「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
体験せずにゲームを語る | 水無月ばけらのえび日記
公開: 2012年6月3日23時45分頃 こんな記事が……「日本人の得意領域・「ゲーミフィケーション」がやってきた! (business.nikkeibp.co.jp)」 面白そうだと思って読んでみると、こんな記述が。 これについて日本人読者のみなさんに理解していただくには、日本人が一番よく知っている『ドラゴンクエスト』というゲームを例にとると説明しやすいということだ。 本当のことを言うとドラゴンクエストについては、今回鈴木さんに教えてもらって初めて詳しく知ったことなのだが、私なりにポイントをまとめてみなさんにお伝えすることにしたい。 以上、日本人の得意領域・「ゲーミフィケーション」がやってきた! より ドラゴンクエストではゲームを起動すると最初に自分と老人しかいない狭い部屋からゲームが始まる。 (~中略~) 次に、動いていくとどうしても老人とぶつかる。ぶつかるとちょうど2人が向き合う形に
!importantの誘惑 | 水無月ばけらのえび日記
公開: 2012年2月25日23時5分頃 こういう状況がありました。 コンテンツ内に、クリックすると動いたり出たり消えたりする物体がある。その物体の動作はjQueryの animate() fade() などで制御されている特定の画面幅になったときに、その物体を非表示にしたい。特定の画面幅のときに要素を消すというのは、Media Queries (www.w3.org)を使ってdisplay: noneにすれば良いだけで、とても簡単です。 ……と、思いきや、うまく行かずに難航。調べてみると、消したい要素にstyle属性でdisplay:blockが指定されており、CSSファイル内に書いたdisplay:noneがの指定が負けていたのでした。 jQueryで要素を表示したり非表示にしたりするメソッドは、要素に対してにdisplay:blockやdisplay:noneをセットすることがありま
キヤノンはなぜ達成等級「A」を満たせなかったのか | 水無月ばけらのえび日記
7.2.4.1 ブロックスキップに関する達成基準 複数のウェブページ上で繰り返されているコンテンツのブロックをスキップできるメカニズムが利用可能でなければならない。 注記 この達成基準は,等級A の達成基準である。 以上、JIS X 8341-3:2010 7.2.4.1 より ……これで全てです。これだけではさっぱり分からないと思いますので、対応するWCAG2.0の解説を参照することをお勧めします。JIS X 8341-3:2010の達成基準7.2.4.1は、WCAG2.0の2.4.1に対応します。 Understanding WCAG 2.0 - Understanding Success Criterion 2.4.1 (www.w3.org)WCAG 2.0解説書 - 達成基準 2.4.1 を理解する (waic.jp)ここで注意する必要があるのは、何らかの方法でブロックスキップが
都道府県型JPドメインの衝撃 | 水無月ばけらのえび日記
公開: 2011年10月3日1時50分頃 JPRSが「都道府県型JPドメイン」なるものの導入を発表したことが話題に……「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 (jprs.co.jp)」。 既に「地域型JPドメイン名」というものがあります。よく知られているのは地方公共団体が使用しているドメインでしょう。たとえば東京都は metro.tokyo.jp というドメインを使っていますし、港区はcity.minato.tokyo.jpを使っています (Webはどちらもwwwをつける必要があります。http://www.metro.tokyo.jp/ (www.metro.tokyo.jp)、http://www.city.minato.tokyo.jp (www.city.minato.tokyo.jp))。 しかし、実はこれだけではありません。あま
吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
日記のタイトルに<script>alert(document.cookie)</script>が含まれると? | 水無月ばけらのえび日記
bakera.jp > 水無月ばけらのえび日記 > 日記のタイトルに<script>alert(document.cookie)</script>が含まれると?
なぜ人はTwitterに顧客の悪口を書いてしまうのか | 水無月ばけらのえび日記
公開: 2011年9月3日13時40分頃 こんな記事が……セキュリティ&プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。 セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。 それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか?」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露する
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
PlayStation Networkのパスワードを短くした話 | 水無月ばけらのえび日記
公開: 2011年6月1日23時45分頃 PlayStation Networkが復旧したという噂を聞いたので、アクセスしてみることに。 PS3 (www.amazon.co.jp)に記憶させていたパスワードでログインすると、「お客様のパスワードはご利用いただけなくなりました。パスワードを変更する必要があります」と言われて、新パスワード入力画面に。パスワード入力とパスワード確認入力の欄はあるものの、旧パスワードの同時入力がないのが気になりました……が、機器認証済みのPS3からのパスワード変更ならCSRFも関係ないはずです。そこは気にせずにパスワードを入力することにしました。 パスワードの要件は、「英数字を含む8文字以上」と表示されています。8文字あれば良いとはいえ、PlayStation Networkはまだ攻撃者から注目を浴びている状態です。新しいパスワードは、できるだけ長くて強力なもの
JUGEM管理画面、セッションID漏洩の問題を修正 | 水無月ばけらのえび日記
公開: 2011年5月22日22時15分頃 こんなリリースが出ていますね……「【重要】管理者ページセキュリティの修正と強化に関しまして (info.jugem.jp)」。 この度、PHPSESSIDが付与された管理者ページURLから外部サイトにアクセスした場合、外部サイトのアクセス解析に残ったログから、お客様のブログ管理者ページに他の方がログイン出来た可能性が判明いたしました。 (~中略~) 【弊社で確認した発生する条件】 (1)ご利用のブラウザのプライバシー設定が規定値より高く設定されていた場合 (2)セキュリティソフト等でCookieがブロックされてしまった場合 【第三者がログイン出来た条件】 上記(1)(2)のいずれかの条件を満たしたお客様が、JUGEM管理者ページ内から外部サイトへ遷移した場合に、その外部サイトのアクセス解析等にお客様の管理者ページにログイン出来るURLが表示されて
端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
取り調べの可視化と嘘の自白 | 水無月ばけらのえび日記
公開: 2010年12月30日22時10分頃 図書館の事件でも警察の捜査のあり方について議論されていますが、昨日から今日にかけて、また別な警察の話が盛り上がっていたようです。 「ジャーナリスト烏賀陽弘道さんが体験した警察の横暴」 (togetter.com)【役人殺すに刃物は要らぬ】警察の任意取り調べにおける録音は、是か非か?【録音するぞと脅しゃいい。 (togetter.com)「取調べ可視化の是非とその周辺 : 捜査実務そして公務はどうあるべきか」 (togetter.com)警察の態度云々はいったん置いておくとして、興味深いと思ったのは取り調べ可視化の話です。「犯人を自白させるためにはある程度強圧的な取り調べが必要だ」「強圧的な取り調べができなくなると警察の捜査にマイナスだ」という考え方をお持ちの方もいらっしゃるようで、興味深いですね。 まず知っておいたほうが良いと思うのは、やっても
三菱電機インフォメーションシステムズに入札参加停止措置 | 水無月ばけらのえび日記
公開: 2010年11月28日22時40分頃 岡崎市で会見があり、三菱電機インフォメーションシステムズとの契約打ち切りが発表されたそうで。こんなリリースも出ていますね……「競争入札参加資格者の入札参加停止措置を行います (www.city.okazaki.aichi.jp)」。 例によって朝日新聞の神田記者がいろいろツイートしてくださっています。 岡崎市の会見ですが、市とMDISが契約解除で本日合意したという内容です。今年9月、MDISのシステムを来年1月以降も5年間利用するという契約を市は結んでいるんですが、これはMDISが辞退するという形で撤回されました。岡崎市によると、契約の解除に伴う違約金はMDISが負担するそうです。また、次期システムの導入時期は2013年1月に延ばし、それまでは現行のMDISのシステムを使い続けるが、MDISによる保守は無償で行われることになったそうです。目新し
非実在は消えたが…… | 水無月ばけらのえび日記
公開: 2010年11月28日22時40分頃 こんな話が……「非実在青少年」を削除、再提出へ 都条例改正案 (www.itmedia.co.jp)。 漫画、アニメーションその他の画像(実写を除く)で、刑罰法規に触れる性交もしくは性交類似行為または婚姻を禁止されている近親者間における性交もしくは性交類似行為を、不当に賛美しまたは誇張するように、描写しまたは表現することにより、青少年の性に関する健全な判断能力の形成を妨げ、青少年の健全な成長を阻害するおそれがあるもの 刑罰法規に触れる行為を不当に賛美しまたは誇張する作品がまずい……ということであれば、まずは時代劇から規制した方が良いのでは。忠臣蔵なんか露骨に殺人を賛美していて、「殺人に荷担しない奴はチキンだ」という雰囲気の中で話が進むわけです。忠臣蔵に限らず、時代劇の多くは殺人を肯定的に描いています。そういう作品を青少年に見せるのはまずいのでは
岡崎市立中央図書館のサービスが停止した理由 | 水無月ばけらのえび日記
更新: 2010年8月26日0時30分頃 朝日の報道と前後して、高木さんからも情報が出ていますね……「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」。 福岡県の篠栗町立図書館のサイトにFTPサーバが立っていて、Anonymous FTPでソースコードらしきものが取得できたというお話のようで。今どきFTPのポートが開いているというだけでも驚きますが、Anonymous FTPは物凄いですね。 ※私の記憶では、Windows 2000 ServerのFTPサービスはデフォルトで匿名アクセスが有効になっていたような気がします。Windows Server 2003ではFTPを使おうと思ったこと自体がないので、最近どうなっているのかは良く分かりませんが。 ※2010-08-26追記: デフォルト設定どころ
岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目 | 水無月ばけらのえび日記
公開: 2010年8月17日0時55分頃 岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件(岡崎市中央図書館事件) (aiailifeyanase.cocolog-nifty.com)」。 そこで、私も図書館の担当者に聞いてみました。 「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この5年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなWebサイトの利用形態などは5年前には想定できなかった。」 とのことでした。 それはないでしょう。「5年前には想定できなかった」などということは、あり得ないと言って良いと思います。 絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働し
URLに%22が含まれると例外が出る問題 | 水無月ばけらのえび日記
公開: 2010年7月25日21時30分頃 IIS6でワイルドカードアプリケーションマップ使用時に、パス文字列に%22が含まれると例外が出るという問題があります。 IIS6には「ワイルドカードアプリケーションマップ」という機能があり、これを使うと、Webサーバへのアクセスを全て特定のプログラムで処理することができます。詳しくは「ワイルドカード アプリケーション マッピングをインストールする (technet.microsoft.com)」に書かれていますが、設定はとても簡単です。 bakera.jpではこの機能を使っていて、http://bakera.jp/ 以下へのリクエスト全てをASP.NETで処理するようにしています。拡張子.htmlに見えるリソースも、実はすべてASP.NETが処理しています。 この方法だと、あらゆるリクエストを特定のアプリケーションで処理できる……はずなのですが、
ゆとり時代のRPGとチュートリアル機能 | 水無月ばけらのえび日記
公開: 2010年6月16日23時35分頃 こんな記事が……「ゆとり」が「甘やかし」に化けた日本 (business.nikkeibp.co.jp)。 子供たちが熱中するテレビゲームにしても、最近はロールプレイングゲームでは「チュートリアル機能」というのがついているそうです。それはゲームをして困った時に、そこにアクセスすれば、簡単に突破する方法が分かると言うものです。 要するに、答えを出すために、あまり苦労しなくても、できてしまう。そんなゆとり世代がいきなり社会人になって、成果主義だ、なんて言われても、とても対応できないでしょう。 以上、「ゆとり」が「甘やかし」に化けた日本 より チュートリアルというのは、実際に操作をしながらルールや操作方法を学ぶ機能のことです。「困った時に……アクセスすれば、簡単に突破する方法が分かる」といったような機能ではありません。チュートリアルの最中に与えられた課
どこかで聞いたようなiPad情報流出 | 水無月ばけらのえび日記
HTTPリクエストの一部としてICC-IDを提供する際、このスクリプトはそれに付属するメールアドレスも返してくるんですね。 (~中略~) AT&Tのサーバーから応答してもらう部分は、単にウェブリクエスト内にiPad風の「User agent」のヘッダを入れて送るだけで良かったそうですよ。 この手のヘッダはユーザーのサイトのブラウザ種別を特定するものです。 ICCID (Integrated Circuit Card ID) というのは、SIMカードについている固有のIDです。WikipediaのSIMカード (ja.wikipedia.org)の項を見ると、ICCIDは19桁の番号のようですが、国や発行者を示す部分が7桁、チェックディジットが1桁あるので、残り11桁でユーザを識別していることになります。「iPad:シリアル番号、UDID、IMEI、ICCID、およびデータ通信契約番号を確認
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
