■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

■ 公衆無線LANで使うと危ないiPod touchアプリに注意 ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。 しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり（あるいは、暗号化しないところもある）、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう（そして、通信内容を読まれたり書き換えられたりする）危険性がある。 ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化（SSL等の使用）が必須という考え方になっている。 つまり、Webブラウザを使う場合であれば

■ はてブiPhoneアプリでログインしてはいけない 昨日、iPhone OS用の、はてなブックマークアプリがリリースされたのだが、 はてなブックマーク for iPhone(アプリ版)を公開しました, はてなブックマーク日記 - 機能変更、お知らせなど, 2010年2月22日 これは、下の図のように、最初のトップ画面（左）は専用アプリが表示しているものの、どれかをタップして画面を進めると、それはアプリに埋め込まれた「内蔵ブラウザ」（Safari部品）によって表示されるようになっている（中央、右）。

■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや（略）は（略）Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは

■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。 実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面（図2上）の「マイサービス」という部分の「編集」というリンクの先（図2下）にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。

はてなブックマーク（以下「はてブ」）がリニューアルされ、ブラウザからブックマークレットでブックマーク登録（以下「ブクマ登録」）しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。（この指示には従わなくてもブクマ登録はできる。） 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト（通常、はてな以外のサイト）上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。（ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。）

■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで（既に消えているようだが）こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか（パブリッシュされるのか）、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。

■ グーグル社曰く「撮影作業員は公道私道を区別するデータを持たずに走行している」 先月、メールでタレコミ（情報提供）があった。匿名ではなかったが、ここでは情報提供者のお名前は伏せておく。 情報提供者によると、集合住宅でグーグルの撮影車が駐車していたため、運転手に「公道私道の区別はついているのか」と問い質したところ、答えずに図1の文書を手渡され、会社に問い合わせるよう言われたのだそうだ。その際、運転手は逃げようとして急発進し、あやうく轢かれそうになったとか。 作業のご説明 目的・内容 現在、Google では、自社製品のひとつである Google マップの新しい機能追加のために、当該車両にて公道を走りながら、人々が一般の道路で撮影する、または眺めると同様な風景画像を収集する作業を行っております。 機器/画像 車両の運転手は Google 社員、契約した個人のいずれかです。使用する機器と、そこ

■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトＵＲＬ（https://www.bugin.cns-jp.com/）ではなく、ベースドメイン（https://www.cns-jp.com/）でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを

■ Refererを誤送信するブラウザが最近も存在する この日記の「リンク元」を見ていると、明らかにここへのリンクなどあるはずのないサイトからのRefererが送られてくることがしばしばあるのに気づく。こうしたリンク先でないところへのReferer送出は、古くは、Internet Explorer 4.0, 4.01, 5.0, 5.01のバグとして知られる。Internet Explorer 5.5以降でこのバグは解消された。さすがにもう、IE 5.01以前を使っている人はいないだろう。 その後、auの携帯電話に搭載のブラウザにこのバグが見つかって修正されたことが何度かある。（JVNでは、「脆弱性」に該当しないが「ユーザへの周知を目的としてこの問題を掲載」という扱い*1のようだ。） JVN#15243167 携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題,

■ WASF Times版「サニタイズ言うな！」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ？ Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか？ 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの？プログラムの内容からして必要のないことなのに？ そう

■ 情報処理技術と刑事事件に関する共同シンポジウムで講演予定 再来週土曜日の以下のシンポジウムで講演とパネル討論に出ます。楽しみです。 情報処理技術と刑事事件に関する共同シンポジウム 「IT技術と刑事事件を考える−Winny事件判決を契機として−」 開催日時： 平成19年2月17日（土） 10:00-17:00 開催会場： 大阪弁護士会館２階ホール ［大阪市北区西天満1-12-5］ 主催： 大阪弁護士会 刑事弁護委員会、情報ネットワーク法学会、情報処理学会 概要： 昨今の情報処理技術、特にインターネット等の発展により、情報処理技術や著作権法などの特別刑法が複雑に絡みあった刑事事件が数多く起こっております。このような事件の弁護活動には、当然ではありますが情報処理技術に関する素養、関連諸法規の知識、さらには技術や産業の発展といった多角的な見識が必要とされます。 そのような中で、ファイル共有ソフ