高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
高木浩光@自宅の日記 - 7月から未曾有の大規模ポイゾニング実施か
写真中のミニモニタ上部中央に表示しているグラフは、5月28日の時点では図2のようになっていた。黄色の線(真ん中の線)を見ると、5月12日正午ごろから14日正午ごろにかけて明らかな異常ピークが見られる。 青の線(下の線)は、1回の巡回で観測されたキーから、キーにソースノード(当該ファイルの提供元を意味するIPアドレスとポート番号)として記されたノードの数を計数したもので、1回の巡回は20分〜30分程度である。この値は、おおよその瞬間アクティブノード数を表しているかのようにも思えるが、一巡する時間内に全ノードを巡りきれているとは限らないので、そうとは言えない*2。 この青の線は、毎日深夜にピークがあり、平日の昼間には小さい値となって、土日や祝日には昼間でも値があまり小さくならないという、安定した傾向が見られる。 黄色の線は、青の線が示すノードについて過去24時間以内に存在した数を求めた値であり
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
高木浩光@自宅の日記 - 技術用語「cache」が政治的な言葉として拡大利用される
■ 技術用語「cache」が政治的な言葉として拡大利用される そもそも「cache」とは コンピュータ用語としての「cache」は、当初はキャッシュメモリを指すものとして登場した。英単語としての「cache」の本来の意味は、辞書によれば、 cache ―n 《食料や弾薬などの》隠し場, 貯蔵所; 《隠し場の》貯蔵物; 隠してある貴重品; 【電算】 キャッシュ (cache memory). make (a) cache of… …をたくわえる. ―vt (隠し場に)たくわえる, 隠す; 【電算】 〈データを〉キャッシュに入れる. [F (cacher to hide)] 研究社 リーダーズ英和辞典第2版 とあるように隠れた蓄え場所を指すが、キャッシュメモリはまさにそれである。 下の図のように、キャッシュはメインメモリとCPUの間に配置され、キャッシュがあることによって演算の実行速度が向上す
高木浩光@自宅の日記 - ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか
■ ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか やじうまWatchによると、mixiにログインしたまま放置されていた店頭のPCを操作してプロフィールを「改ざん」した(当人曰く)という人がいて、それを著名サイトで公言していることが注目を浴びているという。いくつか反応を見てまわったところ、不正アクセス禁止法違反ではないかという議論*1があり、その中に、「パスワードを入力したわけではないから、不正アクセス行為にあたらない」などという主張をみかけた。 興味深い話題なのでちょっと検討してみる。なお、ここでは、技術的側面から行為の外形が不正アクセス禁止法3条の構成要件を満たしているかだけを検討するものであり、刑罰に値する違法性があるか否かについては検討しない。 まず、不正アクセス禁止法3条2項各号の「入力して」とは、手元のコンピュータにキーボードで入力することを
高木浩光@自宅の日記 - サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった
■ サイボウズが再び「闇改修」をしたので電話で抗議したが無駄骨だった 結果を先に言うと、サイボウズ社はセキュリティポリシーによって、(アカウントを持つユーザからしか攻撃され得ないなどの)危険な状況が少ない脆弱性については告知するが、第三者から攻撃され得る脆弱性については告知しない(更新履歴やFAQには書いておくが積極的に知らせることをしない)という方針で、今回も、過去もそうしてきたし、今後もそうしていくつもりなのだという。 複数のサイボウズ製品にセキュリティ・ホール,情報漏洩などの恐れ, 日経IT Pro, 2006年8月28日 (1)は,細工が施されたリクエストを送信されると,公開を意図していないファイル(公開用フォルダに置いていないファイル)を表示してしまうセキュリティ・ホール(略) (2)は,Office 6に関するセキュリティ・ホール(略)。細工が施されたリクエストを送信されると,
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - ITmediaが利用規約から無断リンク禁止条項を撤廃
■ ITmediaが利用規約から無断リンク禁止条項を撤廃 Webメディア御三家、つまり、INTERNET Watch、ITmedia(旧ZDNet JAPAN)、 日経IT Proと言えば、日本のWeb文化をリードしてきた新時代のマスメディアだ。 旧態新聞会社達が決して扱うことのなかった話題を、いつも期待を裏切ること なく報道してくれた頼れるメディアだ。たとえばこんな報道があったのも Webメディアならではと言えよう。 文化庁、「ディープリンクを拒否するつもりはない」, ITmediaニュース, 2002年7月10日 旧態マスメディアの主要な何社かが、記事ページへの無断リンク*1を禁止すると定めているところ、 そのナンセンスさはこれまでにも幾度となく議論されてきた。 しかし、実はITmediaが利用規約で無断リンクを禁止しているというのは、 知る人ぞ知る事実であったものの、あまり積極的に語
高木浩光@自宅の日記 - やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), SSL 2.0でないと接続できないサイトにアクセスするとどう..
■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか 昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。 次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。 https://www.hellowork.go.jp/ FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。 OpenSSLのdebugモードで接続してみたところ次のようになった。 $ openssl s_client -debug -connect www.hellowork.go.jp:443 CONNECTED(00000003) wri
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
