「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
Secure属性つきのCookieが読めなくても、書くことはできる | 水無月ばけらのえび日記
公開: 2013年11月10日19時50分頃 とある調査をしていて、CookieのSecure属性について確認したのでメモ。 RFC6265の4.1.2.5にSecure属性についての記述があるのですが、そこにはこんな注意書きがあります。 Although seemingly useful for protecting cookies from active network attackers, the Secure attribute protects only the cookie's confidentiality. An active network attacker can overwrite Secure cookies from an insecure channel, disrupting their integrity (see Section 8.6 for more
ドラゴンクエスト10 ログイン制限でパスワードリセットを強制される | 水無月ばけらのえび日記
公開: 2012年12月10日14時5分頃 ドラクエ10 (www.amazon.co.jp)をやろうとしたら、力強くログイン制限されていて、ログインできず。 実は昨日にこういう案内が出ています。 なお、不正アクセス被害の防止策として、不審なアクセスを検知した場合にログインを制限する仕組みを、2012年10月2日(火)に導入いたしました。※セキュリティ上、アクセス検知方法の詳細は説明を控えさせていただきます。 このシステムの導入により、お客様のログインが制限されてしまう場合がございます。もし突然ゲームへのログインができなくなった場合、以下の通りパスワードの再設定をお試しいただくことで再度ログインできるようになります。 以上、[重要]不正アクセス対策に関わるご協力のお願い より Wii本体が変更されたり、アクセス元のIPアドレスが変わったりすると「不審なアクセス」とみなすのでしょう。私は会社
ウェブデザインとはいったい何なのか | 水無月ばけらのえび日記
公開: 2012年4月11日1時25分頃 「首相官邸ホームページのリニューアル構築費用に対して製作者側からの考察 (7dw.jp)」というブログ記事を書かれている方がいらっしゃるようで。 申し訳ないのですが、最初から最後まで同意できない部分の方が多いですね。特に看過できないのがアクセシビリティの部分で、これは既に複数の方からツッコミが入れられています。 Re: 首相官邸ホームページのリニューアル構築費用に対して製作者側からの考察 (kidachi.kazuhi.to)Kotaro Kokubo - Google+ - 最近「デザイン」という言葉のひどい扱いを頻繁に目にしていたたまれない気持ちになって いたところにダメ押しのような某… (plus.google.com)「アクセシビリティに配慮すると、ビジュアルデザインが制約を受ける」「ビジュアルデザインとアクセシビリティは両立しない」という
AppLogのミログ社、解散・清算 | 水無月ばけらのえび日記
公開: 2012年4月3日22時10分頃 AppLogのミログ社、第三者委員会報告書も出してサービスの見直しと再開に向けて動いていた……と思ったら、なんと解散だそうで。 株式会社ミログの解散•清算に関して (milog.co.jp) 株式会社ミログ(本社:東京都大田区、代表取締役:城口洋平、以下「弊社」)は、平成24年4月2日をもちまして、弊社が取り組んで参りました全ての事業を売却および撤収し、会社を解散・清算することを決定致しましたので、ここにご報告申し上げます。 (~中略~) 平成23年秋より同事業がスマートフォンにおけるプライバシー問題の一例として個人情報保護の観点から社会的批判を集めはじめました。また、弊社の一部アプリケーションが無許諾で利用者様のアプリケーション情報を収集する致命的な瑕疵も発覚したため、平成23 年秋より同事業の一部終了、停止をしておりました。 こうした状況を受け
日本の数学は大丈夫なのか | 水無月ばけらのえび日記
公開: 2012年3月4日23時55分頃 こんなものが公開されていますね……「日本数学会「大学生数学基本調査」に基づく数学教育への提言 (mathsoc.jp)」。 分析の概要としては、こう書かれています。 基本調査の結果とその分析 問1では「平均の定義と定義から導かれる初歩的結論」、「少し複雑な命題 の論理的読み取り」のどちらも誤答率が高く、論理を正確に解釈する能力に問題があることを示しています。 問2。記述式入学試験を課している難関国立大学の合格者を除くと、「偶数と奇数の和が奇数になる」証明を明快に記述できる学生は稀、という結果になりました。二次関数の性質を列挙する問題では、意味不明の解答が多く、準正答のなかにも、すでに挙げた性質と重複する性質を再度挙げる解答が目立ちます。論理を整理された形で記述する力が不足しています。 問3では、平面図形を定規とコンパスで作図するということが何を意味
ドリランド カード増殖祭り | 水無月ばけらのえび日記
公開: 2012年2月26日20時55分頃 グリーのゲーム「探検ドリランド」でカード増殖祭りだそうで。 【トレードに関する不具合について】 (help.gree.jp)「探検ドリランド」 で増殖技がバレてレアカード複製祭り発生中wwwwww (jin115.com)「ドリランド」増殖バグで3000万以上荒稼ぎ!ゲームの仕様上、罪に問われず売ったもん勝ちwww (blog.esuteru.com)方法はこんな感じだったようで。 必要なもの 携帯もしくはPCを二台 gleeアカウント二つ 二台の機器でそれぞれのgleeアカウントでログインしてドリランド起動後お互いでトレードさせる トレード(受け取りはしない)が終わったら片方の機器はログアウトして二つの機器のアカウントを同じにする それぞれトレード品受け取り画面にして受け取るボタン同時押し 以上、「探検ドリランド」 で増殖技がバレてレアカード複
キヤノンはなぜ達成等級「A」を満たせなかったのか | 水無月ばけらのえび日記
7.2.4.1 ブロックスキップに関する達成基準 複数のウェブページ上で繰り返されているコンテンツのブロックをスキップできるメカニズムが利用可能でなければならない。 注記 この達成基準は,等級A の達成基準である。 以上、JIS X 8341-3:2010 7.2.4.1 より ……これで全てです。これだけではさっぱり分からないと思いますので、対応するWCAG2.0の解説を参照することをお勧めします。JIS X 8341-3:2010の達成基準7.2.4.1は、WCAG2.0の2.4.1に対応します。 Understanding WCAG 2.0 - Understanding Success Criterion 2.4.1 (www.w3.org)WCAG 2.0解説書 - 達成基準 2.4.1 を理解する (waic.jp)ここで注意する必要があるのは、何らかの方法でブロックスキップが
ミログ「第三者委員会」、驚きの提言 | 水無月ばけらのえび日記
公開: 2012年1月3日17時20分頃 AppLogやApp.tvが話題になったミログですが、「第三者委員会報告書」というものが出たようで。 第三者調査委員会の調査結果に関するお知らせ (milog.co.jp)報告書はPDFで、以下にあります。 株式会社ミログ 第三者委員会報告書 (milog.co.jp)委員会の名称が「第三者調査委員会」なのか「第三者委員会」なのか良く分かりませんが、いずれにしても中立的な第三者による調査ということですね。 しかし内容を見ると、かなり違和感のあることが書かれています。 ミログがapp.tv 及びAppLog を用いて行おうとしていたターゲティング広告それ自体については、ユーザーに対しても有用な広告が配信されるといったメリットが与えられるものであり、ユーザーに対し、収集される情報に関して十分な説明が行われ、その上でユーザーの同意が取得される場合には、こ
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
iOSのSafariがContent-Dispositionを無視する問題が修正された | 水無月ばけらのえび日記
公開: 2011年10月18日2時25分頃 既に「About the security content of iOS 5 Software Update (support.apple.com)」に出ていますが、JVNの方でも公開されました……「JVN#41657660 iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。 書いてあるまんまですが、iOS上のSafariがContent-Disposition: attachmentの指定を無視するという問題でした。 これを届け出たのは、2010年の8月のことです。9月のCSS Niteでしゃべることになっていたのですが、会場のアップルストアではWindowsマシンの持ち込みが原則禁止となっています。私はMacを持っていないのでどうしようかと思ったのですが、せっかくなので、当時話題だったiPadでプレ
AppLogが何をしようとしているのか良く分からない | 水無月ばけらのえび日記
公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より
魔法少女まどか☆マギカ ブルーレイディスク 6巻 / 11話 : ワルプルギスの夜が強すぎる理由 | 水無月ばけらのえび日記
公開: 2011年9月25日1時30分頃 魔法少女まどか☆マギカBD全6巻、その最終巻が届きました。 魔法少女まどか☆マギカ 6 完全生産限定版 Blu-ray (www.amazon.co.jp)ついにワルプルギスの夜が登場する11話、そして最終話である12話。テレビ放送の際は、CMで連呼された「謎の白い液体」が気になって仕方ありませんでしたが、BDではそんなことはないので集中して観られます。 さて11話ですが、あらためて感じたのが「ワルプルギスの夜」の圧倒的な強さ。攻撃力もさることながら、耐久力がすごいです。ロケット弾を喰らっても、タンクローリーが直撃して大爆発しても、対艦ミサイルが直撃しても、びくともしません。かすり傷を負った気配さえ感じられません。 これ、ちょっと強すぎやしないでしょうか。そもそもワルプルギスの夜は、ほむらと杏子の二人がかりで倒せると考えられていたはずです。にもかか
A3その2 : 輪廻転生の思想 | 水無月ばけらのえび日記
公開: 2011年9月18日23時0分頃 A3 (www.amazon.co.jp)について、その2です。その1からの続きです。 A3では、オウムの教義の中でも「マハームドラー」という概念が重要な役割を果たしたと指摘しています。 オウムの考え方のベースにあるのは、「輪廻転生」の思想です。「A2 (www.amazon.co.jp)では、信者の一人が「今生のためではなく、来世のそのまた先、もっと先を考えている」という主旨の発言をしています。彼らは、死者の魂が別の命として転生すると強く信じています。そして、そこには「ステージ」という概念があるらしいのです。生きていたときの行為によって、転生後の処遇 (ステージ) が変化します。悪行を繰り返すと「カルマ」がたまり、低いステージへ転生することになっているようです。 殺生は基本的に悪行とされています。そのため、彼らは肉類を食べないようにしています。ま
ほんとにあった怖い話は本当に怖い話かもしれない | 水無月ばけらのえび日記
公開: 2011年9月5日0時35分頃 なんとなくテレビを見たら、「ほんとにあった怖い話」という番組が放送されていました。実際の体験談というふれこみなのでしょうか、再現VTRの所々に体験者 (VTRの主人公) 本人によるナレーションが入るという体裁です。私が見たのは「怒りのルビー」と題された短編で、ざっくり言うとこんな感じのストーリーでした。 主人公は宝飾品店の店主店に立派なルビーの指輪が持ち込まれ、何でも良いから作り直して欲しいと依頼される持ち込んだ依頼人は異様に態度が悪く、禁煙の場所で喫煙したりそれから主人公の身にいろいろ事が起きる。怪我をしたり、奇妙な夢を見たり、指輪が締め付けられたり、店に謎の老婆が現れたりその後、依頼人は死亡結局、指輪が盗品だったことが分かる怪談なので、指輪の前の持ち主の霊 (?) だとかそういう話だったのだろうと思います。しかし、私はこのVTRを見ていて、恐怖感
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記
更新: 2011年7月10日9時20分頃 徳丸本のあれこれを実践してみて気付いたことの続きです。 前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、速すぎて心細く感じるほどでした。 アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、それに伴って負荷が高くなるといったことは起きませんでした。 というわけで、もう少し遅くしてストレッチパワーをためた方が良いのではないかと考え、調整することにしました。 ハッシュアルゴリズムの変更まず、ハッシュアルゴリズムをSHA512に変更しました。徳丸本 (www.amazon.co.jp)ではSHA256が使われていますが、SHA512の方が遅く、生成されるハッシュ値も長くなります。遅い
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「秘密の質問と答」が流出すると何が起きるのか? | 水無月ばけらのえび日記
魔法少女まどか☆マギカ ブルーレイディスク 6巻 / 12話 : アルティメットまどか | 水無月ばけらのえび日記