高木浩光@自宅の日記 - なぜソニーが駄目でアップルやマイクロソフトは良いのか
■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。(このサイトにログインしていなくても。) プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ
高木浩光@自宅の日記 - 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた
■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度(納税番号制度(aka 共通番号制度))のICカード配布の話の流れで、(住基カードが4%しか普及していないのに)TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。(「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照)。
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
高木浩光@自宅の日記 - 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来
■ 最終回: PlaceEngineの次に来るもの そしてRFIDタグの普及する未来 この日記を書き始めたいきさつは、2003年の春、RFIDタグのプライバシー問題について、何が問題なのかあまりに理解されないことに危機感を覚え、ひとつひとつ書いていこうと決意したことからだった。 当時いろいろな方とお話しした中で最も印象に残っているのは、日経デジタルコアのイベントの宴席の2次会で同じテーブルについてお話しする機会のあった泉田氏との議論だった。そのときのことは2003年7月4日の日記に記録がある。その泉田氏は現在の新潟県知事である。 泉田氏はこうおっしゃった。「プライバシーが問題になるとしたら、政府がRFID読み取り網を整備するようなことになったとき。そうでなければ無理。」 つまり、街中にRFID読み取り機が設置され、そしてそれがネットワークに接続されるような状況は、国などが敷設しない限りあり
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
高木浩光@自宅の日記 - 再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月)
■ 再掲:au携帯電話のバーコードリーダでジャンプ先URLが偽装される(2005年4月) 一昨年4月23日の日記からリンクしていた、BUGTRAQ-JPの記事「au携帯電話のバーコードリーダでジャンプ先URLが偽装される」が文字化けして読めない状態になっている*1ので、以下にHTML化して再掲しておく。 Date: Fri, 15 Apr 2005 05:17:16 +0900 From: Hiromitsu Takagi <略>@takagi-hiromitsu.jp To: bugtraq-jp@securityfocus.com Subject: au携帯電話のバーコードリーダでジャンプ先URLが偽装される 以下は、JVN#9ADCBB12の事例について、ユーザおよび開発者が知っておくべきと考えることがらについて、発見者の立場からその発見内容および考察を公表するものである。 概要 a
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
高木浩光@自宅の日記 - 蔓延する「サイバーパテントデスクのWWWサーバ」
■ 蔓延する「サイバーパテントデスクのWWWサーバ」 「現場でコピペしてるんだ」の話から、5年前の話を思い出し*1、再び検索してみると、該当ページは増えていた。 http://www.yurinsha.com/ssl.htm インターネットセキュリティ(SSL)は安全です!! SSL(Secure Sockets Layer)は、WWWブラウザとWWWサーバ間でデータを安全にやりとりするための業界標準プロトコルです。 SSLには、認証と暗号化の機能があります。 認証機能により、接続しているWWWサーバが確かにNRIサイバーパテントデスクのWWWサーバであることを保証します。 また、暗号化機能により、検索内容が暗号化された上でインターネット上で通信されます。これにより、データがインターネット上で盗聴、改竄される危険性が小さくなります。 http://tweb.omt.ne.jp/ssl_in
高木浩光@自宅の日記 - 第1回「リンクポリシー」大賞 受賞者決定
■ 全盲読者に配慮したWebページ作りを妨げる文部科学省と環境省と地方自治情報センター 総務省が推進するウェブアクセシビリティ。JIS規格にもなった JIS X 8341-3。これらでは、全盲の読者への配慮として、「新しいウィンドウを開かない」ことを留意点として挙げている。 ポイント4:利用者が迷わないリンク, 情報バリアフリーのための情報提供サイト, 情報通信研究機構 b. 新しいウィンドウは混乱のもと 新しいウィンドウが開いても、それを目で確認できないため混乱する利用者がいます。(略)新しいウィンドウは基本的には開かない。(略) 総務省 報道資料 「公共分野におけるアクセシビリティの確保に関する研究会」報告書 付録4a, 「公共分野におけるアクセシビリティの確保に関する研究会」報告書の公表, 総務省 ・リンク先のページを新しいウィンドウに表示すると、全盲の利用者や高齢者をはじめ、混乱し
高木浩光@自宅の日記 - 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ, 追記(24日)
■ 会社のポリシーは会議室で決めてない、現場でコピペしてるんだ すごいタレコミがあった。東芝テクノネットワーク(株)の「サイトポリシー」と東芝テクノシステム(株)の「サイトポリシー」にすごいことが書いてある。 リンクについて ※御社の規定によって下記の2つよりお選び下さい。 (事前の連絡不要の場合) このウェブサイトへのリンクは原則として自由です。ただし、途中のページやページ内のコンテンツそのものにリンクを張ることや、当社が不適当と判断するホームページからのリンクはお断りすることがあります。 (事前の連絡必要の場合) 事前に当社からの文書による承諾を得ない限り、このウェブサイトへリンクをはることはできません。このウェブサイトへのリンクを希望する場合は、必ずリンク元のURL、当社ホームページの希望リンク先のURLをこちらへご連絡ください。リンクの際のURLは、(http: //www.tos
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
