログイン」は、毎回ログインを行っていただく手間が省ける便利な機能であり、より多くの方にお使いいただきたいと考え今回の変更を行いました。 ひとつのパソコンを複数人で共有している場合やセキュリティに不安のある方は、チェックを外していただけるとこれまで通りのログイン方法をお使いいただけます。お手数ですが、こちらの方法をお使いいただければと思います。 ツイートする
超画期的な Web API 考えたよ! - ぼくはまちちゃん!
Web API で SQL そのまま実行できちゃうの! /xxxxxx_api/SQL.aspx?frmInput=SELECT * FROM t_answer みたいな感じで! どうかな! しかも認証なしで GET で使えて、INSERTでもなんでもできちゃうとか! うわ、これってすごいべんりかも…! さらに、API を呼ぶ FORM画面なんかも indexとかに用意しておいて そこにDBテーブルの一覧とかまでまとめて全部書いておけば、 もう、これでもかってくらいにべんりだよね! すごいすごい! よしそういうの作ろう!! と思ったけど、そんな超べんり機能なアイデアなら、 たぶん、きっともうすでに、OSとか作ってる大企業の最新サービスかなにかで 実装されてるんじゃないかなーと思ってやめました>< しかたないので、 入力した言葉を小鳥が唄ってくれるようなサービスでも作ろうかな…!
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
高木浩光@自宅の日記 - Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根
■ Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。 著作権侵害の観点からすればさして致命的な問題ではないと考える人が大半だろう。しかし、情報セキュリティの観点からすると、流出の事故を防止しなければならないのと同時に、起きてしまった事故の被害を致命的でないレベルに止めることが求められる。 これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うような流出データであっても、たらい回しにいつまでも流通
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
