高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - 最高裁判所が電話してというので電話した
■ 最高裁判所が電話してというので電話した ボツネタ日記の「新しい裁判所のHPにリンクを貼ったときは,その旨を電話で連絡しなければならないようです。」というエントリを見て、裁判所Webサイトがリニューアルしたのを知った。 リニューアルした裁判所Webサイトには新たにプライバシーポリシーのページができていたのだが、その内容に誤りがあるため、それについてメモをとった。 裁判所Webサイトにリンクしたときは電話で連絡するよう留意せよとのことなので、出勤前の朝10時ごろ、指定されている最高裁判所事務総局広報課の番号に電話した。 私: 内線XXXXお願いします。 裁: はいお待ちください。……。ただいまお話し中です。 私: そう……ですか。 裁: 見学ですか? 私: いえ違います。 裁: 少々お待ちください。 ………… 裁: はいもしもし。 私: 裁判所Webサイトにリンクを設置しました。その場合電
高木浩光@自宅の日記 - ウハ、三井住友銀行の素晴らしいセキュリティ教室
■ ウハ、三井住友銀行の素晴らしいセキュリティ教室 昨日の日記でリンクした「シンプルな安全確認ルールと……」の講演では、「本当に伝えるべきことを誰も伝え ていない」という趣旨のことを述べたのだったが、なんと、民間事業者が 既にそれを伝えていたことを知った。 簡単! やさしいセキュリティ教室 金融犯罪に遭わないために, 三井住友銀行 すばらしい。ほぼ完璧の出来栄えだ*1。いつから公開されていたのだろう? 少なくとも10月31日には既にあったようだ。 ぼやぼやしているうちに仕事を一つ先に取られてしまった。 以下、ハイライトシーン。 そもそも「アドレスバーがない」なんて論外 簡単!やさしいセキュリティ教室, 三井住友銀行 うはは。 三井住友銀行では、このような画面によるログイン方法を提供しません 簡単!やさしいセキュリティ教室, 三井住友銀行 うひひ。 偽メールの例3 ただいまアクセス集中により
高木浩光@自宅の日記 - 「一切の著作権その他知的財産権」という定型句
■ 「一切の著作権その他知的財産権」という定型句 私としても、たまたま発見したこの件について、この状況でどのようにするのがよいのかいろいろなケースを想定して悩んだ上で、適切な解決のためにはこうするのが最善であるとの結論に至り、以下のことを日記に書き留めておくしだいです。 7月20日の夜、次のことに気付いた。Webページの日本語文に読み仮名をふって表示するWebブラウザソフト「れじぶら」が、「KAKASI」を使っている。このことはインストールしたディレクトリ(図1)を見て気付いた。 「KAKASI」はGPLで配布されているプログラムであるが、「れじぶら」には、インストーラの画面においても、配布ページにおいても、インストール後のディレクトリにおいても、GPLに関する記述はみあたらず、「KAKASI」を使用しているという説明もない。同梱のファイル「license.rtf」には次のように書かれてい
高木浩光@自宅の日記 - やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), SSL 2.0でないと接続できないサイトにアクセスするとどう..
■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか 昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。 次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。 https://www.hellowork.go.jp/ FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。 OpenSSLのdebugモードで接続してみたところ次のようになった。 $ openssl s_client -debug -connect www.hellowork.go.jp:443 CONNECTED(00000003) wri
高木浩光@自宅の日記 - 環境負荷の高いIBM広告
■ 環境負荷の高いIBM広告 電車でノートPCを使っているとき、ふと電池残量を見たところ、残り2時間半 と表示されていた。いつもなら4時間はあるはずなのに、もう電池性能が劣化 したのだろうかと疑問に思ったところ、廃熱ファンがブンブン回っているのに 気付いた。「タスクマネージャ」でCPU使用率を調べると70パーセント前後と なっていた。 Firefoxのプロセスが負荷を食っていたので、開いていた複数のタブをひとつ ひとつを閉じていったところ、ITPro のサイトを全部閉じたところで負荷は通 常に戻った。原因は、特定のバナー広告(Flashによるもの)だった。 図1は普段のCPU使用率である。この時点でFirefoxは多数のページを開いてお り、ITProの他のバナー広告のあるページも開いているところだが、概ねCPU 使用率は3パーセント以下程度である。
高木浩光@自宅の日記 - PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」
■ PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 「オレオレ証明書クイズ」なるものが実施されていたようだ。 (1) 案内文の前半にある「暗号化は正常に行われます」は正しいでしょうか。 設問が悪い。案の定、正常だと回答する人が現れ、模範解答を見て 「間違っていなかったようだ」などと言っている。 たとえば、 金庫の上にその鍵が置いてあります。この金庫は正常に機能しているでしょうか? と問うことのバカバカしさなら理解できるだろうか。あるいは、 共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します*1。この暗号は正常に機能しているでしょうか? ならどうか。暗号そのものは作動しているだろうが、それを言ったところで何 か意味があるのか? つまり、プロトコル全体として正常に機能しているかが 問われている文脈において、個々の暗号アルゴリズムが作動しているかどうか を云々す
高木浩光@自宅の日記 - 「国際フィッシングショー2005」開幕
■ 「国際フィッシングショー2005」開幕 産経新聞が「フィッシング詐欺17件通報 専用110番」と報道している。産経新聞の1月29日朝刊に 掲載されたようだ。 一方、日刊スポーツにはこんな記事が。 「国際フィッシングショー2005」(略)が28日、千葉・幕張メッセで開 幕した。(略) 今年は「家族で楽しむ 地球と遊ぶ フィッシング!」をテーマに巨大釣り堀 も設置され、特別に招待されたお年寄りたちが次々に釣れてくるニジマスに大 喜びしていた。29日と30日の一般公開では中学生以下の子供を対象に無料 開放され、1回20分12人までの交代制で実施される。(略) 「フィッシングショー2005」開幕, 日刊スポーツ, 2005年1月29日 もうなにがなんだか。 そろそろ、釣具業界や愛好者団体から「フィッシング」の名称を使わないで くれと、苦情がくるころではないか。
高木浩光@自宅の日記 - 政策の専門家達は問題の本質「欠陥の排除」からなぜ目を背けるのか
■ 政策の専門家達は問題の本質「欠陥の排除」からなぜ目を背けるのか ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」, ITmedia, 2005年2月4日 という記事が出ているが、またもや問題の本質から目が背けられている。 RSA Conference Japanの実行委員長を務める安延申氏は、「経営の問題として 情報セキュリティを考える必要がある」と指摘する。 (略)安延氏は、こうした傾向を象徴するのが、1月に発覚したゴルフ場にお けるスキミング(カード偽造)事件だと述べた。この事件では、本来ならば利 用客を守るべき立場にあるゴルフ場の支配人自ら犯行グループに加担し、貴重 品ロッカーのマスターキーを渡していた。 ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」, ITmedia, 2005年2月4日 この事件で注目すべきは次の点だろう。
高木浩光@自宅の日記 - ICカードの非接触スキミングですって? ええかげんなことぬかすな
■ ICカードの非接触スキミングですって? ええかげんなことぬかすな 今日の讀賣テレビの「ウェークアップ!」は、「狙われる銀行預金 偽造カード新手口」という特集を放送していた。 みていたところ、「日本をはじめ世界各国で捜査機関の顧問を務める人物」として紹介される*1松村テクノロジー社長の松村喜秀氏が登場し、銀行のICカードの「非接触スキミング」を実演していた。 おいおいおいおい、ちょっとまて、そんなええかげんな、根拠なしに危機感煽るなよ。 最近、金融機関では、セキュリティー対策として、偽造が極めて困難とされるICチップを導入し始めているが、これにも大きな落とし穴が! (松村エンジニアリング社長) 「これのデータはどうやって読めるかやってみましょう。 近づけるだけで、非常に早い時間で、簡単に読めます」 そこには、一瞬でカードのデータが現れた。これが、非接触型スキミング。 カードに触れずにデー
高木浩光@自宅の日記
■ Claude 3による解説:「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか 昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。 Claude:はい、この文書の意味はよく理解できます。これは、個人情報保護法の2020年改正(令和2年改正)で新設された「不適正利用禁止」規定(第19条)がどのように立案されたかについて、情報公開請求で開示された内閣法制局審査資料を基に詳細に解説したブログ記事の原稿です。 主な内容は以下の通りです: 当初、個人情報保護委員会事務局は、プロファイリングなどの新技術に対応するため、「適正な利用」義務を新設しようとしていた。 しかし、内閣法制局との審査過程で、規範の明
高木浩光@自宅の日記 - 不正アクセス禁止法 法学者の解釈
■ 不正アクセス禁止法 法学者の解釈 セキュリティホールmemoの7月14日に、奥村弁護士のはてなダイアリーの内容がまとめて取り上げられているが、背景を踏まえて注意して読む必要がある。鵜呑みにしてはいけない。 これは、あるクローズドな場で進行していた議論に並行して奥村弁護士が書かれたもの。私はその場にいたので、どのような流れの中でこの話が出たかを見ている。以下はそれを踏まえて書くもの。 紹介された主張は端的に次のものだと理解している。 不正アクセス禁止法を法律の文章そのままに解釈すると、「電子計算機の利用」とは有体物として電子計算機の利用を指し、個々の情報処理を指すと解釈することはできない。 これを原則とすると、次のことが導かれるという。 「アクセス管理者」は有体物としての電子計算機の管理者を指すことになり、その上で提供されるであろう複数の個々のサービスに管理者がいても、それは法の言うアク
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
