吹田市立図書館、謎の「サイバー攻撃」を受ける? | 水無月ばけらのえび日記
公開: 2011年9月25日11時25分頃 librahack方面がまた盛り上がっていますね。吹田市立図書館が謎の「サイバー攻撃」を受けたという話が出ているようで。 (図書館へのサイバー攻撃) 9月16日から2日間ほど、岐阜県を発信ポイントとするサイバー攻撃を吹田市立図書館が受けていました。ポイントは岐阜県になっていましたが、そこが経由地なのか実際の発信地なのかも特定できていないような説明を受けました。1秒間に5回アクセスされるような攻撃だったようですが、それで吹田市立図書館側のサーバがアクセス困難に陥ったのでした。 政治的な意図があってのことではない(愉快犯)だと思いますが、当該期間にアクセスできなかった市民には多大な迷惑が掛かりました。市は警察へ対応を申し出ています。 ※(追記);ファイヤーウォールを云々・・・という箇所を削除しました。当該記事は吹田市CIO(情報の最高責任者)から説明
PlayStation Networkのパスワードを短くした話 | 水無月ばけらのえび日記
公開: 2011年6月1日23時45分頃 PlayStation Networkが復旧したという噂を聞いたので、アクセスしてみることに。 PS3 (www.amazon.co.jp)に記憶させていたパスワードでログインすると、「お客様のパスワードはご利用いただけなくなりました。パスワードを変更する必要があります」と言われて、新パスワード入力画面に。パスワード入力とパスワード確認入力の欄はあるものの、旧パスワードの同時入力がないのが気になりました……が、機器認証済みのPS3からのパスワード変更ならCSRFも関係ないはずです。そこは気にせずにパスワードを入力することにしました。 パスワードの要件は、「英数字を含む8文字以上」と表示されています。8文字あれば良いとはいえ、PlayStation Networkはまだ攻撃者から注目を浴びている状態です。新しいパスワードは、できるだけ長くて強力なもの
JUGEM管理画面、セッションID漏洩の問題を修正 | 水無月ばけらのえび日記
公開: 2011年5月22日22時15分頃 こんなリリースが出ていますね……「【重要】管理者ページセキュリティの修正と強化に関しまして (info.jugem.jp)」。 この度、PHPSESSIDが付与された管理者ページURLから外部サイトにアクセスした場合、外部サイトのアクセス解析に残ったログから、お客様のブログ管理者ページに他の方がログイン出来た可能性が判明いたしました。 (~中略~) 【弊社で確認した発生する条件】 (1)ご利用のブラウザのプライバシー設定が規定値より高く設定されていた場合 (2)セキュリティソフト等でCookieがブロックされてしまった場合 【第三者がログイン出来た条件】 上記(1)(2)のいずれかの条件を満たしたお客様が、JUGEM管理者ページ内から外部サイトへ遷移した場合に、その外部サイトのアクセス解析等にお客様の管理者ページにログイン出来るURLが表示されて
端末の耐タンパ性とネットワークセキュリティ | 水無月ばけらのえび日記
SSLは盗聴では解読は困難ですが、MIM(Man In the Middle:中間者攻撃)を行えば、通信の内容は平文で取り出すことが可能です。 (~中略~) これまでネット家電やゲーム機では「外部からの攻撃」に対して対策が取られていました。また、ネット家電やゲーム機が直接侵入されたり踏み台にされたりしないような対策ということが論じられてきました。しかし、サーバーとの通信を密に行うようなケースでは、サーバーとの通信の2重の暗号化などの総合的な対策が必要とされます。 これはちょっとわかりにくい記事だと思いました。 まず、普通の利用者が普通に利用する際に中間者攻撃が問題になることはないはずです。サーバ証明書を検証することによって中間者攻撃を防ぐ仕組みがありますので、普通の利用者は中間者攻撃を恐れる必要はありません (PS3 (www.amazon.co.jp)自体に脆弱性がなければの話ですが)。
岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目 | 水無月ばけらのえび日記
公開: 2010年8月17日0時55分頃 岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件(岡崎市中央図書館事件) (aiailifeyanase.cocolog-nifty.com)」。 そこで、私も図書館の担当者に聞いてみました。 「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この5年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなWebサイトの利用形態などは5年前には想定できなかった。」 とのことでした。 それはないでしょう。「5年前には想定できなかった」などということは、あり得ないと言って良いと思います。 絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働し
ゆとり時代のRPGとチュートリアル機能 | 水無月ばけらのえび日記
公開: 2010年6月16日23時35分頃 こんな記事が……「ゆとり」が「甘やかし」に化けた日本 (business.nikkeibp.co.jp)。 子供たちが熱中するテレビゲームにしても、最近はロールプレイングゲームでは「チュートリアル機能」というのがついているそうです。それはゲームをして困った時に、そこにアクセスすれば、簡単に突破する方法が分かると言うものです。 要するに、答えを出すために、あまり苦労しなくても、できてしまう。そんなゆとり世代がいきなり社会人になって、成果主義だ、なんて言われても、とても対応できないでしょう。 以上、「ゆとり」が「甘やかし」に化けた日本 より チュートリアルというのは、実際に操作をしながらルールや操作方法を学ぶ機能のことです。「困った時に……アクセスすれば、簡単に突破する方法が分かる」といったような機能ではありません。チュートリアルの最中に与えられた課
どこかで聞いたようなiPad情報流出 | 水無月ばけらのえび日記
HTTPリクエストの一部としてICC-IDを提供する際、このスクリプトはそれに付属するメールアドレスも返してくるんですね。 (~中略~) AT&Tのサーバーから応答してもらう部分は、単にウェブリクエスト内にiPad風の「User agent」のヘッダを入れて送るだけで良かったそうですよ。 この手のヘッダはユーザーのサイトのブラウザ種別を特定するものです。 ICCID (Integrated Circuit Card ID) というのは、SIMカードについている固有のIDです。WikipediaのSIMカード (ja.wikipedia.org)の項を見ると、ICCIDは19桁の番号のようですが、国や発行者を示す部分が7桁、チェックディジットが1桁あるので、残り11桁でユーザを識別していることになります。「iPad:シリアル番号、UDID、IMEI、ICCID、およびデータ通信契約番号を確認
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
CSRFの評価とCVSS現状値 | 水無月ばけらのえび日記
公開: 2009年12月19日14時10分頃 Amebaスタッフブログに「Amebaのセキュリティ対策について (ameblo.jp)」という文章が出ていますね。 弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や破壊につながる可能性がある部分については即時の対応を、それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、緊急対応を行っております。 はっきりとは書かれていませんが、AmebaなうのCSRFの問題の話であるように思えます。たぶんこういうことですね。 セキュリティ監査会社による調査を実施している。報告された脆弱性は深刻度によって分類し、即時対応するもの、
サンシャイン牧場の課金システムが修正されたっぽい | 水無月ばけらのえび日記
更新: 2009年10月25日1時50分頃 サンシャイン牧場の課金システムですが、昼過ぎにとりあえずフロントのインターフェイスが停止、夕方にバックのシステムが停止しており、しばらくこのままだろうな……と思っていたら、なんと復活しているではありませんか。 問題を抱えたままの復活かと思いきや、ちゃんと修正されている模様です。修正にはもっと時間がかかるかと思っていましたが、これは速い! 良い仕事だと思います。ありがとうございます。 ※もっとも、正式な修正の報告はまだ受けていませんので、これで最終形なのかどうかはまだわかりません。 ※2009-10-25追記: いちおう、mixiコミュニティ内にて運営側から修正のアナウンスが出ています: サンシャイン牧場・課金システム修正のアナウンス ※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題について
Winnyは暴露ウィルス問題を解決できるのか? | 水無月ばけらのえび日記
公開: 2009年10月10日21時0分頃 Winny裁判は高裁では無罪ということで、まあ妥当な判断だろうと思います。それはそれとして……「この5年間は裁判に勝つことが自分の仕事だった」無罪判決を受け、Winny開発者・金子勇氏が会見 (internet.watch.impress.co.jp)。 一審の最終意見陳述で金子氏は、「情報漏えい問題に対応した改良版のWinnyを開発したが、現状ではこれを公開することもできない」と語っていた。判決が確定すれば改良版のWinnyを公開するかという問いに対しては、金子氏は「何がベストかを良く検討したい」とコメント。壇弁護士は「今回の判決であれば、情報セキュリティの観点からは、少なくとも(Winnyの)バッファオーバーフローの脆弱性については対応したい」と語った。 漏洩問題に対応というのが、具体的にどういう内容なのかが気になりますね。 Winnyにはバ
ケータイの流儀を常識と思いこむのは危険 | 水無月ばけらのえび日記
公開: 2009年8月6日14時10分頃 「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。 iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。 脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。 ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる
国語の問題 | 水無月ばけらのえび日記
公開: 2024年3月8日17時30分頃 週刊ダイヤモンドを読んでいたら、陰山英男氏がこんな事を書かれていました。 一方、日本の国語教育はどうか。問題文に傍線が引っ張ってあり、「傍線部の主人公の気持ちは?」「傍線部で筆者が言いたいことは?」が問われる。国語の授業ではあるのだが、求められるのは道徳的価値観である。 現役時代、「傍線部の主人公の気持ち」や「傍線部で筆者が言いたいこと」を答えるのはけっこう得意でしたが、だからといって、自分が「道徳的価値観」なんてものを持ち合わせているとは思えないのですよね。 この手の問題は、「あなたはどう感じましたか?」なんてことは問題にしていません。単に、本文の内容に沿って答えられるかどうかを見ているだけです。たいていは四択ですが、その中に一つ、本文に書かれていることを言い換えただけの選択肢があります。しかし、微妙に誇張したり誤解したりしたダミーの選択肢が含ま
visited疑似クラスのビーコンを拾うサービスが登場 | 水無月ばけらのえび日記
行動ターゲティング広告は以前から存在していたが、今年の動向として新しいのは、行動を追跡する手段として、自サイトでの閲覧行動だけでなくよそのサイトでの閲覧行動まで追跡するタイプが現れたことだ。 (~中略~) 仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。 <style type="text/css> #sita-A a:visited{background:url("/beacon/site-A.gif")} #sita-B a:visited{background:url("/beacon/site-B.gif")} </style> <ul> <li id="sita-A"><a hr
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なテンプレートシステムはあるのか | 水無月ばけらのえび日記
IT Pro がまたやっちゃった | 水無月ばけらのえび日記