電波チェッカーの脆弱性 | 水無月ばけらのえび日記
公開: 2010年6月14日23時40分頃 ソフトバンクのiPhone用アプリ「電波チェッカー (mb.softbank.jp)」に関して、こんなお話が。 iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ (togetter.com)電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件 (togetter.com)iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ (togetter.com)言うまでもありませんが、これは、最近議論されているケータイサイトのセキュリティ問題に関連する話です。実際に多数のサービスに問題が発見されている状況があり、電波チェッカーはそれと同じことをしているように見える……という話の流れがあります。togetterのコメントを見ていると、流れ
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記
更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ
クラウドを自社ドメインで運用する苦労 | 水無月ばけらのえび日記
公開: 2010年3月28日20時50分頃 「音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する (takagi-hiromitsu.jp)」というお話が。これはひどいと思いますが、問題は2つありますね。 フォームが別ドメインになっており、その事についての説明がない「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている後者に関しては問題としてはシンプルで、単に虚偽の説明がなされているという話ですね。規約とかどうせ誰も読んでない……とは良く言われますが、掲載している本人でさえもロクに読ずにコピペしているのが実情でしょう。確認もしないで嘘を書くくらいなら、最初から書かなければ良いのにと思いますが。 それはそれとして、フォームが別ドメインになっている話は興味深いです。最近は「クラウド」とかなんとか言って外部のサーバでサ
意図せぬレスポンスボディを含むリダイレクト応答 | 水無月ばけらのえび日記
更新: 2024年3月4日21時6分頃 「ダチョウ式リダイレクトと名付けてみる修行 (d.hatena.ne.jp)」。 ここで言っている「ダチョウ式リダイレクト」とは、リダイレクト応答のレスポンスボディに意図せぬものが出力されている状態を指します。「頭隠して尻隠さず」という言葉がありますが、英語では "To bury one's head ostrich-like in the sand." と言うそうで、ostrich はダチョウですね。 ステータスコードが 301 や 302 などになっていて、Location: フィールドが出力されていれば、レスポンスボディが何であれリダイレクトは行われます。この場合、多くのブラウザではレスポンスボディは見えませんが、パケットを見ればレスポンスボディは丸見えという状態です。普通にブラウザで見ていても分からないので、テストでも発見しにくい厄介な不具合
メールアドレス間違いができないような仕組みが欲しい | 水無月ばけらのえび日記
公開: 2010年2月2日15時15分頃 「iTunes、IDなりすましの恐れ アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。 ともあれ、興味深いのはこの話。 一方、愛知県の男性は昨年末まで約2週間、iTS上で、神奈川県の男性の利用画面に入ってしまった。 神奈川の男性がIDとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのIDとして誤入力した。そのIDがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。 愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川
CSRFの評価とCVSS現状値 | 水無月ばけらのえび日記
公開: 2009年12月19日14時10分頃 Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。 弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。 はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。 セキュリティ監査会社による調査を実施している。報告された脆弱性は深刻度によって分類し、即時対応するもの、
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場の件が全国ニュースに | 水無月ばけらのえび日記
更新: 2024年3月3日15時30分頃 サンシャイン牧場の件ですが、読売新聞に出たようですね: ミクシィ、4200人の情報が3日間「露出」 (www.yomiuri.co.jp)。 リクー社が調べたところ、判明しただけで80人分の購入した計38万円分のアイテムの記録が消滅していたことが判明。さらに、クレジットカードでゲーム内通貨を購入しようとした利用者4200人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。 最大約4200人というのは、修正前にクレジットカードを利用した人の総数でしょうね。 80人で38万円購入というと平均5000円近いわけで、ずいぶん単価が高いように見えますが、その80人はおそらく、「前回のクレジットカードを使う」を選択して2回目の課金を行った人たちでしょう。もともと購入意欲の高い層だった上に、「Kコインが増えないので課金操作を繰り返し
サンシャイン牧場・課金システムの問題についてのアナウンス | 水無月ばけらのえび日記
更新: 2009年11月5日14時11分頃 サンシャイン牧場の件ですが、mixiから「重要なお知らせ mixiアプリ「サンシャイン牧場」の不具合について」というアナウンスが出ています。例によってmixi会員でないと読めないと思いますが……。 長いですが引用しておきます。 mixi運営事務局です。 Rekoo社が提供するmixiアプリ「サンシャイン牧場」の課金サービスに関して、一部のユーザー様より不具合に関するお問い合わせを頂戴しておりますので、お知らせいたします。 Rekoo社に確認しましたところ、Rekoo社が提供している課金サービスに不具合があり、誤課金等の事象が発生したことを確認いたしましたため、当社は、Rekoo社に対して、不具合の原因の究明及び対策の実施を要請いたしました。 現在、課金サービスに関する不具合は解消されております。 本不具合に関する詳細な経緯、状況につきましては、下
サンシャイン牧場の課金システムが修正されたっぽい | 水無月ばけらのえび日記
更新: 2009年10月25日1時50分頃 サンシャイン牧場の課金システムですが、昼過ぎにとりあえずフロントのインターフェイスが停止、夕方にバックのシステムが停止しており、しばらくこのままだろうな……と思っていたら、なんと復活しているではありませんか。 問題を抱えたままの復活かと思いきや、ちゃんと修正されている模様です。修正にはもっと時間がかかるかと思っていましたが、これは速い! 良い仕事だと思います。ありがとうございます。 ※もっとも、正式な修正の報告はまだ受けていませんので、これで最終形なのかどうかはまだわかりません。 ※2009-10-25追記: いちおう、mixiコミュニティ内にて運営側から修正のアナウンスが出ています: サンシャイン牧場・課金システム修正のアナウンス ※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題について
W3CのDTDを取りに行きすぎるとBANされる | 水無月ばけらのえび日記
Yet we receive a surprisingly large number of requests for such resources: up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years. W3CのサイトにおかれているDTDなどに対して、1日に1億3千万回ほどのアクセスがあるそうで。 たとえば、.NET FrameworkのXmlDocumentでXHTMLを読むなんてシチュエーションはありがちだと思いますが、XmlResolver = nullを指定せずにそのまま使うと、いちいちDTDにアクセスしに行ってしまいます。世界中でそういうことをされると、まあ、大変です
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
Winnyは暴露ウィルス問題を解決できるのか? | 水無月ばけらのえび日記
公開: 2009年10月10日21時0分頃 Winny裁判は高裁では無罪ということで、まあ妥当な判断だろうと思います。それはそれとして……「この5年間は裁判に勝つことが自分の仕事だった」無罪判決を受け、Winny開発者・金子勇氏が会見 (internet.watch.impress.co.jp)。 一審の最終意見陳述で金子氏は、「情報漏えい問題に対応した改良版のWinnyを開発したが、現状ではこれを公開することもできない」と語っていた。判決が確定すれば改良版のWinnyを公開するかという問いに対しては、金子氏は「何がベストかを良く検討したい」とコメント。壇弁護士は「今回の判決であれば、情報セキュリティの観点からは、少なくとも(Winnyの)バッファオーバーフローの脆弱性については対応したい」と語った。 漏洩問題に対応というのが、具体的にどういう内容なのかが気になりますね。 Winnyにはバ
ケータイの流儀を常識と思いこむのは危険 | 水無月ばけらのえび日記
公開: 2009年8月6日14時10分頃 「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。 iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。 脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。 ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる
text/perlscript | 水無月ばけらのえび日記
更新: 2024年3月6日20時45分頃 「人気が出れば出るほど、Webブラウザは遅くなる (slashdot.jp)」という話が出ていますが、中に興味深いコメントが。 ActivePerlを使っている人は知ってると思うけど、ActivePerlをインストールするとPerlScript [activestate.com]も書けますよ。 以上、Re:JavaScriptの部分だけ別にできないの? より
国語の問題 | 水無月ばけらのえび日記
公開: 2024年3月8日17時30分頃 週刊ダイヤモンドを読んでいたら、陰山英男氏がこんな事を書かれていました。 一方、日本の国語教育はどうか。問題文に傍線が引っ張ってあり、「傍線部の主人公の気持ちは?」「傍線部で筆者が言いたいことは?」が問われる。国語の授業ではあるのだが、求められるのは道徳的価値観である。 現役時代、「傍線部の主人公の気持ち」や「傍線部で筆者が言いたいこと」を答えるのはけっこう得意でしたが、だからといって、自分が「道徳的価値観」なんてものを持ち合わせているとは思えないのですよね。 この手の問題は、「あなたはどう感じましたか?」なんてことは問題にしていません。単に、本文の内容に沿って答えられるかどうかを見ているだけです。たいていは四択ですが、その中に一つ、本文に書かれていることを言い換えただけの選択肢があります。しかし、微妙に誇張したり誤解したりしたダミーの選択肢が含ま
セッションIDが推測可能な脆弱性 | 水無月ばけらのえび日記
公開: 2024年3月9日22時20分頃 興味深いのでメモ: 「セッション ID が推測可能な脆弱性の件 (d.hatena.ne.jp)」。「JVN#07468800 futomi's CGI Cafe 製高機能アクセス解析CGI におけるセッション ID が推測可能な脆弱性 (jvn.jp)」の内容についての考察ですね。 元々はこんな生成の仕方だったようで。 my $seed = $ipaddress.$remote_port.time.$ENV{'HTTP_USER_AGENT'}; my $sid = Digest::Perl::MD5::md5_hex(Digest::Perl::MD5::md5_hex($seed)); seedのMD5ハッシュ値のMD5ハッシュ値を採用していますが、seedに乱数も何も入っていないので、生成のアルゴリズムが分かれば推測できるというお話ですね。
visited疑似クラスのビーコンを拾うサービスが登場 | 水無月ばけらのえび日記
行動ターゲティング広告は以前から存在していたが、今年の動向として新しいのは、行動を追跡する手段として、自サイトでの閲覧行動だけでなくよそのサイトでの閲覧行動まで追跡するタイプが現れたことだ。 (~中略~) 仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。 <style type="text/css> #sita-A a:visited{background:url("/beacon/site-A.gif")} #sita-B a:visited{background:url("/beacon/site-B.gif")} </style> <ul> <li id="sita-A"><a hr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なテンプレートシステムはあるのか | 水無月ばけらのえび日記