水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年6月

2004年6月

2004年6月30日(水曜日)

森川さん

ACCS不正アクセス事件裁判、一部非公開に (www.itmedia.co.jp)」。森川さん来たー。なんと常務取締役なんですね。まあプログラミングスキルが無くてもマネジメントスキルがあれば偉くなれたりはするでしょうし、それで特に問題はないと思いますが。

セキュリティホールmemoで紹介されていた、ちせさんの「不正アクセス行為の禁止等に関する法律違反の第二回公判を傍聴した記録 (sp.homelinux.com)」も興味深く。

CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである。

以上、chise's page@security 2004/06/30 より

これは、「プログラムは思った通りに動くのではなく、書いたとおりに動く」という有名な格言ですね。

ところで、第一回公判の時もそうでしたが、検察側はアクセスログの、記録された時間にとてもこだわっているように見えます。法廷ものの映画などなら、そこからどんでん返しになるところなのですが、どうなのでしょう。

以上、chise's page@security 2004/06/30 より

検察は「犯行がいつ行われたのか」ということを立証する必要があるのですが、当然目撃者などはいないので、ログから犯行時刻を立証する必要があるということなのだろうと思います。実はここにはOSコマンドインジェクションによるログ改竄というとんでもない落とし穴がありますが、今回は office さんはアクセスしたことについては争っていないので、問題にはならないでしょうね。

※もう少し書いてしまうと、Web サーバのログに Web サーバの書き込み権限が必要なのは自明で、さて CGI は誰の権限で動いているのかしら、という話。suExec なら問題ない可能性もあるのですけれど。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年6月27日(日曜日)

年金完納済

参院選ということでポスターなんか出てきているわけですが、青島幸男のポスターは思わず笑ってしまいました。「年金完納済」って……もう 65歳過ぎているのですね。

写真を撮ったのですが、公職選挙法的に載せて良いのかイマイチ良く分からないのでパス。もっとも都内の方は見ているでしょうし、そうでない方も青島幸男 公式サイト (www.aoshima.net)にデカデカ出ているのでそちらをどうぞ。

しかしこのサイトのアクセス性がまた最低。年金完納済 (www.aoshima.net)というページを見るために、ソースを全読するハメになったりしました。私は Web サイトのアクセス性を判断して誰に投票するか決めたりするわけですが、いやはや。

※しかしまあ、アクセス性が低くても URL (というかホスト名?) が出ていない候補よりはマシと言うことになるのですが。

関連する話題: 政治

HPメモリ・モジュール交換プログラム

HP、ノートパソコンで部品無償交換 対象は「90万台」 (www.asahi.com)というニュースが出ているのですが、私も HP のノートパソコンを使っているので他人事ではないですね。

で、HP のサイトを探すと……トップからリンクしようよ、とかニュースリリースの中に入れようよ、とかいろいろ思いつつも探すと……「HPメモリ・モジュール交換プログラム (h50146.www5.hp.com)」を発見。私のマシンは N400c なので対象外、ということで良いのかな。

というか、ユーザー登録してるんだから、対象外だとしてもノート PC ユーザ全員にメールで通知してくれると嬉しいのですけれど……。

※とか言いつつ、メールがホントは来ていて、でも spam と一緒に捨てちゃってる可能性も否定できないなぁ。

関連する話題: コンピュータ

2004年6月24日(木曜日)

あんまりなプリンタドライバ

オフィスに新しいカラープリンタが入ったということで、ドライバをインストールしました。

……タスクバーの「通知領域」にインジケータが現れ、赤く点滅していたりして嫌な感じ。おもいっきり Real Player を連想しましたが……とりあえず右クリックして「終了」したら消えてくれたので、事は済みました。

さらに、気づいたらデスクトップに「Job Monitor」というショートカットが勝手に作られていてげんなり。速攻で「ごみ箱」に捨てて、ごみ箱を空にしました。

とまあ、この辺りまでは割と良くある話だと思いますが、マシンを再起動したらびっくり、なんと、勝手に Job Monitor というツールが起動しているのです。さらに、なんと、デスクトップから削除したはずのショートカットアイコンが復活しているではありませんか! そして当然のように通知領域にはインジケータが。

このような挙動を「便利だ」と感じる人ってどんな人なのでしょうか。マシンを起動したらただちに何かを印刷したい、というニーズがあるのですかね? 少なくとも私は、必要になったときにアプリケーションから「印刷」して、その時に出てきてくれれば十分だと思いますが。

※このソフトウェアをテストする人には便利だったのかもしれないとは思います。

いくらプリンタ本体の性能が良くても、ドライバがこれだとそれだけで鬱になりますね。

関連する話題: ユーザビリティ / 会社

2004年6月23日(水曜日)

また Opera 捏造系

またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール (itpro.nikkeibp.co.jp)」だそうです。

exploit を見ると、display: none にされた iframe がポイントのようですね。参照しているリソースの URL を逐一 URL 窓に表示したりしているから……なのかな。

関連する話題: セキュリティ / UA

2004年6月22日(火曜日)

台風の爪痕

帰り道、折れた状態で道ばたに放置されているビニール傘を 7本目撃。

私自身は傘をさしてすらいないのですが、知らないうちにけっこう大変なことになっていたようで。

関連する話題: 出来事

2004年6月21日(月曜日)

SSLを使わない人々

セキュリティホールmemo で「livedoorの情報セキュリティ (saya.c-moon.jp)」という話が紹介されていました。

SSL の必要性って消費者の皆さんにどの程度認識されているのだろう、と思う今日この頃。「SSL で保護されていないフォームに情報を入力している」という時点で「入力している人はこの情報が漏れても問題ないと考えている」と判断してしまって良いものなのだろうか、という疑問なのですが。

……ふと思ったのですが、ACCS の久保田理事に対して「どうして SSL を使っていなかったのですか?」と質問した人っていないのでしょうか?

関連する話題: セキュリティ / Web / ACCS / SSL/TLS

2004年6月20日(日曜日)

二歩目撃

出がけに何気なくテレビを見ると、NHK 教育で将棋をやっていました。何となくそのまま見ていると、先手の豊川孝弘六段、2三に自分の歩がある状態にもかかわらず、2九に歩を打っちゃいました。

これはもちろん二歩で、打った瞬間に反則負け。もともと劣勢だったとは言え……。

プロでもやってしまうものなんですね。

関連する話題: 出来事

2004年6月19日(土曜日)

リンゴジュースのユーザビリティ

たとえばオレンジジュースを買う場合、どれを買っても、多少の差はあれおおよそ同じようなものが手にはいるはずです。

しかしリンゴジュースの場合は違います。リンゴジュースには白く濁った「混濁」タイプと、茶色く透明な「クリア」タイプのものが存在します。これらはかなり異なっているのですが、困ったことにどちらも同じ「リンゴジュース」として売られています。

私はどちらかというと「混濁」タイプの方が好きなのですが、リンゴジュースの紙パックを見てもそれが混濁なのかクリアなのか分からず、店員さんに聞いてもやっぱり分からなかった、という経験があります。しかも、とりあえずそれを買ってみたら見事にクリアタイプで、かなり残念な思いをいたしました。

ところが最近のリンゴジュースはこれですよ。

なんか、「混濁果汁使用」ってちゃんと書いてあるし……。

これは非常に助かりますね。

関連する話題: ユーザビリティ / 写真

2004年6月15日(火曜日)

またまた URL 偽装系ホゥル、と思いきやゾーンも偽装される

更新: 2004年6月20日

IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性 (internet.watch.impress.co.jp)」という話。

http://[trusted_site]%2F%20%20%20.[malicious_site]/ のような URL にアクセスしようとしたとき……

……というわけでアクセスできてしまう場合があり、このとき IE はこのリソースを [trusted_site] の属するゾーンの権限で処理してしまうというお話。URL 欄が偽装されるだけではなく、実際にそのゾーンで処理されてしまうので、「クロスドメインのセキュリティモデルが崩壊している」状態であり、とても危険です。

Secuniaによると、IEの全セキュリティゾーンにおけるセキュリティレベルを“高”にすることでこの脆弱性を回避できるとしている。

以上、IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性 より

って …… v4.windowsupdate.microsoft.com で ActiveX コントロールが動作しないと困るのですが……。

※ところで、Microsoft の DNS でワイルドカード A レコードって設定できるのでしょうか。追試しようと思ったのですがやり方が分からなくて……。

※2004-06-20 追記: こーせーさんから情報をいただきました(ありがとうございます)。Windows DNS では管理コンソールからワイルドカード Aレコードを設定することはできませんが、%systemroot%\system32\dns にあるファイルを直接書き換えれば設定できるようです。

関連する話題: セキュリティ / Windows / Internet Explorer

2004年6月13日(日曜日)

シャーマン狩り6

久々にやったら、あっさり「とうちゅうかそう」ゲット。

関連する話題: ゲーム / テイルズ オブ ファンタジア

2004年6月10日(木曜日)

セキュリティー啓蒙者が「テロリスト」と呼ばれた顛末

信蔵さん (shinzlogclips.blogspot.com)に教えて頂いたのですが (ありがとうございます)、インターネットマガジン 7月号 (i.impressrd.jp)に「善意か? やりすぎか? 不正侵入の是非が問われるACCS事件 - セキュリティー啓蒙者が「テロリスト」と呼ばれた顛末」という記事が出ていますね。

今まで各メディアから出た記事の多くは ACCS 側の発表をそのまま流したようなものでしたが (それが悪いという意味ではないです、念のため)、この記事は office さんや A.D.200x 側にも取材していますし、ヨセフアンドレオン、ファーストサーバの名前も出ています (思いっきり当事者なのに、これらの名前が出ている記事はほとんど無い!)。

特に新情報があるわけでもないのですが、事件の全貌をあまり良く知らないという方にはお勧めかと。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年6月9日(水曜日)

また IE に特大ホゥル

IE6に任意のコードが実行可能な脆弱性、すでに悪用法が公開されている (internet.watch.impress.co.jp)」ってまあ見出しのまんまの話ですが。

XP SP2 では問題ないみたいですが、SP1 ではどうにもならないので、スクリプト無効を強く推奨。

関連する話題: セキュリティ / Windows / Internet Explorer

監視系

ACCSとoffice氏が和解~掲示板の監視義務を課す仮処分申請で (internet.watch.impress.co.jp)」。

仮処分申請は、ACCSが5月17日に京都地裁に申し立てていたもので、今回office氏は、ACCSの要求に同意し、それらを自主的に行なう旨を宣言したという。

以上、ACCSとoffice氏が和解~掲示板の監視義務を課す仮処分申請で より

officeさんが自主的に監視ということは、要するに、逮捕前の状態に戻ったということですね。

※しかし、残念ながら逮捕前と同じ効果は得られないでしょう。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年6月8日(火曜日)

壁紙事件

まあ特にコメントはないのですが、メモだけ。

関連する話題: 出来事

2004年6月6日(日曜日)

PS2版ドラクエ5つづき(27)

ドラクエ5 (www.amazon.co.jp)。長かった……。

はぐれメタルの撃破数は 437匹で、ちいさなメダルは 6つ獲得していました。

というわけで目標達成。プレイ時間はちょうど 200時間くらいですね。

※オート戦闘があるので実際のプレイ時間はもっと短いですが。

関連する話題: ゲーム / スクウェア・エニックス / ドラクエ5

2004年6月4日(金曜日)

A.D.200x更新

A.D.200x のサイト (www.ad200x.net)が大幅に更新されていますね。「ソフトバンクBB恐喝未遂容疑で逮捕された冨安容疑者について (www.ad200x.net)」という声明が出ているようです。

関連する話題: セキュリティ

2004年6月3日(木曜日)

XP SP2 は強力かも

XP SP2のセキュリティ強化で、Webサイトにも変更が必要に (www.itmedia.co.jp)

「Content-Typeとファイル拡張子がファイルタイプに一致しないとダウンロードプロンプトが表示されない。自分のWebページでもこれが一致するように対処すること。Content-Typeがplain/textなら、HTMLとしてレンダリングされない」と同社は説明している。

以上、XP SP2のセキュリティ強化で、Webサイトにも変更が必要に より

これは素晴らしい。これなら某サイトを利用してもパスワードを盗まれたりしないで済むかもしれません。

他にも、セキュリティ的にいろいろ強化されているようです。「Microsoft Windows XP Service Pack 2 での機能の変更点 ブラウズのセキュリティ強化 (www.microsoft.com)」にいろいろ出ていますが、分量多いなぁ。

関連する話題: Microsoft / Windows / Internet Explorer

2004年6月2日(水曜日)

どーもくんの受難

不謹慎にも爆笑してしまったネタが「ポルノとマスターベーション撲滅に立ち上がった若き聖職者たち (hotwired.goo.ne.jp)」。

宗教的なお話はまあどうでも良いのですが、笑ったのはこれ。

両牧師は最初、『セーブ・ザ・キトゥン』(子猫を救え)という電子メールキャンペーンを展開した。メールの内容は、『Photoshop』(フォトショップ)で作った、2匹の大口を開けた怪物が子猫を追いかける画像に、「あなたが自慰を1度するたび……神が子猫を1匹殺す」というメッセージを添えたもの。

以上、ポルノとマスターベーション撲滅に立ち上がった若き聖職者たち より

この「2匹の大口を開けた怪物が子猫を追いかける画像」というのが http://www.hosstyle.com/kittens.htm (www.hosstyle.com) で見られるのですが……「2匹の大口を開けた怪物」って……どう見ても「どーもくん」なんですけど……。

※どーもくんを知らない方は「まにあっくにどーもくん! (www002.upp.so-net.ne.jp)」あたりを参照。NHK の本家サイト (www.domomode.com)もありますが、こちらは色々有効にしないとダメみたいです。

いやまあ、確かに「大口を開けた怪物」ではあるのかもしれないですけれど、これは……。作った聖職者の方にも NHK にも失礼なのでしょうが、これはもうひたすら笑ってしまいました。

関連する話題: 思ったこと

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト