登場から20年、事件から10年がたったためカミングアウトしたい。 ぷよぷよ通という落ゲーがある。1994年にアーケード版で登場し、特に家庭用ゲーム機で普及し、特に対戦が面白くハマった人も多いと思う。そんな中、スコアアタックという少しマイナーである楽しみ方があった。 かつて「ゲーメスト」という雑誌があった。既に廃刊したが、アーケード版ゲームを対象にしたハイスコアランキングが熱かった。1994年初回時にぷよぷよ通の全国一スコアは67万点だったが、10年後の2004年には142万点となった。私の記憶によればこれが最終のスコアであり、さらに10年たった2014年、未だに誰も公式にこのスコアを超えてはいないと思う。 このスコアを記録したのが水無月愛理氏である。彼は、ぷよぷよ通だけでなく、初代ぷよぷよも280万点で全国一、ぷよぷよSUNも170万点オーバーで全国一と、確か3冠だったと思う。驚異的だった
更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
水無月尽 on Twitter: "「自分は勉強して高学歴になったし一流企業に就職して仕事をがんばっているのに女が手に入らない。努力しても報われていない」と嘆いていた男に、「勉強の努力は学歴と就職で報われているし、仕事での努力は評価と賃金で報われてるだろ。女は関係ない」と言ってやったら、びっくりした顔をしてた。"
「自分は勉強して高学歴になったし一流企業に就職して仕事をがんばっているのに女が手に入らない。努力しても報われていない」と嘆いていた男に、「勉強の努力は学歴と就職で報われているし、仕事での努力は評価と賃金で報われてるだろ。女は関係ない」と言ってやったら、びっくりした顔をしてた。
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
公開: 2012年3月4日23時55分頃 こんなものが公開されていますね……「日本数学会「大学生数学基本調査」に基づく数学教育への提言 (mathsoc.jp)」。 分析の概要としては、こう書かれています。 基本調査の結果とその分析 問1では「平均の定義と定義から導かれる初歩的結論」、「少し複雑な命題 の論理的読み取り」のどちらも誤答率が高く、論理を正確に解釈する能力に問題があることを示しています。 問2。記述式入学試験を課している難関国立大学の合格者を除くと、「偶数と奇数の和が奇数になる」証明を明快に記述できる学生は稀、という結果になりました。二次関数の性質を列挙する問題では、意味不明の解答が多く、準正答のなかにも、すでに挙げた性質と重複する性質を再度挙げる解答が目立ちます。論理を整理された形で記述する力が不足しています。 問3では、平面図形を定規とコンパスで作図するということが何を意味
公開: 2012年4月8日16時40分頃 首相官邸 (www.kantei.go.jp)のサイトがリニューアルしたそうで。 4500万円かかったと報じられていますが、何をやったのかが分からないので、高いか安いかは評価のしようがないですね。単純に規模から「やるべき事」を考えてみると、CMS抜きで4500万円かかっても不思議ではないと思います。戦略をみっちりやったり、それなりなCMSを入れたりすれば足りなくなるかもしれません。 そして実際にサイトを見てみると、まず、見た目だけで以下のような点が気になるわけです。 背景にうっすらと写真が敷かれていますが、肝心な部分がコンテンツの下敷きになってよく見えない上に、「首相官邸」というタイトルまわりが読みにくくなってしまっています。プロがこういう中途半端な写真の使い方をすることはまずありません。写真を見せたいならちゃんと見せるでしょうし、見せなくても良い
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
公開: 2012年6月24日23時50分頃 武雄市の図書館が話題になったりしていて、ハッシュタグ #takeolibrary をたまに見たりしているのですが、keikumaさんがこんなツイートをされていました。 市長「今の検索システムは江戸時代末期のシステムです」 00:33:40 へぇ、と思って実際にサイトを見てみると……。 武雄市図書館・歴史資料館 (www.epochal.city.takeo.lg.jp)見た瞬間に呼吸が止まるほどの衝撃を受けました。 いきなりframeで、noframes要素の中身は「このページを表示するには、フレームをサポートしているブラウザが必要です」。 ないわー、江戸時代でもこれはないわー、などと思いつつ「本をさがす」のページを見てみるわけです。リンク先のURLはHTTPSなのに、HTTPSでないフレームの中に展開されて軽く驚きますが、ともあれ、実体は以下に
また裁量労働制としながらも、納期やノルマを定められ、ときに営業といった制度対象外の仕事も要求されていたことから、要件を満たしていると認められないとして、残業代については請求通りの1136万円の支払いを命じた。 「裁量労働制だから残業代を払わなくて良い」と考えてしまっている経営者も存在するだろうと思いますが、それは大きな間違いなので注意しましょう。「裁量労働」という名前がついているかどうかは関係ありません。実態を見られます。 そもそも、裁量労働で残業代込みの支払いをしていても、深夜や休日の割増賃金は支払わなければなりません。それを払っていない場合、後で付加金つきで支払う羽目になる可能性があります。 (付加金の支払) 第百十四条 裁判所は、第二十条、第二十六条若しくは第三十七条の規定に違反した使用者又は第三十九条第七項の規定による賃金を支払わなかつた使用者に対して、労働者の請求により、これら
更新: 2008年11月7日1時55分頃 こんなのがあったのですね。「ITpro EXPO検定---全11分野で,あなたのIT理解度はいかに? (itpro.nikkeibp.co.jp)」。 セキュリティ検定の解説もあったので見てみましたが、超難問が3問ほどあったので、独自に解説してみます。 Webブラウザを狙うクロスサイト・スクリプティングは,どのような問題点によって起こるでしょうか。 A) クライアントOSの弱点(ぜい弱性) B) Webブラウザを使うユーザーの油断 C) Webブラウザの弱点(ぜい弱性) D) Webサーバーの弱点(ぜい弱性) 以上、セキュリティ検定の解説【問題2】 より 「WebサーバやWebブラウザにもクロスサイトスクリプティング脆弱性がある」という知識を問う問題ですね。XSSというと普通はWebアプリケーションの問題ですが、WebブラウザやWebサーバに問題が
公開: 2011年8月21日15時55分頃 こんなニュースが……「療養費支給額「3兆円」 都広域連合がケタ違いのミス (www.asahi.com)」。 東京都後期高齢者医療広域連合からはおわびの文書が出ていますね。 後期高齢者医療高額療養費支給決定通知書誤記載についてのお詫び (www.tokyo-ikiiki.net)後期高齢者医療高額療養費支給決定通知書の誤記載について (PDF) (www.tokyo-ikiiki.net)本来は「平成23年8月16日」「¥1,351」となるはずのものが、「平成23年80月16日」「¥3,510,000,000,000」となってしまったそうで。 その理由がちょっと驚きです。 同広域連合によると、通知書を作る際、職員がパソコン操作を誤った。支給額欄には13桁の数字を入れることになっているが、1351円を支給する場合も千の位の「1」の前にゼロを9個入力
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
公開: 2009年8月6日14時10分頃 「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。 iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。 脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。 ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる
公開: 2011年9月3日13時40分頃 こんな記事が……セキュリティ&プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。 セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。 それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか?」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露する
公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS
マチ★アソビ vol.17で「『エスカクロン』新プロジェクト発表SP~トーク&ミニライブ~」イベントが行われ、2016年7月に朗読劇が行われたオリジナルプロジェクト「エスカクロン」のアニメ化が発表されました。 「エスカクロン」公式(@escha_chron)さん | Twitter https://twitter.com/escha_chron イベントに登壇したのはavexの田中宏幸プロデューサー、声優の安野希世乃さん、安済知佳さん、アニメーション監督の水島精二さん。安野さんはかつてデビュー作の「キズナ一撃」がufotable CINEMAで上映されたときに来場して以来、マチ★アソビ参加は4度目。一方の安済さんは「初四国」でした。 このプロジェクトは、水島精二監督の「UN-GO」に安野さんと安済さんの2人が出たところから、2人が演じたアイドルのバックボーンになる物語が必要だろう……という
鳩丸について 鳩丸倶楽部 知識編 おまけ ※当然の事ながら、このサイトへのリンクは自由です。お好きなところにお好きなだけリンクしてください。
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
なにげにしらなかったんだけど、IEで別ドメインのiframeを読み込むと、そのiframe内のcookieが有効にならない。 そーゆーときは、HTTPのリクエスト時のヘッダーに下記のkey&valueを出力しておけばOKらしい。 ("P3P", 'CP="CAO PSA OUR"') こーするだけで、あらふしぎ。IEがCookieを保存してくれるじゃん。 ……。 iframeで別ドメインのコンテンツを読み込むと、そのCookieはサードパーティーのCookieとなります。IEのデフォルトでは、ポリシーが定義されていないサードパーティーのCookieは受け入れないようになっていて、P3P (www.w3.org)でポリシーを宣言すれば受け入れられるようになります。 P3Pのポリシーを定義するには、がっつりとXMLを用意する方法もありますが、HTTP応答ヘッダの中に直接書くという方法もあり、コ
Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol. 以上、RFC2616 15.1.3 Encoding Sensitive Information in URI's より HTTPSのページからはRefererは送られないようにするべき (SHOULD NOT) と書かれています。ほとんどのブラウザはこの記述に従って、HTTPSのページからHTTPへの遷移の際にRefererを送らないようにしています。 ※たとえば、http://www.b-architects.com/careers/jobs/ (www.b-architects.com) で「求人応募フ
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
更新: 2010年8月26日0時30分頃 朝日の報道と前後して、高木さんからも情報が出ていますね……「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」。 福岡県の篠栗町立図書館のサイトにFTPサーバが立っていて、Anonymous FTPでソースコードらしきものが取得できたというお話のようで。今どきFTPのポートが開いているというだけでも驚きますが、Anonymous FTPは物凄いですね。 ※私の記憶では、Windows 2000 ServerのFTPサービスはデフォルトで匿名アクセスが有効になっていたような気がします。Windows Server 2003ではFTPを使おうと思ったこと自体がないので、最近どうなっているのかは良く分かりませんが。 ※2010-08-26追記: デフォルト設定どころ
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
公開: 2011年10月10日11時30分頃 少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。 アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。 そのAppLogのサイトはこちらのようです。 AppLog (www.applogsdk.com)見ていくと、いろいろ気になることが書かれています。 まず、どんな情報が送信されるかですが、以下のように説明されています。 Android ID端末の機種情報端末のOS端末にインストールされているアプリケーションの情報端末で起動されているアプリケーションの情報以上、AppLogSDKの概要 より
公開: 2012年6月3日23時45分頃 こんな記事が……「日本人の得意領域・「ゲーミフィケーション」がやってきた! (business.nikkeibp.co.jp)」 面白そうだと思って読んでみると、こんな記述が。 これについて日本人読者のみなさんに理解していただくには、日本人が一番よく知っている『ドラゴンクエスト』というゲームを例にとると説明しやすいということだ。 本当のことを言うとドラゴンクエストについては、今回鈴木さんに教えてもらって初めて詳しく知ったことなのだが、私なりにポイントをまとめてみなさんにお伝えすることにしたい。 以上、日本人の得意領域・「ゲーミフィケーション」がやってきた! より ドラゴンクエストではゲームを起動すると最初に自分と老人しかいない狭い部屋からゲームが始まる。 (~中略~) 次に、動いていくとどうしても老人とぶつかる。ぶつかるとちょうど2人が向き合う形に
公開: 2011年8月14日0時50分頃 こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。 Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。 Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする Cookieの話は、日本では2003年から警告されている定番の話ですね。 経路のセキュリティと同時
更新: 2011年5月30日10時50分頃 徳丸さんに誘われ、徳丸本 (www.amazon.co.jp)レビュアー中心に6名ほどで飲み食いしながら四方山話をしたり。 翌日に徳丸さんはこんなつぶやきをしておられますが、 同じく昨日の一言。「パスワードのストレッチングについては効果を疑問視する声もあったが、『教科書』にベストプラクティスとして載っている以上、最低限そこまではやるべきと主張して、徳丸本の通りに実装することにした」<こういう声は嬉しいですね 以上、http://twitter.com/ockeghem/status/73526372642988032 より これは私の発言ですね。せっかくなので、もう少し流れを補足しておきます。 サーバ側でパスワードを保存する際、パスワードそのものではなく、ハッシュ関数を通したハッシュ値を保存することが良く行われます。これによって、たとえDBの値が
公開: 2009年10月3日16時35分頃 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。 はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。 つまり、こういうことですね。 docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていたその際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されてい
公開: 2010年3月28日20時50分頃 「音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する (takagi-hiromitsu.jp)」というお話が。これはひどいと思いますが、問題は2つありますね。 フォームが別ドメインになっており、その事についての説明がない「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている後者に関しては問題としてはシンプルで、単に虚偽の説明がなされているという話ですね。規約とかどうせ誰も読んでない……とは良く言われますが、掲載している本人でさえもロクに読ずにコピペしているのが実情でしょう。確認もしないで嘘を書くくらいなら、最初から書かなければ良いのにと思いますが。 それはそれとして、フォームが別ドメインになっている話は興味深いです。最近は「クラウド」とかなんとか言って外部のサーバでサ
公開: 2010年3月6日14時20分頃 モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。 携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできないこれはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。 PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送
字幕職人の朝は早い……公開: 2019年7月11日21時0分頃 2019年7月20日、JACことJapan Accessibility Conference - digital information vol.2 (japan-a11y-conf.com) が開催されました。私は実行委員、スタッフ、スポンサー担当、司会、登壇といった役割で関わりました。 なお、各セッションの内容については、セッション一覧 (japan-a11y-conf.com)をご覧ください。 個人的に最も印象に残ったのは、セッションB-5の "Ask Us Anything" の一幕。とある動画サービスで、「補聴器ユーザーの葛藤と苦悩」という番組があったのですが、なんと、そういうテーマであるにもかかわらず字幕がついておらず、補聴器ユーザーが視聴できなかったのだそうです……。 さて、そんなJACですが、一部を除いてセッシ
更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (~中略~) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi... 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す
RailsでXMLリクエストのパースに使用されているREXMLに、DoS脆弱性が発見されました。XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられたXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすることができます。大部分のRailsアプリケーションはこの攻撃に対して脆弱です。 XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリを食い尽くしてしまうのでしょう。 外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの
公開: 2009年11月10日22時5分頃 読み終わったので。 スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)スピン = 情報操作のお話。さまざまな操作の例が紹介されているのですが、興味深いと思ったのは、先に情報を出してニュースとしての価値を低下させてしまうという手法。「しんぶん赤旗」にスクープさせると、他紙が後追い取材をしなくなるとか……。民主党偽メール事件の話も非常に興味深かったですね。 ※個人的に期待していたネット情報操作の話は、最後にちょこっと出ていただけで、ほぼ既知の話でした。そこは少し残念でしたが、他の部分は読み応えがあったかと。 しかし考えてみれば、脆弱性関連の報道やリリースなんてのは「スピン」の典型例でしょうね。 私が発見・報告して報道された事例としては、最近ではサンシャイン牧場、古くはニフティのXSS、JVNアンケート
HTML4.0 の Transitional DTD を元に、各HTML のデータを加味して作成した HTMLリファレンスです。 水無月ばけらの HTMLリファレンス リファレンスを読む前に 要素リファレンス(分類順) [→アルファベット順]
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ぷよぷよ通 登場20年 事件から10年 水無月・MYK事件カミングアウト
URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記
吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
CSRF対策は基本? | 水無月ばけらのえび日記
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
日本の数学は大丈夫なのか | 水無月ばけらのえび日記
首相官邸サイトリニューアル、しかしすぐに再リニューアルが必要 | 水無月ばけらのえび日記
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
「文字はShift+JISで入力してください」 | 水無月ばけらのえび日記
経営者は裁量労働を甘く見ていないか | 水無月ばけらのえび日記
ITproのセキュリティ検定がヤバイ | 水無月ばけらのえび日記
療養費の通知書を作るシステムの仕様がすごい | 水無月ばけらのえび日記
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
ケータイの流儀を常識と思いこむのは危険 | 水無月ばけらのえび日記
なぜ人はTwitterに顧客の悪口を書いてしまうのか | 水無月ばけらのえび日記
クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記
水島精二×髙橋龍也×水無月徹のプロジェクト「エスカクロン」アニメ化が決定
HTML鳩丸倶楽部 ☆ 水無月ばけらのHTML蘊蓄サイト
パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
P3Pコンパクトポリシーをコピペするのが流行らないことを祈る | 水無月ばけらのえび日記
GoogleのHTTPS化で検索ワードのRefererが取れなくなる | 水無月ばけらのえび日記
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
岡崎市立中央図書館のサービスが停止した理由 | 水無月ばけらのえび日記
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
AppLogが何をしようとしているのか良く分からない | 水無月ばけらのえび日記
体験せずにゲームを語る | 水無月ばけらのえび日記
最近ありがちなHTTPSの罠 | 水無月ばけらのえび日記
ストレッチング採用の理由 | 水無月ばけらのえび日記
はてなが不正アクセスされた? | 水無月ばけらのえび日記
クラウドを自社ドメインで運用する苦労 | 水無月ばけらのえび日記
ガラパゴスに支えられる携帯サイトのセキュリティ | 水無月ばけらのえび日記
最近一週間ほどのえび日記 | 水無月ばけらのえび日記
楽天メールマガジン情報漏洩の話・続き | 水無月ばけらのえび日記
Railsの脆弱性: XML実体爆発攻撃 | 水無月ばけらのえび日記
スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記
水無月ばけらの HTML リファレンス