高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
高木浩光@自宅の日記 - EMOBILEのX-EM-UID、はじめから破綻, 追記
■ EMOBILEのX-EM-UID、はじめから破綻 昨日の「SSL接続で得たX-JPhone-UIDを認証に使ってはいけない」から導かれる当然の帰結であるが、EMOBILEの X-EM-UID: についても同様に、SSL接続で得たものを認証に使ってはいけない。 「IDがSSLで使えない」ではなく「SSLで得たIDを使ってはならない」である点に注意。つまり、http:// のページしか提供していないつもりでも、実はWebサーバが https:// でもアクセスできるようになっていて、同じWebアプリケーションプログラムにリクエストが渡るようになっていたりすると、https:// 経由でなりすましログインされてしまうということ。 EMOBILEの「EMnet」はProxyサーバ wm.internal.emnet.ne.jp:8080 によって提供されており、これをProxyとしてSSL接続
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
高木浩光@自宅の日記 - iTunesストアの不正アクセス被害で問題にすべきポイントは何か
■ iTunesストアの不正アクセス被害で問題にすべきポイントは何か iTunesストアで不正アクセス行為が横行しており、身に覚えのない高額な請求をされて困ったという話は、昨年の秋くらいからチラホラとブログ界隈に出ていた。たとえば以下の報告では、中国語の商品等が不正に購入された被害を示している。 iTunesのアカウント不正利用に関する一例, 2009年10月31日〜11月4日 お問い合わせいただいたアカウントロック解除のお願いについてご案内します。 アカウント名 xxxxxxxxxxx は、お客さまの事前承諾なしに商品が購入されたというお問い合わせをいただきました。不正使用で、アカウント名 xxxxxxxxxxx は、変更されていますので、○○様のアカウントを有効かする事はできません。 アカウントロック解除はできませんご了承下さい。 ○○様のもう一つのアカウント名 yyyyyyyyyy
高木浩光@自宅の日記 - Nyzillaは12月23日公開予定
■ Nyzillaは12月23日公開予定 アイコンやロゴのデザインは外注した。今回はその他の費用を含めてけっこうな額の私財を投じてしまった。 デバッグは終了。あとは、コード署名用クラス2証明書を取得するための、StartCom CAからの本人確認の郵便物が届くのを待つのみ。間に合うのだろうか。*1 Winnyネットワーク観測関係者向けの連絡事項 今回、Winnyプロトコル互換の閲覧ソフト「Nyzilla」を一般公開することにより、少なからず、Winnyネットワークの観測結果に影響を及ぼす可能性があります。すなわち、Nyzillaの利用者がWinny利用者として計数され、無視できない数に及ぶ可能性を否定しきれません。できるだけその影響を小さくするために、いくつかの工夫を施しています。 (1) Nyzillaは、標準設定ではPort0接続だけを使用するようになっています。Nyzilla利用者が
高木浩光@自宅の日記 - Nyzillaの進捗 その3
正直、ウイニーは美味しそうじゃなかったので、アルトバイエルンを加えて食べた。 Nyzillaの開発は、前回以降、以下のように進んだ。 ダウンロードテスト機能を実装 ファイル保持の真偽が陽性判定「(+)」となったものだけを対象に、ファイルの先頭の1ブロック(65536バイト)のダウンロードを要求し、得られたデータの先頭の48バイトを16進数で表示し、その1ブロックのMD5値も示す。ユーザインターフェイスは以下の図のようになった。最終出現時刻から10分以上が経過したファイルでは実行しないようにした。 陽性判定の基準を厳しくした ファイル保持の真偽の判定アルゴリズムを、より慎重に陽性と判断するように変更した。これにより、判定が変化するケースはほとんど見られなくなったが、判定が出そろうまでに要する時間はやや長くなった。 鏡面反射機能を構想 Winny側の制約により、自分のWinnyサイトを閲覧する
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://takagi-hiromitsu.jp/diary/20100409.html%23p01