また、事実婚の夫婦は、国などに婚姻届の不受理処分の取り消しも求める方向だ。婚姻届は一方の姓を選んで提出するが、夫婦は両方の姓を選んだため受理されなかった。 原告の一人の元高校教諭塚本協子さん（７５）は「一人娘なので姓は変えたくなかった。政権交代で民法改正を期待していたが、解決できないので司法に訴える」と話す。 75歳! 別姓での婚姻を戸籍に記載してほしくて届け出たのに拒否され、仕方なくずっと事実婚でやってきたということのようで。 別姓夫婦は既に結構いるわけですが、現状では、別姓夫婦であるという事実は戸籍に記載されない場合がほとんどです。特に、事実婚で通している場合には婚姻の事実さえ記載されないわけで、これは社会的にも影響が出てきます。たとえば、相続の際は戸籍を頼りにして相続人を調査しますが、戸籍に正確な記載がないと手続きが大変になったり、正しい相続が行われないおそれがあります。 言うまでも

更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情

更新: 2008年12月3日2時10分頃 「はてなブックマークの新しい登録ブックマークレットは危険 (slashdot.jp)」。クロスドメインの疑似ダイアログ話ですが、興味深いお話が。 この話はポップアップではありませんし単純なiframeでもないのですが、とりあえずのブラウザ側の対応として、「クロスドメインのiframeには無理矢理アドレスバーを表示する」という処理があっても良いのかもしれないと思いました。 もっとも、iframeを使わずにブックマークレットのJSでform要素をいきなり動的生成することも可能で、そのような場合には対応できませんが……。 あと、表示の仕方が問題ですね。Webページ側で偽装されないようにする必要があるので、いわゆるchrome領域に表示するとなると……iframeの数だけアドレスバー増殖? やってやれないことはないようにも思いますが、大変なことになりそうで

うわさの「PHP×携帯サイト デベロッパーズバイブル (www.amazon.co.jp)」を軽く見ましたが……「ゆるいなぁ」、というのがひとまずの感想。 メモ的なコメントを順不同でだらだら列挙しておきます。 最初の1行掲示板のサンプルがいきなり脆弱。「完成版」になっても脆弱。「auではテキスト入力欄で改行が入力できる」という発想の仕方がどうも……。auに限らず、テキスト入力欄に限らず、改行が入力されることは常にあり得ると考えたほうが良いと思うわけで。Cache-ControlをHTTP応答ヘッダではなくmeta要素で指定。20世紀のフリーCGIみたい?Content-TypeをHTTP応答ヘッダとmeta要素の両方で指定する必要があるように読めますが、metaは不要なはず。しかも、何故かmetaにだけcharsetがついており、肝心な方についていないので、これをそのまま実装するとはせがわ

第02回まっちゃ445の懇親会の帰りに考えていた事なのですが、メモし忘れていたのであらためて。 HTMLの中に変数を出力する際、何も考えずに文字列をそのまま出力すると、HTMLのマークとみなされる文字が含まれていた場合にまずいことが起こります。たとえば#PCDATAの中に出力する場合、「<」や「&」がそれぞれSTAGOやEROとして解釈されますので、これらをそのまま出力しないようにする必要があります。以下のように文字実体参照に置き換えるのが一般的です。 < → &lt;& → &amp;同様に、二重引用符で括られた属性値リテラルに出力する場合は「"」と「&」がマークとして解釈されます。XHTMLの場合は「<」も書けないことになっていますので、これも置き換える必要があります。 " → &quot;< → &lt;& → &amp;※#PCDATAの中で「"」を変換しても問題は起きないので、多

唐突に、ブラウザが文字符号化方式を判定する場合の優先順位についてメモ。この順序については、HTML 4.01 5.2.2 で規定されています。 To sum up, conforming user agents must observe the following priorities when determining a document's character encoding (from highest priority to lowest): 1. An HTTP "charset" parameter in a "Content-Type" field. 2. A META declaration with "http-equiv" set to "Content-Type" and a value set for "charset". 3. The charset attrib

RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリを食い尽くしてしまうのでしょう。 外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの

> 2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。 2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

ヤラレチャッタ。 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。 そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。 ※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全

IPA セキュリティセンターです。 HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。 HACKER SAFE（ハッカーセーフ）無料脆弱性診断（お試しスキャン） (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。 https://ssl.sct.co.jp/servlet/XS3/hxml/contact/check1.hxmlその筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示され

1日目の最後のセッションはパネルディスカッション。あまり網羅的にメモできていないので、やりとりの一部のみの抜粋という感じになっています。 ※実はPCのバッテリがピンチでメモ回数をセーブしたため、ほとんどメモしていませんでした……。orz ちなみにパネリストは、サイオステクノロジーの山崎靖之氏、サウンドハウスの中島尚彦社長、ライフネット生命保険の中川達彦氏、奈良先端科学技術大学院大学の門林雄基氏、そしておなじみ、産総研の高木浩光氏。以下のメモでは発言者名の敬称は略させていただいています。 Webを活用したビジネスでの心構えとは?中島お上からの言葉が分かりやすい。行政から「セキュリティ大事ですよ」と言われちゃったらやるだろう 高木今まで2回くらい出てはいるのですが……。 2001年にXSSの問題を経産省の審議官に説明したとき、「これはワームのように広がるのか?」と聞かれた。広がらないよなぁと思

サウンドハウス中島社長のお話に続いて、今年5月に開業したネット生保、ライフネット生命保険 (www.lifenet-seimei.co.jp)の中川さんのお話。 やられた人の経験談ではなく、ネット生保を新しく起業した立場から、セキュリティと企業の責任、CSRなどについてお話されました。あまり論評することもないので、ひたすら箇条書きでメモしておきます。 企業の責任(CSR)企業には4つの責任があるというお話。 経済的責任(義務) : 利益を上げる……配当金・給料・納税法的責任(義務)倫理的責任 : 社会から期待されていること。たとえば「機微情報は適切に扱ってくれるよね」という期待社会公権的責任 : 社会からの要望ステークホルダーに対する説明責任がある。説明ができなければ社会に認めてもらえない、信頼を得られない企業は持続できない生命保険は持続がとても大事 (10年、30年の商品であるため)。そ

最近訳あってSSL/TLSについていろいろ調べているわけですが、こんなページを発見してしまいました……「ホスティングサービス・レンタルサーバー「ことねっと」　「セキュリティの警告」について (kotonet.com)」。 オレオレ証明書を受け入れさせようとするサイトは良くあるのですが、それらしい説明が作り込まれているのが凄いです。 ※「ことねっと」によって作られたと主張するこの証明書が、ホントに「ことねっと」によって作られたものなのかどうか……という問題なのに、「ことねっと」という組織を信用するかどうかという問題にすり替えられてしまっていますね。 「証明書についてステキな説明をするサイト」へのコメント (2件)関連する話題: Web / セキュリティ / SSL/TLS