ものすごい発想ですが、これでも正しく動作するのが面白いですね。効率は悪いですが、それも誤差の範囲でしょう。 想像ですが、発想の経緯はこんな感じなのかしら? if(……) には必ず == や > などを含む条件式を書かなければならないと思っていて、if(foo) が発想できなかったbool値リテラルの書き方を知らず、if(foo == true) も発想できなかった文字列リテラルは知っていたので if(foo == "true") と書いてみたが、型が違うのでうまく行かなかった型を揃えるべく if(foo.toString() == "true") と書いてみたが、Javaだったのでうまく行かなかった※Javaでは == での比較は同一インスタンスかどうかを調べるので、文字列比較は equals() メソッドを使うのが定石。 そこで if(foo.toString().length == 4

公開: 2012年6月24日23時50分頃 武雄市の図書館が話題になったりしていて、ハッシュタグ #takeolibrary をたまに見たりしているのですが、keikumaさんがこんなツイートをされていました。 市長「今の検索システムは江戸時代末期のシステムです」 00:33:40 へぇ、と思って実際にサイトを見てみると……。 武雄市図書館・歴史資料館 (www.epochal.city.takeo.lg.jp)見た瞬間に呼吸が止まるほどの衝撃を受けました。 いきなりframeで、noframes要素の中身は「このページを表示するには、フレームをサポートしているブラウザが必要です」。 ないわー、江戸時代でもこれはないわー、などと思いつつ「本をさがす」のページを見てみるわけです。リンク先のURLはHTTPSなのに、HTTPSでないフレームの中に展開されて軽く驚きますが、ともあれ、実体は以下に

公開: 2012年3月15日2時15分頃 2011年9月からとのことですが、正直申しまして、全く気づいておりませんでした……。 はてなブックマークボタンは2011年9月1日より行動情報の取得をしている (d.hatena.ne.jp)ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会 (d.hatena.ne.jp)はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ (matome.naver.jp)はてなブックマークボタンを外しました (blog.tokumaru.org)はてブボタンを表示するスクリプトがスパイウェア的な挙動をしていたことが話題に (it.slashdot.jp)はてなブックマークを経由したトラッキングに関するお詫び (www.nantoka.

公開: 2011年10月3日1時50分頃 JPRSが「都道府県型JPドメイン」なるものの導入を発表したことが話題に……「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 (jprs.co.jp)」。 既に「地域型JPドメイン名」というものがあります。よく知られているのは地方公共団体が使用しているドメインでしょう。たとえば東京都は metro.tokyo.jp というドメインを使っていますし、港区はcity.minato.tokyo.jpを使っています (Webはどちらもwwwをつける必要があります。http://www.metro.tokyo.jp/ (www.metro.tokyo.jp)、http://www.city.minato.tokyo.jp (www.city.minato.tokyo.jp))。 しかし、実はこれだけではありません。あま

公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない？！多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS

公開: 2011年9月3日13時40分頃 こんな記事が……セキュリティ＆プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。 セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。 それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか？」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露する

公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター（17歳）、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にＳＱＬを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上

「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

公開: 2009年11月5日10時11分頃 サンシャイン牧場の件ですが、決済代行会社であるゼロのサポートから回答を得たという方が、公式コミュニティにその内容を書き込まれています。 以前のアナウンスに追記されたとおり、今回の話はRekoo側の問題です。が、ゼロ側でもかなり詳細な情報を把握されていて、問い合わせに対してはかなり細かいところまで回答されているようですね。興味深い内容が含まれていますので、一部引用しておきます。 ---流れ--- 1回目の購入 Kコインチャージページ ↓ クレジット決済会社ページ(メールアドレス、電話番号、クレジット情報入力) アプリ会社にメールアドレスと電話番号を渡す(クレジット情報は渡さない) 2回目以降の購入 Kコインチャージページ(前回入力したメールアドレス・電話番号の情報をページに持たせる) ↓　ここで専門知識を持った人だったらページに持たせている情報を見

行動ターゲティング広告は以前から存在していたが、今年の動向として新しいのは、行動を追跡する手段として、自サイトでの閲覧行動だけでなくよそのサイトでの閲覧行動まで追跡するタイプが現れたことだ。 (～中略～) 仕組みはこうだ。Webページのリンクは標準では青色で表示されるが、訪問済みのリンクは紫色に変わる。このリンクの表示色をJavaScriptなどのプログラムで取得することができれば、閲覧者が特定のサイトに行ったことがあるか否かを調べることができてしまう。 <style type="text/css> #sita-A a:visited{background:url("/beacon/site-A.gif")} #sita-B a:visited{background:url("/beacon/site-B.gif")} </style> <ul> <li id="sita-A"><a hr

更新: 2008年10月1日 楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。 楽天市場から届くメールを毎回配信停止にしても、次から次へとメールが届くのですがどうすれば届かないようになりますか。 (～中略～) 私は、毎日ここで一発で「配信停止」をしています。 http://emagazine.rakuten.co.jp/ns?act=chg_rmail&k=%25CIlD-u0Lwi...​ 以上、楽天市場について -OKWave より イタタタタ……。 楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す

本家コメントでは、「SSLは暗号化のためだけにあるのではなく、「信用」という大事な役割も果たしているため、Seldon氏の主張では証明書発行の存在意義を否定してしまうことにならないか？」という意見や、「ユーザビリティの観点からいえばひどい仕様だ」といった意見が寄せられているが、/.Jerの皆はどのように考えるだろうか？ 「信用」という言葉は誤解と混乱の元かもしれません。「信用できないサイト」と言われると、信用できない人が運営しているサイトであるというように言われている感じがしますが、SSL/TLSはそういう意味での「信用」とは無関係です。 証明書の警告が出ている状態というのは、「アクセスしようとしているサイトが本物かどうか確認できない」という状態です。https://example.com/ にアクセスしようとしたとき、通信相手が本当に example.com なのか、それとも examp

ヤラレチャッタ。 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。 そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。 ※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全

今期中に受け付けたソフトウェア製品の届け出69件のうち、今期中に「取扱終了」になったものが23件、「取扱中」が46件だった。ウェブサイトの届け出208件では、「取扱終了」が185件、「取扱中」が23件だった。「取扱終了」は、脆弱性の補修を確認したものや脆弱性ではなかったもののことで、安全になったもののことである。「取扱中」は、補修の完了を確認できていない、危険な状態のままのものだ。 このへんは微妙ですね。取扱終了というのは文字通り取扱を終了したという意味しかありませんので、必ずしも安全になったとは言えません。 まず、「取扱終了」には、単に「Webサイト運営者が脆弱性ではなかったと主張した」というだけのものも含まれています。 SQLインジェクションやディレクトリ・トラバーサルなどは、実際に攻撃可能であることを示してしまうとマズイため、脆弱性の存在が推察されるというレベルで届出を行うことになり

うわぁ。これは大ショックです。 アイリスプラザに不正アクセス、カード情報2万8105件流出か (internet.watch.impress.co.jp)カード番号2万8000件流出の恐れ　アイリスプラザのECサイト、SQLインジェクションで (www.itmedia.co.jp)アイリスプラザ、古いプログラムを突かれカード情報2万8000件を漏洩 (itpro.nikkeibp.co.jp)そしてお詫びとご説明 (www.irisplaza.co.jp)、FAQ (www.irisplaza.co.jp)。 Q.不正アクセスに対する対策はしていたのか？ A.ファイヤーウォールやＳＱＬインジェクション対策はしておりましたが、既に使われていない古いプログラムは対策されておらず、結果的にそのプログラムから攻撃を受けています。 「ＳＱＬインジェクション対策はしておりましたが」って言い切られてしま

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「Adobe Flash Player バージョン9.0.124.0導入環境においてベリサインセキュアドシール(Flash形式)の検証ページが表示出来ない事象について (www.verisign.co.jp)」。 Flash版のセキュアドシールが表示できないそうで。 ……しかしこれ、誰が困るのですかね。いつも思うのですが、そもそもこの「セキュアドシール」って何の意味があるのでしょうか。 ベリサインのサイトを見ると「毎日世界で約1.5億回表示」なんて書いてあるようです。シールを表示する際のログはきっちり記録されていて、それがベリサインのマーケティングに役立っているのでしょう。というわけでベリサイン側にはメリットがあるのでしょうが、これを貼る側にどういうメリットがあるのか分かりません。 ベリサインのサイトには以下のよ

IPA セキュリティセンターです。 HACKER SAFE の件につきまして、ウェブサイト運営者より、届出いただきました脆弱性に対する修正が完了したとの報告がありましたのでご連絡いたします。 HACKER SAFE（ハッカーセーフ）無料脆弱性診断（お試しスキャン） (www.hackersafe.jp)のページからリンクをたどると申し込みフォームが表示されるのですが、そのURL は以下のようなものになっています。 https://ssl.sct.co.jp/servlet/XS3/hxml/contact/check1.hxmlその筋の人(?)なら ".hxml" って何だろう? と思い、何となく拡張子を消してみたりするかもしれません。私がこのページを見ていたのはWASForum Conference 2008の2日前ですから7月2日のことなのですが、当時は以下のようなメッセージが表示され

……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ

クラブニンテンドー (club.nintendo.jp)がリニューアルされた模様ですが……。 ……昔はスクリプト無効でも各種機能が使えていたのになぁ。 そしてスクリプト無効状態だと、「会員規約の同意 (club.nintendo.jp)」ページで「同意しない」を押したとき、何事もなく次のステップに進んでしまいますね。冒頭にはこう書いてありますが、 入会を希望される方は、下の会員規約をよくお読みのうえ、同意する場合は「同意する」ボタンを、同意しない場合は「同意しない」ボタンをクリックしてください。