高木浩光@自宅の日記 - ASPとかJSPとかPHPとかERBとか、逆だったらよかったのに
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
高木浩光@自宅の日記 - 電子政府の混乱解決に Java 5.0が有効かもしれない, Java 5.0を使い、こう設定しよう
■ 電子政府の混乱解決に Java 5.0が有効かもしれない LGPKIにしろ、GPKIにしろ、一般市民が安全に使いこなすのは困難という問題 は別として、とりあえず、そのやり方に従って、各ルート認証局の証明書をイ ンストールするとしよう。 しかし、18日の日記「最高裁も推奨 するオレオレ警告の無視」の事例からわかることは、 この「よくあるご質問」ページを書いた人自身が、最高裁判所認証局の証明書 をインストールしていないことを示している。「信頼できない団体によって 発行されています」と表示されているのだから。同様の事例は防衛庁の「一般利用者用マ ニュアル 申請者編」のp.23にも見られる。 なぜこんなことになっているのか。ひとつには、この警告ダイアログの意味が 理解されていないためであろうが、それは後にして、それとは別に、証明書 ストアが複数あることが使い方を難しくしているという点もある。
高木浩光@自宅の日記 - 「First Server」の認証局?, 「オレオレ証明書/認証局」が普通の言葉に, 例示用には実在しないドメイン「example.com」等を, そ..
■ 「First Server」の認証局? NHKエンタープライズ21の「RoBoCoN公式サイト」 で「問い合わせ」という部分をクリックするとジャンプする https:// のURL にアクセスしてみたところ、サーバ証明書はこうだった。 ファーストサーバ社のことだろうか? いや、残念ながら私のブラウザでは この証明書の認証パスを辿ることができなかったので、ここに記載された名前 が真正のものかどうかはまったくわからない。信じてはいけない。 サーバ証明書なのに有効期限が10年と胡散臭いところで気づけばよいか。 というより、ファーストサーバ社は「Firstserver, Inc.」 なので違うのだろう。 ちなみに、ファーストサーバ社は、2004年6月からBIZCERTという認証局サービス を提供しているようだ。 (2) RSAセキュリティ社とのチェーン認証で二重の認証 チェーン認証で「二重の認
高木浩光@自宅の日記 - フィッシング報道に見るテレビによる啓発の限界, フィッシングによるカード不正利用の被害はUFJカードだけではあるまい
■ フィッシング報道に見るテレビによる啓発の限界 今週は、フィッシング詐欺の話題を扱うテレビ番組が立て続けにあった。 日曜はTBSの報道特集、 月曜はNHKのクローズアップ現代と特集で扱われ、 そして木曜にはテレビ朝日のやじうまプラスでちょっとだけ扱われた。 やじうまプラスでは、直前に勤務先に取材申し込みがあり、 私もコメントした。 その中で限界を感じたのは、テレビで自衛策を伝えるのはどうにも無理っぽい ということだ。 5年前にソフトウェアのセキュリティ欠陥の問題に首を突っ込んだのは、当時 の私の認識として、あまりにも世間で脆弱性の存在とパッチの必要性が認識さ れておらず、その認識を変えなければどうともならないという思いがあったか らだった*1。その後、インターネットの利用が一般市民へさらに広 がりつつ、大規模なワーム被害が出るなどして、マスメディアがインターネッ トのセキュリティ問題を扱
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
