高木浩光@自宅の日記 - 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた
■ 「Tポイントカード3人に1人が持つ」は本当か、街角で聞いてみた 先週、マイナンバー制度(納税番号制度(aka 共通番号制度))のICカード配布の話の流れで、(住基カードが4%しか普及していないのに)TSUTAYAのTポイントカードは「今や国民の3人に1人が持つ」という話*1が話題になっていた。「共通番号を官民で使えばカードを1枚にできる」などといった主張も出ていた。 その一方で、本当にそんなにたくさんの人が持ってるのか疑問だとの声も出ていた。「レジから聞こえてくる声に耳を傾けていると、Tポイントカードを持ってる人なんて存在しないんじゃないかと思えてくる。」という声もあった。(「Togetter - 「「ポイントカードはお持ちですか」への反応」」参照)。
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
高木浩光@自宅の日記 - Winny稼動コンピュータ数調査の追試をしてみた
■ Winny稼動コンピュータ数調査の追試をしてみた Winnyネットワークの規模(同時稼動ノード数)の推計については、古くは3年前のネットアーク社の松本氏によるもの、そしてネットエージェント社の杉浦氏によるもの、さらに最近ではeEye Digital Security社の鵜飼氏らによるものがある。 ネットアーク、P2Pノードの自動探索システムを稼働, INTERNET Watch, 2003年7月14日 ネットアークは14日、P2Pノードの自動探索システム「P2P FINDER」を稼働開始したと発表した。WinMXとWinnyの国内ノードが対象となっており、6月3日から7月14日までに20万5,597ノードが発見されたとしている。 ネットアーク、8月1日時点でのWinnyとWinMXの利用者数は56万ノード, INTERNET Watch, 2003年8月4日 株式会社ネットアークは、同
高木浩光@自宅の日記 - 釣れなかったので募集したい
■ 釣れなかったので募集したい 前回の日記で、「Winny可視化のため、WebブラウザにWinnyプロトコルハンドラを」ということを書いた。たとえば「winnytp://61.117.156.245:7743/」というURLでアクセスすると、そのコンピュータのポートで公衆送信可能化されているファイルの一覧表が表示されるという仕組みだ。 このような形態のアクセスについて、「不正アクセス禁止法の不正アクセス行為にあたるのではないか」といった声が出るのではないかと予想したのだったが、全く出てこなかった。出てきたら反論しようと予定していたのに残念だ。 というわけで、結論はもうわかっている(不正アクセス行為には該当しない)にせよ、もし不正アクセス行為と見なそうとしたらどのような根拠が考えられるか、根拠を募集したい。 参考資料: 不正アクセス行為の禁止等に関する法律 (平成十一年八月十三日法律第百二十
高木浩光@自宅の日記 - 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容
■ 編集長が見て見てと言うので買ったネットランナー5月号の仰天内容 4月12日の日記「Winny利用教唆本のセキュリティ対策指南、その仰天内容」のリンク元を辿ったところ、 今月Winny特集やってるから、高木さんに取り上げてほしいなあ。 d.hatena.ne.jp/kgoutsu/, 2006年4月13日 という記述があった。どうやらこのブログ主は、「ネットランナー」の編集長の方らしい。 たしかに、Winnyの話題で「違法行為を蔓延させた刑事責任は出版社にある」という指摘が出てくるときに真っ先に槍玉に挙がるのは「ネットランナー」であることが多いが、実際のところ同誌はそれほど悪質なものではなく、セキュリティ対策をキチンと啓蒙するなどの良い点もあるとの主張を耳にすることもあった。 ネットランナーはほとんど読んだことがない*1ので、昔どういう内容だったとかは知らないが、編集長がこうおっしゃるく
高木浩光@自宅の日記 - 攻撃者視点ではなく開発者視点での解説を
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
