高木浩光@自宅の日記 - 岡崎図書館事件 日記予定
■ 岡崎図書館事件 日記予定 「岡崎図書館事件について その1」に続く今後の日記予定。 岡崎図書館事件(2) 何があったのか、図書館はどうしたのか、事実関係の聴き取り 6月20日のこと、Twitterで @librahack から言及された。見に行ってみると http://librahack.jp/ というサイトが出現していた。なんと、岡崎図書館事件で逮捕された方は不起訴処分になっていた。@librahackからフォローされていたのでダイレクトメールで連絡が欲しいとコンタクト。メールで何があったのか事実関係を…… 岡崎図書館事件(3) 業務妨害は故意がなくても犯罪だというデマの蔓延 Twitterで「逮捕はしかたない」と言う人が何人もいて驚いた。刑事責任と民事責任を混同している人、刑法の過失犯の概念を理解していない技術系と思しき人々がいる中、法律に詳しいと自称する人が、「業務妨害罪は危険犯
高木浩光@自宅の日記 - 岡崎図書館事件について その1, DoS等で業務妨害罪とされた過去の報道事例, 山形の事件は悪意ある攻撃であったことを確認(21日..
■ 岡崎図書館事件について その1 5月26日にこんな報道があった。 図書館HPにアクセス3万3000回 愛知県警 業務妨害容疑、38歳を逮捕, 朝日新聞2010年5月26日朝刊 県警生活経済課と岡崎署によると、容疑者は、4月2日から15日にかけて、岡崎市中央図書館のホームページに、計約33,000回のアクセスを繰り返し、ホームページを閲覧しにくい状態にしたという疑いがある。(略) 同課によると、容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。 図書館にサイバー攻撃, 読売新聞2010年5月26日朝刊 県警は25日、インターネット関連会社社長を偽計業務妨害容疑で逮捕した。(略) 調べに対し、アクセスしたことは認めているが、動機については話して
高木浩光@自宅の日記 - 祝!! docomoの「FirstPass」終了のお知らせ, 追記
■ 祝!! docomoの「FirstPass」終了のお知らせ docomoから「FirstPass」を終了するとの知らせが出た。これは歓迎されるべきことである。 報道発表資料:「FirstPass」(ファーストパス)のサービス終了, NTTドコモ, 2010年6月30日 「FirstPass」の何が悪いかについては、2003年に何度か日記に書いた。 通信キャリアの独占型PKIは安全なのか, 2003年6月24日の日記 セキュリティ研究者はプライバシーを理解しているのか, 2003年8月24日の日記 当時はまだブログを始めたばかりで遠慮がちに書いていたので、今読んでみると、読者層によってはわかりにくいものになっている。「FirstPass」の何が悪いのか、以下に改めて端的に書いておく。 「FirstPass」は、SSL(TLS)のクライアント認証を携帯電話に初めて導入したものであったが、こ
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - DPI行動ターゲティング広告の実施に対するパブリックコメント提出意見
■ DPI行動ターゲティング広告の実施に対するパブリックコメント提出意見 「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済, 朝日新聞, 2010年5月30日 「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ネット・ウイルス - デジタル, 朝日新聞, 2010年5月30日 この記事が今日の朝日新聞朝刊1面に出ている。紙の方の記事では「行動ターゲティング広告」と「米英では頓挫」のキーワード解説が載っている。 これは、総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言」のことだろう。「ライフログ活用サービスに関する検討について」の中に「ディープ・パケット・インスペクション技術を活用した行動ターゲティング広告について」という節がある。(電気通信事業者の取扱中に係る通信の傍受のことを指して「ライフログ」を呼ぶのには強い違和感がある
高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
高木浩光@自宅の日記 - 先週からEZ番号の変更が不可能にされていた, 追記
■ 先週からEZ番号の変更が不可能にされていた KDDI社員の方からタレコミがあった。 従来、EZ番号は、EZオプションを廃止して再加入すると新たな番号が付与されるようになっていたのだが、5月10日から、同じ個人には同じEZ番号を継続して付与するよう、システム変更があったという。その意図は、「EZ番号変更による問題行為の防止」だという。電話番号を変更してもEZ番号は変わらないようになったという。 エンドユーザのプライバシーにかかわる仕様変更であるにもかかわらず、プレスリリース等を出さずこっそり変更していることから、私から注意喚起をしてほしいとのことだった。 この情報は、とくに隠されているものではなく、聞かれたら答えられるよう各種窓口に周知されているものだそうで、以下のチラシが店頭掲示用として配布されているようだ。 KDDIのこの措置が誰の要求に応じたものなのかは知らない。 2ちゃんねるを調
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
高木浩光@自宅の日記 - KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」
■ KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 これまで、契約者固有ID(サブスクライバID)について、それ単体では「個人情報」(日本の個人情報保護法が言う)に該当しないという法解釈は存在した。それは、個人情報保護法がそういう法律だから(プライバシー保護の法律じゃないから)そういうものだという話*1だった。それでも、4月3日の日記にも書いたように、ウィルコムからは、「CPに対しても個人情報保護法に従った慎重な取扱いを求めています」という回答を得ていた。 ところが、auのKDDIが、以下のQ&Aを掲載していることに気づいた。 EZ番号(固体識別番号)を変更したい。, auお客様サポート よくあるご質問 「EZ番号」(固体識別番号)はau電話ごとに割り振られており、変更することができません。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知さ
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
高木浩光@自宅の日記 - 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
■ docomo IDを作ると生でパスワードを保管されてしまう docomo IDについて, NTTドコモ My docomo-新規登録:ご登録前の準備, NTTドコモ docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。 これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
高木浩光@自宅の日記 - 久しぶりのSwing開発で躓いたところ
■ 久しぶりのSwing開発で躓いたところ 10年ぶりにSwingでデスクトップアプリを開発し、いつのまにか本格的に実用に耐えるフレームワークに仕上がっていたのを知った。NetBeans IDEはとても快適で、API仕様の確認やAPIライブラリのソースコードの確認も簡単にできる。わからない部分があっても、Web検索をすればたいていのことが解説されているのを発見できた。しかし、それでもいくつか、解決策がすぐには見つからない点があった。せっかくなのでここに書き残しておく。 1. テキストコンポーネントのHTML機能を殺す Swingでは、登場した当初からテキストコンポーネントでHTMLが使えるようになっていた。つまり、テキストの冒頭が「<html>」で始まっていると、それ以降のテキストがHTMLとして解釈される。IEでセキュリティ問題を引き起こしたのと同根のうざい仕様だ。JavaScriptは
高木浩光@自宅の日記 - 香母酢とライムの違いから日本の異端ぶりを読み解く
■ 香母酢とライムの違いから日本の異端ぶりを読み解く 先々週、こんなニュースがあった。 児童ポルノ公開の疑い、交換ソフト利用の10人書類送検, 朝日新聞, 2009年11月7日 捜査関係者によると、書類送検されたのは、全国の10〜50代の男。いずれも世界有数の利用者がいる「Cabos(カボス)」と呼ばれるファイル交換ソフトを使い、日本人の中学生の少女を写した同じ画像をネット上から入手して自宅などのパソコンに保存。他人が閲覧できるように公開していた疑いがある。カボスは、1人がパソコン内の特定の場所に画像などのファイルを保存することで、ネットワークでつながる他のソフト利用者も入手、保存できる仕組みになっているという。 少年課が5月、児童ポルノの捜査にカボスを導入したところ、この少女の画像を多数の利用者が保存、公開しているのを確認。(略) 10人のうち3人は、すでに略式起訴され、罰金50万円の略
高木浩光@自宅の日記 - 誤報是正「無罪判決でWinny利用者増加」は誤り
■ 誤報是正「無罪判決でWinny利用者増加」は誤り Winnyノード数は無罪判決後やや増加? ネットエージェント調査, INTERNET Watch, 2009年10月14日 逆転無罪の影響か?「Winny」のノード数が増加――ネットエージェント調べ, japan.internet.com, 2009年10月14日 逆転無罪判決でWinnyノードはやや増加、ネットエージェント, @IT, 2009年10月15日 Winny裁判、判決後にノード数が増加! 〜 10月最高値を更新, RBB TODAY, 2009年10月16日 上記の報道があり、たくさんの人々がこれを鵜呑みにしたようだが、増加した事実はない。 8月22日の日記に書いたように、5月から、Winnyネットワークに対して、ランダムなIPアドレスをソースノードとした偽キーの散布が、目的不明ながら、何者かによって断続的に実施されている
高木浩光@自宅の日記 - Winny事件を振り返る
■ Winny事件を振り返る Winny作者事件の控訴審判決公判が明日となった。一審判決から3年弱が経過したが、私のWinnyに対する考え方は変わっていない。当時の考えは以下の通りである。明日の判決を受けて、今度はどんな世論が展開されるだろうか。*1 Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根, 2006年12月12日の日記 Winny作者が著作権法違反幇助の罪に問われている裁判の地裁判決がいよいよ明日出るわけだが、有罪になるにせよ無罪になるにせよ、そのこととは別に、独立事象として、Winnyネットワーク(および同様のもの)がこのまま社会に存在し続けることの有害性についての理解、今後のあり方の議論を進めるべきである。(略) これまでに書いてきた通り、Winnyは、従来のファイル交換ソフトと異なり、利用者達が意図しなくても、多くの人が流通し続ける事態は非倫理的だと思うよう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
高木浩光@自宅の日記 - はてブiPhoneアプリでログインしてはいけない