岡崎市立中央図書館のサービスが停止した理由 | 水無月ばけらのえび日記
更新: 2010年8月26日0時30分頃 朝日の報道と前後して、高木さんからも情報が出ていますね……「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」。 福岡県の篠栗町立図書館のサイトにFTPサーバが立っていて、Anonymous FTPでソースコードらしきものが取得できたというお話のようで。今どきFTPのポートが開いているというだけでも驚きますが、Anonymous FTPは物凄いですね。 ※私の記憶では、Windows 2000 ServerのFTPサービスはデフォルトで匿名アクセスが有効になっていたような気がします。Windows Server 2003ではFTPを使おうと思ったこと自体がないので、最近どうなっているのかは良く分かりませんが。 ※2010-08-26追記: デフォルト設定どころ
岡崎市立中央図書館の件、朝日新聞に | 水無月ばけらのえび日記
公開: 2010年8月22日19時0分頃 岡崎市立中央図書館の件、朝日新聞名古屋本社版に記事が出たそうで。asahi.comでも見られますね。 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが… (www.asahi.com)なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題 (www.asahi.com)ソフト会社、図書館側に不具合伝えず アクセス障害問題 (www.asahi.com)日経コンピュータと比べてもかなり踏み込んだ取材を行われたようで、問題の本質をとらえた良い記事だと思います。要するに、サービス停止の原因は図書館側のプログラムの不具合ということですね。Twitter界隈では盛んに言われていたのですが、一般の人に分かりやすく伝えるのはなかなか難しいところでした。 記事を書かれた神田大介さんは、Twitter上でもいろいろ語られています。 みなさま、おはようございます。記事
エンジャパンから情報の漏洩? | 水無月ばけらのえび日記
公開: 2010年6月4日12時10分頃 エンジャパンの関連サイトから個人情報が流出したという話が出ているようで。 エン・ジャパン情報流出を謝罪 新卒採用システムが丸見え (www.j-cast.com)個人情報漏洩に関する報道についてのお知らせ (employment.en-japan.com)正確には、提携先の「EmPro-Aid First」というサービスからの漏洩のようですね。 このたび流出が確認されたのは、弊社がウィルソン・ラーニング ワールドワイド株式会社との業務提携により、販売代理店として取扱っている採用管理システム「EmPro-Aid First」を利用して、新卒採用活動を行っている企業に応募された 9名の方に関する情報です。情報の流出原因は特定できていますので、現在、セキュリティー強化に向けての対策を講じています。 以上、個人情報漏洩に関する報道についてのお知らせ より
DNSポイゾニングによるブロッキングに意味はある? | 水無月ばけらのえび日記
なお、今回の会合で導入表明を行ったISPであるNTTコミュニケーションズとニフティでは、いくつかあるブロッキング手法のうち、「DNSポイズニング」と呼ばれる手法を検討しているという。これは、ISPの会員から自社のDNSサーバーに対して、遮断リストに含まれるホストについてのクエリーがあった場合に、ダミーのIPアドレスを返すことで該当サイトへのアクセスを遮断する方式だ。 「DNSポイズニング」って……これ、意味あるのでしょうか。ぱっと思いついただけでも以下のような問題があります。 ISPのDNSキャッシュサーバを利用しないとブロックされない。たとえば、Google Public DNSを使うだけでブロックを回避できる。ドメイン単位でのブロッキングしかできない。あるドメインの特定ディレクトリ以下にだけ問題があるような場合、問題のない部分も含めてドメイン丸ごとブロックするのか、ブロックしないかの二
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
はてなが不正アクセスされた? | 水無月ばけらのえび日記
公開: 2009年10月3日16時35分頃 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。 はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。 つまり、こういうことですね。 docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていたその際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されてい
JavaScriptのコンストラクタは値を返せる | 水無月ばけらのえび日記
公開: 2009年6月14日12時50分頃 会社で「JavaScriptのオブジェクトについて考察してみた (d.hatena.ne.jp)」という記事の話題が。内容の妥当性はさておき、興味深いと思ったのがこれ。 var o = function() { return { prop : "私はプロパティです。" } }; var obj = new o(); console.log(obj.prop); 普通はコンストラクタは値を返したりしないわけです。しかし、この例ではコンストラクタがハッシュを返すようになっていて、そのハッシュが new の結果として生成されたことになっています。これはひどいと言うべきか、凄いと言うべきか……。 オブジェクト生成時の手順はECMA-262 (www.ecma-international.org)の 13.2.2 で規定されているのですが、以下のようになっ
情報セキュリティ早期警戒パートナーシップにおいて修正がなされない場合の運用 | 水無月ばけらのえび日記
更新: 2024年3月8日15時10分頃 「続: Winny研究者がなぜウィルスによる情報漏洩の責任を問われうるか (d.hatena.ne.jp)」という話があるようですが、情報セキュリティ早期警戒パートナーシップに関する部分について少しメモしておきます。 通常であれば、IPAがガイドラインにて提示し報告を受け付ける脆弱性情報は、アプリケーション等の作者等に連絡され、相応の対応期間を経て対応が為されない場合は公開される。 「情報セキュリティ早期警戒パートナーシップガイドライン」では、取扱開始から45日後を公表の目安としています。では、45日を過ぎても修正されなかったらどうなるのでしょうか。普通に考えると「当然公開されるよね?」と思えるのですが、実はガイドラインにはその点は明記されていないのですね。 では、実際の運用ではどうなっているのかというと、期間が過ぎたので公開されたという例は見たこ
www.mozilla.comのサーバ証明書が第三者に発行される | 水無月ばけらのえび日記
公開: 2024年3月9日13時25分頃 Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に (slashdot.jp)Bug 470897 - Investigate incident with CA that allegedly issued bogus cert for www.mozilla.com (bugzilla.mozilla.org)うひゃあ。これはひどい。こういうことが起きてしまうと、エンドユーザには為す術がないわけで。 ちなみに、件の証明書は失効していてCRL(証明書失効リスト)に入っているのですが、IE6なんかはデフォルトでは「証明書の取り消しを確認する」がオフになっているので要注意ですね。 「www.mozilla.comのサーバ証明書が第三者に発行される」にコメントを書く関連する話題: セキュリティ / PKI / SSL/TLS
クロスドメインのiframeにアドレスバーを出すのはどうか | 水無月ばけらのえび日記
更新: 2008年12月3日2時10分頃 「はてなブックマークの新しい登録ブックマークレットは危険 (slashdot.jp)」。クロスドメインの疑似ダイアログ話ですが、興味深いお話が。 この話はポップアップではありませんし単純なiframeでもないのですが、とりあえずのブラウザ側の対応として、「クロスドメインのiframeには無理矢理アドレスバーを表示する」という処理があっても良いのかもしれないと思いました。 もっとも、iframeを使わずにブックマークレットのJSでform要素をいきなり動的生成することも可能で、そのような場合には対応できませんが……。 あと、表示の仕方が問題ですね。Webページ側で偽装されないようにする必要があるので、いわゆるchrome領域に表示するとなると……iframeの数だけアドレスバー増殖? やってやれないことはないようにも思いますが、大変なことになりそうで
吉本興業が丸見え系で情報流出 | 水無月ばけらのえび日記
公開: 2024年3月9日23時55分頃 「吉本興業、顧客情報1万5836件がネットで一時閲覧可能な状態に (internet.watch.impress.co.jp)」。 吉本興業によれば、2008年4月から7月にかけてサーバーの管理会社を移管した際、サーバーの1つにセキュリティの不備があったことが原因としている。11月12日に、外部からの指摘を受けて不備を修正した。 流出の状況については、http://www.yoshimoto.co.jp/cgi-bin/ のGoogleキャッシュ (209.85.175.104)が雄弁に物語っていますね。 ※さすがに実体は Not Found になっています。 今年は2008年ですよ? 先日の本 (www.amazon.co.jp)にも書きましたが、TBCが同じようにやっちゃったのは2002年の話です。いまだにこういうことがあるというのは、なんとい
楽天メールマガジン情報漏洩の話・さらに続き | 水無月ばけらのえび日記
多くの場合、セッション情報や認証情報を含むようなURLは一時的なものになっていて、一定時間経つとで使えなくなったりします。が、楽天のこれはそういう感じではなくて、無期限に使えるものだったようです。 この「k=......」のパラメータ部分ですが、セッションIDではなく、当該ユーザのメールアドレスを何らかのアルゴリズムで暗号化しただけのものっぽいです。 Googleで5個ほどの事例を見てみたところ、この「k=......」パラメータの文字列長は、どれもその人のメールアドレスの文字列長 + 4 となっていました。 以上、http://slashdot.jp/security/comments.pl?sid=420884&cid=1429556 より
ベリサインのセキュアドシールは役に立つのか | 水無月ばけらのえび日記
セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (www.verisign.co.jp)」。 Flash版のセキュアドシールが表示できないそうで。 ……しかしこれ、誰が困るのですかね。いつも思うのですが、そもそもこの「セキュアドシール」って何の意味があるのでしょうか。 ベリサインのサイトを見ると「毎日世界で約1.5億回表示」なんて書いてあるようです。シールを表示する際のログはきっちり記録されていて、それがベリサインのマーケティングに役立っているのでしょう。というわけでベリサイン側にはメリットがあるのでしょうが、これを貼る側にどういうメリットがあるのか分かりません。 ベリサインのサイトには以下のよ
最近一週間ほどのえび日記 | 水無月ばけらのえび日記
字幕職人の朝は早い……公開: 2019年7月11日21時0分頃 2019年7月20日、JACことJapan Accessibility Conference - digital information vol.2 (japan-a11y-conf.com) が開催されました。私は実行委員、スタッフ、スポンサー担当、司会、登壇といった役割で関わりました。 なお、各セッションの内容については、セッション一覧 (japan-a11y-conf.com)をご覧ください。 個人的に最も印象に残ったのは、セッションB-5の "Ask Us Anything" の一幕。とある動画サービスで、「補聴器ユーザーの葛藤と苦悩」という番組があったのですが、なんと、そういうテーマであるにもかかわらず字幕がついておらず、補聴器ユーザーが視聴できなかったのだそうです……。 さて、そんなJACですが、一部を除いてセッシ
ブラウザの DoS 話 | 水無月ばけらのえび日記
「IE6を一行でクラッシュさせるコード (slashdot.jp)」。ちなみにこの手のクラッシュを IPA 経由で届け出ると、MS は「脆弱性じゃありませんがありがとう」という感じの反応をして、特に何事もなく終了します。そのうち直るかもしれませんし直らないかもしれません。そんなもんです。 実はブラウザに対する DoS ってあまり深刻な問題として受け止められないのですよね。というのも、ブラウザに対する DoS 攻撃はあまりにも容易だからです。たとえば、 なんてのが実行されると、たいていのブラウザは DoS 状態になります。しかし、だからといってブラウザ側で有効な対策ができるわけでもありません。これはそういうものだとしか言いようがありませんので、「Web ブラウザは悪意あるサイトにアクセスすると DoS 状態になることがある」ということが前提になってしまいます。 ※ちなみにこの攻撃はスクリプト
RSSで任意のドメインに誘導されてしまう脆弱性 | 水無月ばけらのえび日記
「tDiaryの脆弱性に関する報告(2007-07-23) (www.tdiary.org)」……って、これ、えび日記のRSSが脆弱という話とまるっきり同じですね。RSSが変だと指摘されて……という流れまで全く同じです。 そういえば脆弱性の詳細を書くと言いつつ全く書いていなかったので、深く反省。改めて書いておきます。 えび日記の RSS の脆弱性についてこの「えび日記」は RSS 1.0 のフィードを生成していますが、そのフィード中の URL のドメインを任意のものに変えられてしまうという脆弱性がありました。 RSS の中では絶対 URL が必要になりますが、Web アプリケーションが自身の「正しい」絶対 URL を知るのは意外に難しいのです。たとえば ASP.NET の場合、Request.Url の値を取ると現在の URL が分かるのですが、このとき、ドメインは単にリクエストの Hos
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とある職務質問の様子 | 水無月ばけらのえび日記
QRコード上書きでフィッシング | 水無月ばけらのえび日記
攻撃が増加中? | 水無月ばけらのえび日記
脆弱すぎる | 水無月ばけらのえび日記