水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年1月

2004年1月

2004年1月31日(土曜日)

ビック長期保証

ビック長期保証 (www.biccamera.com)って、「ポイント 5% を使って追加できる」と説明受けますが、これは実際につくポイントから -5% なのではなくて、購入金額の 5% に相当するポイントを消費するのですね。

普通はどちらも同じなのですが、ポイントを使って買うときには注意が必要です。たとえば、2万円でポイント還元率 13% のものを購入して長期保証をつけるとしますと、ポイントを使わない場合は

となります。この場合はポイント還元率 13% のところ、長期保証をつけると 8% の還元率になる、という理解で問題ないのですが、ここでたとえば 1万ポイントを使った場合、

となります。この場合でも長期保証加入に必要なポイントはあくまで 1000 ポイントなので、「13% が 8% になる」という話にはならないのでした。

関連する話題: 買い物

2004年1月30日(金曜日)

200億円

三村量一裁判長はまず、発明の対価を604億円と算定。そのうえで、発明者の中村修二・米カリフォルニア大学教授(49)が発明対価の一部として勤務していた会社に請求していた200億円を全額認めて同社に支払いを命じた。

以上、asahi.comの青色LED訴訟、200億円支払い命令 東京地裁 より

基本的に原告が請求していないものを給付させることはできないので、604億と査定しても請求されている 200億分しか認められないわけです。

では最初からたくさん請求しておけば良いのでは、と思いがちですが、そうすると訴状に貼らなければならない印紙の額が増えるという罠があります。

しかし、訴額 200億円でも印紙はものすごい額になったと思いますが……いくらなんだろ。

関連する話題: 法律

MBSA1.2

何となく Microsoft Baseline Security Analyzer (MBSA) 1.2 (support.microsoft.com) をインストールして実行してみました。

…… MSXML 3.0 SP4 を入れろと言われたのでインストール。あとはこのへん。

他はほぼ問題ないんですが、あるマシンでこんなん言われるのですよね。

ファイルバージョンは予期されたより新しいバージョンです。

新しいんだから問題はないと思いますが、これはこれで微妙に怪しい気が……。

関連する話題: セキュリティ / Microsoft

Eolas問題はどうなるのか

MS、プラグイン特許訴訟に伴うIE修正を保留 (www.itmedia.co.jp)」。

どっちでも良いのですが、早くハッキリして欲しいなぁ……。

関連する話題: UA / Internet Explorer

2004年1月29日(木曜日)

ASKACCS さらにさらに続報

2ちゃんねるの件は ACCS 側からもアナウンスが出ましたね。「緊急のご報告 (www.askaccs.ne.jp)」。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

ウィルス警告 spam

最近 Novarg (MyDoom) やら Beagle (Bagle) やらが流行っていますが、むしろ気になるのは「ウイルス感染警告が鬱陶しい」という話です。メールのウィルスチェックはもはや常識レベルになっていると思いますが、サーバによっては、ウィルスを検出するとその送信者に対して「あなたからウィルスが送られました」(訳: ウィルス送ってくるなゴルァ!) というメールを送り返すものがあります。

しかし、最近のウィルスの多くは From:エンベロープ From を捏造していて、全く関係ない第三者のメールアドレスを騙っていたりします。そういうウィルスに対して「ウィルス送ってくるなゴルァ!」を返信しても意味がないばかりか、関係ない人に spam を送りつけるという結果になります。私はこれを勝手に「ウィルス警告 spam」と呼んでいますが、今流行している Novarg もしっかり From を捏造しているわけで、ウィルス警告 spam の被害もばかになりません。

というようなわけで、送信者にウィルス警告を通知するような設定は無効にしてもらいたい今日この頃。たとえば、Symantec 製品だと「Exchange リアルタイム保護の送信者への警告メール機能を無効にする方法 (service1.symantec.com)」が参考になるでしょう。

本当はデフォルト無効が良いと思うのですけれど、まあこんな感じで無効にしていただけるとウィルス警告 spam が減って幸せになれるかもしれません。

関連する話題: セキュリティ / spam / メール / MTA

XP+IE の新 Exploit

「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告 (www.itmedia.co.jp)」。これは凄いです。Exploit を試してみましたが、ピュアに踏んでしまいました。

しかも、肝となる部分は「悪意ある HTML ファイルに拡張子 .folder をつける」という、とっても簡単お手軽なものだったりします。「悪意ある HTML」がちょっと難しいですが、mhtml のアレで……。

これは正直キツいです。「ファイルを開くのはマズい場合があるが、フォルダを開く分には問題ない」などという認識は改める必要がありますね。

関連する話題: セキュリティ / Microsoft / Windows XP / Internet Explorer

2004年1月28日(水曜日)

ASKACCS さらに続報

2ちゃんねるの件、A.D.2003 から正式にコメントが出たようですね。「国立大学研究員によりなされた個人情報漏洩問題に関する調査報告 2chにおける該当資料の流出について (www.ad200x.net)

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

続・鳩丸高速化計画その12・日記も DataTable

掲示板の DataTable化は特に問題も出ておらず成功だったようなので、日記側も DataTable 化して高速化することに。色々悩みましたが、何も考えずに Topic のインスタンスをそのまま DataTable に投入する方向で。

しかし微妙なのが「次の日記」の処理。「日付が特定日以前」という条件で「日付で降順ソート」しつつ抽出して先頭の要素を取得、なんて事をしているのですが、「日付が特定日以前のものの中で一番新しいもの」を一発で抽出できないのでしょうか。できそうな気はするのですが、例によってやり方が……。

あと、「最新の日記から 7日以内」というのも微妙。Select("[Date]=Max([Date])") で最新のものと同じ日付を持つものが抽出できたりしますが、7日以内ってどうすれば良いのかしら。Select("[Date]=Max([Date])-7") なんてやってもエラーになるだけですし。

※DateTime型で格納するのをやめて、DateTime.Ticks の値(long型) を格納しておいてそれを使う、というのもひとつの手ですが……。

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

窓使いの憂鬱 for Windows XP

単純に、普通にダウンロードできる 3.28 は Windows XP に対応していないのだそうで。

謎の test ディレクトリで公開されている 3.29 を入れてみたところ、とりあえず問題ないみたい。

関連する話題: 出来事

最悪

2ちゃんねるで例の資料が全世界に大公開。最悪。何を考えてるんだ?

「漏洩の事実は確認できなかった」とか言われると「じゃあ確認させてやろうじゃないか」と思ってしまうのは分からないでもないのですが、超えてはならない一線があるはず。

関係者が沈黙を守った (沈黙を守らざるを得なかった) ことが裏目に出たか……。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

2004年1月27日(火曜日)

窓使いの憂鬱

更新: 2004年1月28日

標準でない キーボードドライバを利用していると WindowsNT/2000 が青画面になって終了してしまうことがあります。

以上、窓使いの憂鬱 - MANUAL より

それはたとえばこんな感じですね。

[写真 : mayud.sys のエラーでブルースクリーン出ちゃってます。]

WindowsNT/2000 だけでなく、Windows XP でも行けるみたいです。しくしく。

そのような場合は、標準でないドライバをアンインストールするか、「窓使いの憂鬱」の利用をあきらめるしかありません。

以上、窓使いの憂鬱 - MANUAL より

む、無念なり。

※2004-01-28 追記 : 単にバージョン 3.28 は Windows XP に対応していないのだそうで。3.29 にしたら問題ありませんでした。

関連する話題: 出来事

2004年1月26日(月曜日)

早速悪用

ITmedia エンタープライズ:米テロ対策法を逆手に取る詐欺メールが横行 (www.itmedia.co.jp)」。米テロ対策法はともかくとして、例の URL 表示捏造 exploit が早速悪用されているというのが何とも。

関連する話題: セキュリティ

2004年1月25日(日曜日)

ラストサムライ

眼鏡には慣れが必要な感じなので、テストを兼ねて出かけることに。

物を見るテストなんだからということで映画を見ることにしました。映画は「ラストサムライ (www.amazon.co.jp)」。主役のトム・クルーズと共演の渡辺謙が評価されているようですが、個人的には福本清三 (cozalweb.com)がハリウッドデビューした映画ということで気になっていたのでした。

ネタバレになりそうな気がするので内容については割愛。

全然関係ありませんが、スタッフロールに CHAIN MAIL ASSEMBLY という役職が。日本の鎧って CHAIN MAIL の範疇になるんですね。

関連する話題: 買い物

2004年1月24日(土曜日)

眼鏡をゲット

眼鏡をゲット。

ちょっとかけてみましたが、距離感がちょっとおかしくて危なっかしいです。

慣れが必要なのでしょうね。

関連する話題: 買い物

2004年1月23日(金曜日)

「また」?

某所で、「……またやっちゃった?」という謎のメールが流れたり。

"=" が検索できないとか、"E=MC2" を検索すると「検索語は 2文字以上入れろ」と怒られるとか、あることをすると登録されている全てのサイトを調べられたり test.html というファイルだけ抽出できたりして便利だとかいろいろありましたが、結論としてはデータベース破壊などのクリティカルな問題はなさそうということで一安心。

ちなみにこれはニフティのサイト内検索 (homepage.nifty.com)の話。これで 200円なんですよね……。

関連する話題: セキュリティ / ニフティ

2004年1月22日(木曜日)

ASKACCS 続報

ASKACCS の件、調査報告書 (www.askaccs.ne.jp)が出ていますね。

コメントはまた後ほど。

関連する話題: ネットワーク / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

matsui.jp

昨日、「テレビで m@tsui.jp に空メールというのをやってるけどどうよ」(意訳) という話が出たので、ちょっと調べてみたり。

m@tsui.jp を m@atsui.jp と間違えた場合は問題ないようです。DNS 的には atsui.jp と tsui.jp には同じレコードが登録されていて、MX レコードも同じ値なので、m@atsui.jp でも同じサーバに届きます。

※へっぽこな DNS 管理者だとここで CNAME を使って失敗するというのがお約束ですが、atusi.jp は流石に大丈夫ですね。

m@tui.jp は壮絶な罠で、全く関係ない会社に行ってしまいます。実際に迷惑していそうな予感……。ここに送ったメールの From: に書かれていたメールアドレスがどうなるのかは、ガリバーではなくこちらの会社のポリシーに依存することになります。

ではガリバーにちゃんと送られた場合の扱いはどうなのよ、ということになりますが、http://221616.com/gulliver/policy.html にはいちおうポリシーが掲げられています。

※いちおうというのは、何故かトップページからリンクされていないから。なんで? なお、サイト使用条件 (http://221616.com/gulliver/jouken.html) の「リンクについて」の内容を守れる自信がないので、リンクせずに URL を紹介するにとどめます。

CM では「この情報をどのように使用するか、お知らせ」してましたっけ? 空メールの返信には、メールアドレスの取り扱いについて何も書かれていないようですが……。

関連する話題: ネットワーク / セキュリティ / DNS

掲示板まわり改造中

更新: 2004年1月22日

掲示板まわり改造中。掲示板のデータはスレッド表示も含めて ArticleTable から読むように改造。スレッド表示の順番が正しくない (ルート記事の投稿順でソートされているのでコメントをつけても上がらない)、という既知の問題があります。

※けっこう致命的ですが気にしない。そのうち直します。

※追記 : さくっと直しました。内部にもう一つスレッドの状態だけ保持する DataTable を持たせて対応。直ってるはず。

コメントフォーム、親子記事へのリンクなどのインターフェイスまわりも改造中ですが、どうも今ひとつ。

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll

2004年1月21日(水曜日)

NEM

NEM (Novice Expert ratio Method) (R) (ueyes.novas.co.jp) というのはなかなか興味深いと思いました。

ユーザテストをすると「時間がかかる操作」というのがあるわけですが、それには以下の二種類があって、

前者はどうしようもないのだけれども、後者は「ボタンの位置が分からない」などというユーザビリティ上の問題によるもので、改善の余地があるというお話。

言われてみれば、なるほどと思います。

関連する話題: ユーザビリティ

バンズのないハンバーガー

~ バンズのないハンバーガーが初登場 ~ 「ニッポンのバーガー 匠味(たくみ)レタス」発売開始 (www.mos.co.jp)

匠味というのは以前食べたのですけれども、そのパンをレタスに変えたものが出るそうで。

しかしこれ、ぶっちゃけて言えば「ハンバーグをレタスで挟んだ」というものなのですが、これで「ハンバーガー」の構成要件を満たしているのでしょうか。パンは必須じゃないのかなぁ。

関連する話題: 飲食物

2004年1月20日(火曜日)

APOP

ASAHIネットが APOP に対応。 (www.asahi-net.or.jp)やっと……というか何というか。

※どうでもいいですが、APOP の OTP って「パスワードを暗号化する方式」なのかしら? 生のままでは流さないですし、MD5 でハッシュしているわけで、暗号といえば暗号なのかも知れませんが……微妙に違和感が。

関連する話題: セキュリティ / ASAHIネット / 電子メール

掲示板 spam 対抗ルーチン強化計画

なんだかよくわからない掲示板 spam が投稿されていて、自動ブロック。「記事 掲示板」でかなり執拗に絨毯爆撃したようで、かなり大量に書き込みされていますが、その中で私のとこだけがブロックしているというのはなかなか気分が良いです。

※他人の不幸を何とも思わない奴。

しかし spam スコアはわずか 65 ポイントで、新規投稿警戒補正 +50 がなければ貫通していました。同じものをどこかにぶら下げられていたらアウトです。というわけで、単独で 100 ポイントを超えるようにすべきなのですが、これがなかなか難しく……。

傾向としては、

というあたりなのでしょうが、微妙だなぁ。

などもチェックして警戒した方が良いのでしょうが、実装が困難。

※いや別にイランじゃなくても良いのですが、要するに「日本ローカルの話題へのコメントとしてはかなり不自然な場所のIPアドレスが用いられている (blog.sakichan.org)」ような場合は警戒した方が良いかもね、という話。

関連する話題: セキュリティ / spam / 絨毯爆撃

2004年1月19日(月曜日)

早速 Beagle 来たー

更新: 2004年1月19日

W32.Beagle.A@mm (securityresponse.symantec.com)が流行り始めたらしい……と聞いたそばから来てるし。

それは良いのですが、この出所が doc769 (fw15.pref.aichi.jp [202.241.152.110]) だったりしており、IP アドレスを Whois で調べてもちゃんと愛知県だったりする今日この頃、住基ネットは安全だと主張される総務省の皆様におかれましてはいかがお過ごしでしょうか。

※これはむしろ山梨評論さん (www.geocities.co.jp)のネタですねぇ。

※追記: その後 NEC-PCuser (YahooBB218129192054.bbtec.net [218.129.192.54]) さんからも受信しました。流行ってるようですね……。ちなみに From: は思いっきり捏造ですので注意。

関連する話題: セキュリティ / コンピュータウィルス / 住基ネット

回線容量不足

通信回線の容量不足に総務相が懸念 通信基盤見直しへ (www.asahi.com)」。

個人的には、まあ動画は仕方ないとしても、とりあえず spam メールをちゃんと規制して欲しいです。回線を太くするのは良いですが、その費用は「未承諾広告※ 関心のない方は削除して下さい」なんてのを大量に送ってくる皆様に負担して頂きたい感じ。

※っていうか、何で全く同じ spam を 4通も送ってくるの? 4つの異なるリストに載ってるのかしら。

関連する話題: ネットワーク / spam / メール

2004年1月18日(日曜日)

いろいろ撮ってみる11

関連する話題: カメラ / 写真

2004年1月15日(木曜日)

Office Update でちょっぴり残念な思い

Microsoft Office XP をインストールして早速 Microsoft Office ダウンロード (office.microsoft.com) におもむいてパッチを当てたのですが、

ということで、SP1 をインストール、SP2 をインストール、その他パッチ、と 3回も Update するハメに。

これ、一回にまとまらないのかなぁ……。少なくとも SP2 は SP1 なしで当てられるようにして欲しいと思うのですが。

※Windows 2000 の SP の場合だと、SP なしの Windows 2000 にいきなり SP4 が当たります。

ついでに気になったことがひとつ。「アップデートの確認」(通称 Office Update) を使用とすると ActiveX のインストールを求められますが、これを拒否すると当然エラーになります。そのエラーページを見ると、

コントロールの読み込み中に表示されるセキュリティに関するダイアログ ボックスで、[いいえ] をクリックしました。コントロールの読み込み中にセキュリティに関するダイアログ ボックスが表示された場合は、必ず [はい] をクリックしてください。

って言われているのですね。これ、私なら「ちゃんとダイアログの中身を見て、Microsoft の電子署名がされていることを確認した場合のみ [はい] をクリックしてください」と指導したい感じですけれど……。

※まあ仮にそうなっていたとしても、Office Update を偽装したサイトが出現したら喰らう人は結構多そうな気はしますが。

関連する話題: Microsoft / Microsoft Office / セキュリティ

続・鳩丸高速化計画その11・高速化成功?

結局、こんな感じになりました。

ちゃんと検証したわけではありませんが、感覚的にはかなり速くなりました。

以下は今後の課題など。

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

全てが Google という時代は終わる?

Yahoo!、Googleとの提携は3月まで (www.itmedia.co.jp)」だそうで。

これで悪マニ (www6.big.or.jp)の beyond さんも安心……なのかなぁ。

※Yahoo! Japan が Google を使っている限り意味ないですか……。

関連する話題: Web / サーチエンジン / SEO

リピーター?

更新: 2004年10月18日

3年ほど前のことなのですが、あるサイトで、ふと検索フォームに XSS を発見しました。ついでに色々調べたら、cgi-bin 以下が丸見えであることが判明。しかも、そこには見事に個人情報を含む CSV ファイル (たぶんアンケートのデータ) が置かれていて、ダウンロードできてしまう状態でした。

XSS の方はめんどくさかったので放置しておきましたが、個人情報丸見えは流石に教えた方が良いだろうということでこっそりと報告。その結果……全く何の音沙汰もなく、一週間くらいしてみたら cgi-bin 以下は見えないようにされていました。

で先日、偶然にもそのサイトにふたたび遭遇。3年経っても XSS が直っていない事を確認しました。

それはそれで問題ないのですが (ないのか?)、そのサイトのとある場所にログインフォームがあったので、何も入れないで submit ボタンを押してみました。

※ちなみに、私にはフォームを見かけるととりあえず何も入れずに submit してみる習性があります。そうしないとかなり強力に残念な思いをすることがあるので……。

そうしたら、こういうエラーメッセージが出てしまったのですよね。

Warning: PostgreSQL query failed: ERROR: parser: parse error at or near "and" in /home/homepage/public_html/service/system/index.php on line 87

Warning: Supplied argument is not a valid PostgreSQL result resource in /home/homepage/public_html/service/system/index.php on line 88

なんだかとっても嫌な予感がするのですが、突っ込んで検証しようとした瞬間に「不正アクセス禁止法」(不正アクセス行為の禁止等に関する法律) に抵触するような気がしたので、すんなりと忘れることにしました。

医療ミスを繰り返す医者のことを「リピーター医師」と言うそうですが……。

※2004-10-18 追記: IPA に届け出てみたら 2004-09-21 に修正完了の連絡をいただきました (XSS, SQLインジェクション共に修正完了の旨)。SQLインジェクションが可能かどうかは確認しないで届け出たのですが、ホントに SQL インジェクションできちゃっていたみたいです。ともあれ修正されましたので一安心。

関連する話題: Web / セキュリティ / 個人情報 / SQLインジェクション

格安ソフトspam

最近やたらと「格安」ソフトの spam が来るなぁと思っていましたが、よく見たら全部同じ所から来ていました。ひたすら鬱陶(うっとう)しいんですけど。

どう考えても不正コピーなので、こういうのは ACCS に通報すると良いのだろうと思うのですが、前にも書いたとおり、通報のためのフォームがスクリプト無効だと使えないという……。

※ある程度のセキュリティリテラシを持っている人は「セキュリティのためにスクリプトを無効にする」というユーザが存在することを知っていますので、Web サイトも自然とスクリプト無効の環境を考慮した設計になるでしょう。スクリプト無効で使えないということ自体が、そのサイトの「指標」になるわけでして……。

関連する話題: spam / ACCS

2004年1月14日(水曜日)

新お茶セット導入

そんなわけで新お茶セットを導入。

関連する話題: 出来事 / 写真

リモコン

リモコン来たー。「Optio S4 リモコンプレゼントキャンペーン」というやつなのですが、応募したこと自体を忘れていました。

しかし、なんか取説が英語なんですけど……。

関連する話題: 出来事 / 写真 / カメラ

2004年1月13日(火曜日)

要求/応答のサイズを記録する

IIS のデフォルトでは HTTP 要求、応答のサイズは記録しません。が、これは記録しておいた方が良さそうな気がしたので、拡張ログの設定を変えてログを取るようにしました。

どうして良さそうな気がしたのかというと、

ということで。

関連する話題: Web / サーバ / httpd

2004年1月12日(月曜日)

いろいろ撮ってみる10

シリーズ 10回目?

関連する話題: カメラ / 写真

色に依存しているようで……

ある回転寿司のオーダーシステムは、以下のように説明されています。

瞬間的に「色に依存したシステム?」と思いましたが、現物を見ると……

「白」などという色名が表示されているので大丈夫なのでした。

関連する話題: アクセシビリティ / 写真

眼鏡を注文

最近どうも視力が落ちていると思ってはいたのですが、某所のプレゼンテーションの際、スクリーンに映った文字が全く見えずに愕然としました。

私生活は裸眼で問題ないのですが、仕事で支障が出るのは流石にまずいので、観念して眼鏡を買うことに……。

関連する話題: 買い物

2004年1月11日(日曜日)

新・お茶セット

そんなこんなで新・お茶セット。

湯飲みは問題なく使えたのですが、まあせっかくなので一緒に更新。

関連する話題: 出来事 / 買い物

2004年1月9日(金曜日)

茶こしで怪我

台所で急須を洗っていたら、茶こしの金網が破れていて指を怪我してしまいました。

蓋も欠けていることですし、買い換え時かも。

関連する話題: 出来事

いろいろ撮ってみる9

関連する話題: 写真 / カメラ

2004年1月8日(木曜日)

SQLコマンドインジェクション自爆

掲示板のデータを DataTable クラスで処理しようとして、Select メソッドにコメント先の URL を含む値を渡したら

System.Data.SyntaxErrorException

構文エラー : '/' 演算子の前にオペランドがありません。

などと言われて終了。ダイレクト SQL コマンドインジェクションのことを何も考えていなかったという……。

サニタイズすれば良いのは分かっているのですが、どうサニタイズすれば良いのかしら。意味のある文字が、これまたえらくたくさんあるような気がしますが……。

関連する話題: プログラミング / C# / セキュリティ

朝日新聞一面トップの件 : 撤回

更新: 0204年1月8日

2004年1月5日の日記に、朝日新聞一面トップというコメントを書きましたが、この中に一部重大な事実誤認がありましたので撤回します。

私は以下のように書いていました。

AD2003 で思いっきり「実演」してしまったのは確かにやりすぎで、office さん自身もその点についてはマズかったと言っているわけですが、この書き方では、office さんが意図的に個人情報を公表したかのように思えてしまいます。特に「情報を保存した参加者もいた」などと書かれると、office さんがそのデータを人にほいほい渡していたような印象を受けます。

しかし、事実は違うでしょう。参加者は会場で自ら同じことをやってみて、直接取得したにちがいありません。もちろん、それはきわめて容易に可能だったわけで、そういう状況を作ってしまったことに問題はありますが、office さんが積極的に渡したわけではないはずです。

この部分は全面的に撤回します。当初、私は上記に書いたように推測しており、思ったことをそのまま書いていたのですが、この推測が間違っていた事が判明しました。

問題となった「個人情報漏洩」に関する事実関係は以下の通りです。

朝日新聞の言う「情報を保存した参加者」とは、この講演資料を保存した参加者を指すものと思われます。

これを踏まえると、office さんのしたことは私の想像した以上に「やりすぎ」で、office さんが個人情報を漏らしたという認識は誤りとは言えないと思います。このような内容の資料を配布してしまったのはきわめて重大な誤りであると言わざるを得ず、大変残念に思います。また、この資料を配付することを許した主催者の責任が問われる余地もあると思います。

※追記 : 主催者のコメントが出ていますね。「2004年1月4日の朝日新聞のACCS関連記事について (www.ad200x.net)

※追記 : 念のために補足。資料による漏洩の他に、参加者が「自分で同じ事をやって取得した」可能性も否定できません。しかし、「ACCS運営ホームページのセキュリティ問題について (askaccs.ne.jp)」によれば、「ネット上での個人情報拡散を調査 → 確認されず」ということなので、個人情報が取られたログは全て office さん本人によるアクセスであり、参加者が別途取得したようなログは残っていなかった……ということなのでしょう、たぶん。

※さらに追記 : office さん自身にはこのプレゼンテーション資料を配布するつもりはなく、ダウンロードできるようになるものとは知らなかったようです。

関連する話題: Web / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

いろいろ撮ってみる8

関連する話題: カメラ / 写真

2004年1月7日(水曜日)

Welchia 減少?

JPCERT/CC インターネット定点観測システム Welchia/Nachi ワームの感染活動が減少していることを観測 (www.jpcert.or.jp)

……ホントだ、altba.com には昨日一日で 415 件しか来ていませんね。昔は軽く 1000 件以上来ていたので、確かに減っているように思います。

しかしそもそも、Welchia はシステムの時計が 2004 年になると自身を削除するようにプログラムされていたはずです。これは私自身動作確認している (!) ので間違いありません。もう 2004年になったので絶滅しても良いはずなのですが、時計が狂っている、再起動しないで延々動いているのでワームのファイルが削除される機会がない、しぶとく生き残った者からの再感染……といったような要因で生き残っているのでしょうね。

関連する話題: Web / セキュリティ / コンピュータウィルス / Welchia

悪マニが google から消えた?

悪徳商法?マニアックス (www6.big.or.jp)が google で検索できなくなったのだそうで。

昨年12月29日に引き続き、当サイトが google の検索結果に出てこなくなりました。

以上、google の検索結果から削除されました より

実は前から気になっていたのですが、悪徳商法?マニアックスのトップページなどは、

クローキング、ユーザーからは見えないもののサーチ エンジンが見ることができるテキストの書き込み、またはサーチ エンジンを単にあざむく目的で設定されたページやリンクなどが見つかった場合、そのサイトがインデックスから永久に追放される場合があります。ご自身のサイトがこのカテゴリに該当すると思われる場合は、不適当な部分を排除してから、help@google.com までインデックスへの再登録を申請してください。

以上、Web マスターのための Google 情報 より

この「ユーザーからは見えないもののサーチ エンジンが見ることができるテキストの書き込み」に思いっきり該当しそうな感じなのですよね……。

関連する話題: Web / サーチエンジン / 株式会社ウェディング / SEO

2004年1月5日(月曜日)

XPSP1a

Windows XP SP1a がプリインストールされているマシンに遭遇。SP1a というのは、例の Sun の訴訟がらみで Microsoft VM を外したバージョンです。

……いきなりデスクトップに「Java Web Start」のアイコンがあるというシュールな光景に胸を打たれました。初めて PC に触る人には全く意味不明なアイコンでしょうし、ユーザにしてみれば迷惑以外のなにものでもない話だと思いますが。

関連する話題: Microsoft / Windows / Windows XP

朝日新聞一面トップ

更新: 2003年1月8日

「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (www.asahi.com)という記事が一面トップを飾ったようで、office さんの知名度うなぎ登り。って、私もあんまり他人事じゃないですけれども。

……しかし、記事の内容は何とも語弊がある書き方のようで。

研究員と協会の説明によると、研究員は11月8日、インターネットから協会サイトのサーバーに、運営側が想定しない指示を送って入った。非公開の領域に保存されたファイルから、サイトへ相談を寄せた約1200人の名前、住所、電話番号、相談内容などの記録を引き出したという。

「サーバーに入った」と書かれると不正にログインしたかのような印象ですが、これはログインなどと関係ない、公開された HTTP の世界の話です。HTTP のリクエストは「指示」と言えば確かに「指示」なので、間違いではないと思いますけれど……。普通にブラウザでこのサイトを見ている人は、asahi.com のサーバに「指示」を送って「入った」という認識でいるのでしょうか。

「入った」というより、「外にいながらにして情報を引き出すことができた」(できてしまった) という方が、実際に近いイメージになるのではないかと思います。

同日夜、都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で、参加者約300人に体験を披露。「証拠」として、持ち出した個人情報の一部を公表した。持参したパソコンにこの情報を保存した参加者もいたという。

って、何だかなぁ……。AD2003 で思いっきり「実演」してしまったのは確かにやりすぎで、office さん自身もその点についてはマズかったと言っているわけですが、この書き方では、office さんが意図的に個人情報を公表したかのように思えてしまいます。特に「情報を保存した参加者もいた」などと書かれると、office さんがそのデータを人にほいほい渡していたような印象を受けます。

しかし、事実は違うでしょう。参加者は会場で自ら同じことをやってみて、直接取得したにちがいありません。もちろん、それはきわめて容易に可能だったわけで、そういう状況を作ってしまったことに問題はありますが、office さんが積極的に渡したわけではないはずです。

※2003-01-08 追記: 私の推測に重大な誤りがあることが分かりましたので、一部を撤回します。詳細は朝日新聞一面トップの件 : 撤回をご覧ください。

研究員は「office」と名乗るハッカーで、01年ごろから専門誌などに、安全対策が進んでいるはずのサイトの「欠陥」を公表してきた。

出ました、「ハッカー」。office さんが指摘している問題って、どれもプログラミングの知識など必要としない性質のものばかりだと思いますが、それでも「ハッカー」と呼ばれてしまうのですね。

※あ、べつに「officeさんはハッカーではない」と言っているわけではないです。実は凄いプログラミング技術をお持ちで、いろいろなものをハックしまくっているのかも知れませんが、少なくとも表面的な活動内容からは「ハッカー」と呼ぶのは適切でないと思えるわけなのでして。

関連する話題: Web / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

2004年1月4日(日曜日)

いろいろ撮ってみる7

関連する話題: カメラ / 写真

2004年1月3日(土曜日)

続・鳩丸高速化計画その10・方向転換

XmlDocuemnt を単にメモリ上に置いておく計画はどうもうまく行かないので、いったん元に戻しました。目指す方向としては、やっぱり ADO.NET しかないかなと。ADO.NET の DataSet は、最初からメモリ上に置いておいてアクセスするように設計されている (と思う) ので、これで行けばあるいは。

しかし XmlDataDocument は何故か妙に遅いようで、XPath で掲示板の特定のコメントを検索した場合、XmlDocument の 30倍の時間がかかっているのですが……。XmlDataDocument.DataSet.ReadXmlSchema に逐一スキーマを喰わせるのも遅そうですし、速度的にはちょっとダメなのかも。

とりあえず、VisualStudio.NET がなくても xsd.exe /d /l:CS hatomarubbs.xsd /n:Bakera などとしてスキーマから DataSet の派生クラスを生成できる事が判明したので、この方向で研究してみようかなと。

※どうでも良いですが、.NET Framework ドキュメントの XML スキーマまわりの記述、やたら誤訳が多いような気が……。原語が何となく分かるので問題ありませんが。

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

2004年1月2日(金曜日)

続・鳩丸高速化計画その9・泥沼化

System.Threading.ThreadAbortException はローカルでは全く再現せず、完全に泥沼化。

NameObjectCollectionBase クラスの説明には以下のように書かれているので……

コレクションの列挙処理は、本質的にはスレッド セーフな処理ではありません。コレクションが同期されている場合でも、他のスレッドがそのコレクションを変更する可能性はあり、そのような状況が発生すると列挙子は例外をスローします。列挙処理を確実にスレッド セーフに行うには、列挙中にコレクションをロックするか、他のスレッドによって行われた変更によってスローされる例外をキャッチします。

HatomaruDataHolder の内容が他のスレッドによって変更されると System.Threading.ThreadAbortException がスローされるのかなぁと思ったりするわけですが、列挙処理してないし……。試しに BaseGet() を呼ぶときにロックしてみたりしましたが、再現しない (というか、おそらく同時アクセスが必要なのでなかなか再現できない) のでこれで良いのかどうか何とも判断しがたく。

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

2004年1月1日(木曜日)

続・鳩丸高速化計画その8・コメントインデクス化

年が明けたりしたようですが、相変わらず痛みを伴う改革続行中。

今後の課題

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト