高木浩光@自宅の日記 - 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性
■ 警察庁の指示がスパイウェア感染を招き金融被害をもたらしている可能性 最近、必要もなくやたら文字を小さく表示させるWebサイトが増えている。 官公庁も例外ではない。そのくせ、「文字を大きくするには」などという案内 を用意して、曰く、「アクセシビリティ」なのだという。アホかおまえら。 作っていておかしいと思わないのだろうか。もしかすると彼らは、文字を大き くするブラウザ設定で作業しているのかもしれない。だから自分のページでは、 文字を少し小さく作りたくなるのだろう。すると、そこを閲覧する人がまた少 しブラウザの文字サイズを大きくする。そして、そこが作るページはさらにま た少し小さい文字となり、そこを閲覧する人がまた少しブラウザの文字サイズ を大きくする。つまり、文字サイズのデフレスパイラルに陥っているわけだ。 一度地獄まで落ちたらよい。 たとえば、最近リニューアルされた警察庁のトップページ
高木浩光@自宅の日記 - 岡山県と外務省が他人の著作物の知的所有権を主張中
■ 岡山県と外務省が他人の著作物の知的所有権を主張中 自治体の中で先進的と言われる岡山県の電子申請システムは、公的個人認証などに対応した電子申請のため、 利用者に専用インストーラを配布している。 配布されているのは、http://www.pref.okayama.jp/e-entry/ready/install.jar に置かれている実行形式のJavaファイルであるが、これを起動すると図1のよ うに「ライセンス利用許諾」*1なるものが現れる。 ここには次のように書かれている。 3 インストールツールに関する知的所有権 (1) 本インストールツールに関する著作権及びその他の知的所有権は、岡山県に帰属します。 岡山県, 電子署名アプレットライブラリファイルインストーラ, 「ライセンス利用許諾」 しかし、配布ページにも書かれている(図2)ように、これは、「Log4j」や 「Xalan」、「Apa
高木浩光@自宅の日記 - 宮城県がセキュリティアップデートの中止を推奨中
■ 宮城県がセキュリティアップデートの中止を推奨中 SunがJREなどの脆弱性を公表、セキュリティ制限回避の恐れも, ITmedia速報, 2005年6月15日 この脆弱性が影響するのはJava 2 Platform Standard Edition(J2SE) 5.0/同Update 1とJ2SE 1.4.2_07以前。 という記事が出ているし、3月の時点でもJPCERT/CCから次の注意喚起が出ていた。 JPCERT/CC REPORT 2005-03-30, JPCERT/CC, 2005年3月30日 これは JPCERT/CC が 3/20(日) から 3/26(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 (略) [4] Java Web Start の脆弱性 (略) Java Web Start には、本来許可されていない動作
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 と書いた。あれから2か月以上が経ってしまったが、今書いておく。 端的に言えば、「CSRF対策は所詮、荒らし対策にすぎない」 と考えられてきたためではないか。 荒らし対策をするしないは運営者の自由 あるサイトに脆弱性を発見した者が、その運営者に対してその脆弱性を直して 欲しいと希望することが、どのくらい妥当かというのは、その脆弱性によって 生じ得る危険性の種類によって異なる。 たとえば、IPA の脆弱性届出状
高木浩光@自宅の日記 - 佐賀県のアンケート結果「証明書のインストールは簡単」, いまだにプレゼント目当てに個人情報を入れさせている埼玉県, データの..
■ 佐賀県のアンケート結果「証明書のインストールは簡単」 佐賀県が電子申請システムのモニターアンケートの結果を公表している。アンケート結果の4ページ目に掲載されている「事前準備及び操作等に関する結果」は、次のように主張している。 「セキュリティ証明書」のインストールなどの事前準備、県庁ポータルID登録、 ICカードリーダ・ドライバ等のインストール、電子署名操作および全般的な 操作の各難易度については、グラフ6〜10のとおりとなっており、 全体的に「簡単」という回答が多くなっています。 佐賀県: 電子申請システム(公的個人認証サービス利用) モニター事業に係るアンケート結果 そのグラフとは次だ。 そりゃあさぞかし簡単だろうよ。なにしろ佐賀県はルート証明書を安全でない 方法でインストールさせているのだから。 佐賀県が県民に説明する証明書のインストール手順を見ると、 安全でない通信で証明書をダウ
高木浩光@自宅の日記 - 国会図書館のWebアーカイブ計画で技術的に考える余地
■ 国会図書館のWebアーカイブ計画で技術的に考える余地 5月1日の風間さんの日記で私のことについて言及されていた。コメントを書こうと思いつつ、 2か月も経ってしまった。 某研究会で発表した時に「Webから勝手に情報を収集して,こういう高度な解析をおこなうのはけしからん!」とクレームをつけられて,さらに(略) とあるが、収集したものを解析する話と、収集したものを再公開することとは 別だろう。収集したものを解析する行為に対して「けしからん」と偉い人が言っ たそうだが、驕り逞しいどこかの傲慢教授とかだろうか。 続く段落に、 高木浩光氏に相談した時には,「確かに,著作権的にはグレーな面もあると思う」というコメントを頂いた. とあるのだが、これは収集したものを再公開することについてのものだ。 さて、これは、国会図書館によるWebアーカイブ計画についての話である。 Webロボットによって収集したもの
高木浩光@自宅の日記 - 環境負荷の高いIBM広告
■ 環境負荷の高いIBM広告 電車でノートPCを使っているとき、ふと電池残量を見たところ、残り2時間半 と表示されていた。いつもなら4時間はあるはずなのに、もう電池性能が劣化 したのだろうかと疑問に思ったところ、廃熱ファンがブンブン回っているのに 気付いた。「タスクマネージャ」でCPU使用率を調べると70パーセント前後と なっていた。 Firefoxのプロセスが負荷を食っていたので、開いていた複数のタブをひとつ ひとつを閉じていったところ、ITPro のサイトを全部閉じたところで負荷は通 常に戻った。原因は、特定のバナー広告(Flashによるもの)だった。 図1は普段のCPU使用率である。この時点でFirefoxは多数のページを開いてお り、ITProの他のバナー広告のあるページも開いているところだが、概ねCPU 使用率は3パーセント以下程度である。
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
高木浩光@自宅の日記 - 他社製品は「欠陥」と報道、自社のことは「不具合」とぼかす朝日新聞社
■ 他社製品は「欠陥」と報道、自社のことは「不具合」とぼかす朝日新聞社 14日の朝日新聞朝刊に「ウィンドウズ、欠陥8件公表 ウイルス侵入の危険」という見出しの記事が出ていた。ネット版では「OSなどに欠陥 MSが修正版ダウンロード呼びかけ」という見出しになっている。こうし た記事が一般紙に出るようになったことは、今ではもう珍しくない。 ところが、22日、朝日新聞社からの告知として次の見出しの発表がなされた。 文字拡大・音声ツール「WebUD(ウェブ・ユーディー)」の不具合に関するお知らせ, 朝日新聞社, 2005年4月22日 「WebUD」において、画面を開いた際にブラウザ上で自動実行される部品に不具合があることが明らかになりました。 「WebUD」の利用者を狙った悪意あるサイトにアクセスした場合、悪意あるプログラムを実行される恐れがあります。これにより、利用者のPC内のファイルが読み取られ
高木浩光@自宅の日記 - 自動アップデートは電子署名検証が必須なのだが……
■ 自動アップデートは電子署名検証が必須なのだが…… トレンドマイクロ社の「ウイルスバスター」で、問題のある更新データを配布 してしまったために、大規模な障害が発生した。 メディア・JRなどLAN障害、ウイルス対策で不具合, セキュリティホールmemoによるまとめ 奇しくも、前日に「『重要インフラでは自然災害や人為的ミスによるIT障害への対応も』――情報セキュリティ基本問題委員会が第2次提言を公表」という話題が出ていたところだった。 重要インフラのセキュリティとか、サイバーテロとか以前から言われつつも、 具体的にどういう事態だろうか? という疑問はあったと思われるが、 こういうところ(ウイルスバスターのようなもの)がけっこうアキレス腱になっ ているのだということが明るみになった。 今でこそ Windows Updateは全自動になっているが、4年前ごろは手動だった。 そのころから「もう自動
高木浩光@自宅の日記 - PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」
■ PKIよくある勘違い(9)「『詳細設定』ボタンで証明書の使用目的を制限できる」 LGPKI Application CAルート証明書の配布は各自治体ごとに行われているが、 たとえば東京都の配布サイトでは、「安全な通信を行うための証明書 使用許諾」に同意しないとダ ウンロードできないように説明されている。ここには「禁止事項」が規定され ているのだが、認証局の公開鍵証明書をどう使おうがそんなのは利用者の勝手 だろう*1。 コースターとして使おうがちり紙として使おうが自由だ。 ましてや、「証明書」という性質のデータに著作権などあるはずもないわけで、 そもそも「使用許諾」などと称すものをここで掲げること自体、大きな勘違い に基づいているように思えてならない。 さて、東京都が規定している「禁止事項」の文は次のようになっている。 1.禁止事項 安全な通信を行うための証明書の入手と設定に当たっては、
高木浩光@自宅の日記 - セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ
■ セキュリティ商社の餌食になる思考停止事業者を自衛のため見分けよ INTERNET Watchの4日の記事によると、UFJカードがフィッシング詐欺対策ツール を導入したという。 UFJカード、フィッシング詐欺を防ぐ個人情報保護ツールを導入, INTERNET Watch, 2005年4月4日 同ツールを起動することにより、利用者がアクセスしようとしているサイトが正規のUFJカードのサイトであるか判別できる。UFJカードを装ったメールに記載されたURLを開くと、正規のページではない場合には「UFJカードとは関連のないホームページにアクセスしました。」というメッセージダイアログが表示される。 そんなことができるのか? と、にわかには信じがたい。UFJカードのプレスリ リースを確認してみると、次のように書かれていた。 本ソフトはフィッシング詐欺*1対策機能等を持っており、お客様はUFJカードホ
高木浩光@自宅の日記 - PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」
■ PKIよくある勘違い(8)「自分専用なのに第三者から証明書を買えというのはおかしい」 PKIというよりSSLにある勘違いであるが、オレオレ証明書を使うべきでないという考え方が広まってくると、今度は、自分専用のサーバなのに、「オレオレ証明書じゃだめなのか?」と考えてしまい、「自分専用なのに何万円も払って証明書を買わないといけないなんてのは、どう考えてもおかしい! 何か間違ってる!」といった思考に至ることがありそうだ。 自分専用であればオレオレのサーバ証明書で運用してかまわない。ただし、ブラウザの警告を無視して「はい」を押してはいけない。「能動的な盗聴」の被害に遭うおそれがあるという点で、SSLの機能は完全には働かないからだ。 こういうとき、Webブラウザが Firefoxであれば、次の手順で設定することで、自作のサーバ証明書で正しく安全に運用できる。 まず、サーバに自作の証明書と秘密鍵を
高木浩光@自宅の日記 - 自治体は誠実なのか不誠実なのか
県(情報企画課): あー、はい。 私: これは明らかに異常なんですけども、どうですか? 県: ……。 私: あるいは、Windows XP の SP2を入れてない、前のバージョンでやると、 「現在のセキュリティ設定ではこのページのActiveXコントロールは実行できません」 というのが出るんですよ。これはどうですか? (埒が明かない様子を略) 私: さっきの方にかわってくださいよ。 県: 少々お待ちください。 県(業者): もしもしお電話変わりました。 私: あーもしもし? 第2の問題もあるのですが、そこで「はい」を押して次の画面に 進むとですね、別のエラーが出るわけですよ。 「現在のセキュリティ設定ではこのページのActiveXコントロールは実行できません」 というのが出るんですよ。 県: はい。 私: これは駄目じゃないですか? 県: えーっと、今使われているOSは何になるんでしょうか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
