2004年11月1日(月曜日)
読めないサイト
「JIAA、第3回東京インタラクティブ・アド・アワードの作品募集を開始 (internet.watch.impress.co.jp)」ということで見に行ったのですが……字が小さいし! 色が薄いし!! はっきり言って読めません。スタイルシートを無効にすると中のテキストは読めるようになり、スタイルシートを無効にできるありがたみを全身で感じることができます。
※それでも画像化された見出しは読めないし、なんか alt="" になってるし……。過去の受賞作品のページ (203.179.59.79)なんかはふつうのコントラストがあるので、そのままでも何とか読めるのですが。
私は昔 (といっても 3年以上前)、「グラフィックデザイナーは Web サイトのアクセシビリティを考えられない」などという偏見を抱いていたものですが、それはこういうサイトの存在によるものなのでありました。もちろん実際には、世の中にはアクセシビリティを考えられるデザイナーと、そうでない人の両方が存在します。幸運にも、私は前者に該当する方にたくさん出会うことができました。
……それはそれとして、これだけ長い Server: フィールドは珍しいですね。
Server: Apache/2.0.40 (Red Hat Linux) mod_perl/1.99_07-dev Perl/v5.8.0 mod_auth_pgsql/0.9.12 PHP/4.2.2 mod_python/3.0.1 Python/2.2.2 mod_ssl/2.0.40 OpenSSL/0.9.7a DAV/2 mod_webapp/1.2.0-dev FrontPage/5.0.2.2634
ええと……。フレームで URL を隠す構造、謎の左フレーム、隠されている IP アドレスが露出した URL といった要素も相まって、Coming Soon となっているエントリーフォーム (203.179.59.79)がいったいどういうものになるのか、ちょっと気になる今日この頃であります。
- 「読めないサイト」にコメントを書く
セキュリティ24
「@nifty、「常時安全 セキュリティ24」を11月1日より提供 (internet.watch.impress.co.jp)」なのだそうですが。
サービスの利用に際して、ユーザーはPCに専用ツールをインストールする必要がある。これによってPCをVPNで@niftyセキュリティセンターに接続。PCと@niftyセキュリティセンター間のデータの送受信は暗号化されるため、盗聴も防御できるという。
専用ツールをインストールして……VPN で接続? Q&A を見ると……
Q4. Cisco Systems VPN Clientというものがインストールされましたが、何ですか?
セキュリティ24アシスタントツールとセットで提供されている、セキュリティ24を利用するために必要なソフトウェア(接続ドライバー)です。
削除せず、そのままご利用ください。
アンインストールしてしまった場合、セキュリティ24が利用できなくなります。
以上、@nifty:常時安全セキュリティ24:よくあるご質問(Q&A):セキュリティ24アシスタントツール導入でお困りの方 より
VPN クライアントをインストールさせられるようですね。なんで VPN 接続が必要なのでしょう。なんとなく嫌な予感がするのは私だけ?
ちなみにこんな質問があるようですが、
Q14. 「会員種別が違います」と表示されて、申し込みができません。
会員種別が@nifty会員の方のみご利用できます。
※@nifty(旧NIFTY SERVE)会員の方はご利用できません。
>会員種別の確認・変更ページ
私が試みるとそんなメッセージは表示されず、
と言われるだけでした。ひょっとして私、「@nifty(旧NIFTY SERVE)会員」だからという理由ではなく、別の理由で蹴られているのでしょうか。
※心当たりは、ある……。もの凄く……。
ボビー K-1 に参戦
「さんまのスーパーからくりTV (www.tbs.co.jp)」では会見の様子なんかは放送していなかったようですが、スポーツナビ (sportsnavi.yahoo.co.jp)を見たら出ていました……「からくりTV」のボビー、Dynamite!!参戦決定 (sportsnavi.yahoo.co.jp)。
……面白すぎです。対戦相手はまだ決まっていないのですね。
関連する話題: 格闘技
セキュリティのユーザビリティ
Alert Box にセキュリティの話がでています。「Alertbox: ユーザ教育はセキュリティ問題に対する解決策ではない(2004年10月25日) (www.usability.gr.jp)」
今のものは、みっともないテクノロジーの内面をそのまま表示するため、機能していないのだ。(「セキュリティ証明書は終了したか、あるいはまだ有効ではありません。」だそうだが、それは一般人にとってどういう意味なのだ?)
ちょうど今日某所で「ていうか意味のわからないダイアログが出てきても、だいたい読まないで OK 押しますよね」という話をしていましたけれども。
しかし、少しずつではありますが、そういう方向になってきてはいますよね。あくまで少しずつですが。
MT で CSRF
更新: 2005年7月18日
ちょいと Movable Type の話をしていて yuuさん (w3j.org)に教えていただいたのですが、Movable Type には CSRF攻撃の問題があるみたいですね。「MT をインストールしたら真っ先に行うべきセキュリティ対策 (hxxk.jp)」
※2005-07-18追記: リンク先の記事はパワーアップして移動しているようです : 「Movable Type における CSRF の可能性と各種対処法 (hxxk.jp)」
しかし、ちゃんと CSRF という名前があるのに全然出てこないというのが……。この名前はあんまり一般的ではないのかなぁ。
※XSS に比べると遙かにマイナーだとは思いますが。ちなみに CSRF というのは "Cross-Site Request Forgeries" の略で、要するに「編集」「削除」などのコマンドを実行するような URL を踏ませる攻撃です。ふつうの人が踏んでも何も起きませんが、管理者権限でログイン済みの人が踏むとコマンドが実行されてしまったりするわけで。スクリプトが有効なら POST させることも簡単ですから、POST だからといって油断することもできません。
関連する話題: セキュリティ / CSRF / Movable Type
鶴亀メールが脆弱だった
「JVN#E59B594B - 鶴亀メールにおけるS/MIMEの署名検証に脆弱性 (jvn.jp)」ということで手元の鶴亀メールをバージョンアップしましたが、私は脆弱なメーラーで脆弱性を届け出ていたのか……と考えるとなかなか面白いです。まあ、S/MIME を受信したときに検証が不十分という話ですので、S/MIME を受け取らなければ関係ないのですけれども。
※報告者は高木さんになっていますね。S/MIME を扱う MUA のインターフェイスを検証していた (d.hatena.ne.jp)時に発見されたのかな。
- 前(古い): 2004年10月31日(Sunday)のえび日記
- 次(新しい): 2004年11月2日(Tuesday)のえび日記
