Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 | スラド IT
Google ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化を提案する [security.srad.jp] など、大手認証局の問題点を指摘していること自体は、Google 自身もルート認証局 [mynavi.jp] なことから中立性に疑問はあるものの、指摘の内容は今のところは評価できます。 しかし、その一方で、ここ最近(数か月~1年前ぐらい?)のアップデートで、Google Chrome (Windows 版) から、ユーザーが認証局名(証明書)を確認するための UI が削除されてしまいました。 どの認証局を信頼するかの決定権は、ブラウザベンダーではなく、ユーザーにあるべきです。にも関わらず、わざわざアップデートでユーザーが認証局名を簡単に確認できなくした Google の対応には大きな問題があると思います。ブラウザベンダーであり、自身もルート認
SSHのポート番号が「22」に決まった経緯を開発者のTatu Ylonen氏が公開
Secure Shell(SSH)は安全にリモートコンピューターと通信するためのプロトコルで、当時、学生だったTatu Ylonen氏が開発した技術です。SSHのデフォルトのポートは「22」番が指定されていますが、22番に決まった経緯について、当時のメールを使ってYlonen氏が明らかにしています。 SSH Port https://www.ssh.com/ssh/port 1995年にフィンランドのヘルシンキ工科大学の学生だったYlonen氏は、別のマシンに安全に接続するためのプログラムを書いていました。当時、リモートホストのシェルを利用する既存のプロトコルとしてTelnetやFTPがありましたが、いずれもパスワードを平文でネットワーク上に送信しているため、セキュリティ面に難がありました。そこで、Ylonen氏は、TelnetやFTPに代わるプログラムを設計しようと考え、「Secure
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
そろそろ俺も怒りますよ - 今日も得る物なしZ
俺と比較してお前のほうが口が悪いとかそんな事聞いてねえからそういうクソみたいなことをいう奴は死ね。 いやマジで。 前々から言ってるけど何でも俺がどうこうとかいちいち比較すんじゃねえよ。 「お前より役に立ってる」とか「お前は何もしてないんだから黙ってろ」とか知ったこっちゃねえの。分かる? 俺は「あいつなんで口が悪いの」って聞いてるの。俺より口が悪いとか聞いてないの。 アレだお前、なんか聖人君子みたいな人が現れて「高木浩光さんという方は口が悪くていらっしゃいますね」って言ったら賛同するのかって話だよ。 俺この話数ヶ月に一度毎回ブチギレながら言ってるんだけどお前ら学習能力ないのか。 スピード違反で捕まった奴が「みんなやってるじゃん」とか言い訳するのと一緒で、だからといってお前のやったことには変わりがないの。分かる?ユーアンダースタン? だから俺の口が悪いのとか関係ないの。俺の口が悪いとかお前の感
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
サウンドハウスニュース
ニュースカテゴリー 最新のニュース 巣ごもり・テレワーク 初心者セット ヘッドホン・イヤホン マイク ワイヤレス スピーカー パワーアンプ ミキサー プロセッサー ポータブルPAシステム(簡易PA) レコーダー カラオケ ギター ベース ウクレレ ドラム&パーカッション ピアノ/シンセサイザー 管楽器 弦楽器 和楽器 ハーモニカ・その他楽器 DTM・DAW DJ & VJ スタンド各種 ケーブル・コネクター各種 ラック・ケース 照明 ステージ・トラス パソコン・周辺機器 映像機器 電源周辺機器 スタジオ家具・吸音材 日用品・生活雑貨 配信機材 ニュースカレンダー 2023年6月 日 月 火 水 木 金 土 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 前月 翌月 ブランドから
Winny流出の傾向と対策 - 第1回:かろうじて「イタズラ」で済んだキンタマ系ウイルス
現在でも「キンタマ系ウイルス」もその放流データもWinny上に残っている。脅威はいまだに去っていないといえるだろう 筆者にとって、すでに終結した事象と思っていた「Winnyによる情報漏洩」が最近また相次いで「発覚」している。そこでもう一度、Winny系のウイルス、特に「キンタマ系」と呼ばれるものについて、4回に分けて考えてみたい。 そもそも「コンピュータウイルス」はアイディアの産物といえる。他のプログラムに寄生することで利用者が意図せずにPC内へと取り込まれ、実行によってPC内の別のプログラムにも寄生するという、古典的なコンピュータウイルスはある意味画期的なアイディアだったと筆者は思っている。 コンピュータウイルスはその後、プログラムだけでなくマクロでも作成可能ということをExcelウイルスで実証し、従来Windowsマシンではありえないと思われていたワーム(ネットワーク越しに感染する)が
高木浩光@自宅の日記 - 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない
■ 一太郎plug-inをIEとFirefoxで無効に 〜 ジャストシステムは本当の脅威を教えてくれない 目次 ワープロソフトの「脆弱性」とは? ゼロデイ攻撃に見舞われ続ける一太郎 「危険度:低」って正気で言ってるの? パソコン初心者並みの認識のソフト会社 「攻撃成立に必要なユーザの関与」は「積極的」か「消極的」か 知られざる一太郎ビューアplug-inの存在 受動的攻撃がもはや最大級の脅威 ジャストシステムは回答を拒否 製品ベンダーが発表しなければ危険性を周知できない 発見者の指摘があっても無視 メディアはJVN情報を伝えるときどうして発見者に取材しないの? plug-inを無効にする方法 ワープロソフトの「脆弱性」とは? 先週、新たな一太郎の脆弱性と修正パッチが公開された。「一太郎の脆弱性」と聞いて、どんなときに危険のある話だと理解されるだろうか。ジャストシステム社の告知文には次のよう
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
高木浩光@自宅の日記 - 現場でコピペしてるんだパート2 「CNETブログを封鎖せよ」
■ 現場でコピペしてるんだパート2 「CNETブログを封鎖せよ」 昨年10月、CNET Japanブログの一つに掲載されていた「時代にマッチした「サイト利用規約」を作ってみた」は、そもそも利用規約の形態になっていない上に、引用の方法を「blockquoteタグ推奨」と決め付けたり、引用元の明示方法に「直リンク」を強制するなど、他人の表現手法に指図しようとする悪例であり、そのことは昨年10月7日の日記「無思慮なサイト運営者が本来言わんとすることを利用規約の形式で書いてみた」で書いていた。その記事にはトラックバックを送っておいたが、著者の反応はなく、記事はそのままになっていた。その記事のはてなブックマークには、「これをこのままコピペする輩が続出の悪寒。blockquote推奨、とか。」といった懸念の声も出ていたが、その後も「お役立ち」などとしてブックマークされ続けており、最近でも数多く読まれて
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
