2004年6月

2004年6月30日(水曜日)

森川さん

「ACCS不正アクセス事件裁判、一部非公開に (www.itmedia.co.jp)」。森川さん来たー。なんと常務取締役なんですね。まあプログラミングスキルが無くてもマネジメントスキルがあれば偉くなれたりはするでしょうし、それで特に問題はないと思いますが。

セキュリティホールmemoで紹介されていた、ちせさんの「不正アクセス行為の禁止等に関する法律違反の第二回公判を傍聴した記録 (sp.homelinux.com)」も興味深く。

ＣＧＩというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである。

以上、chise's page@security 2004/06/30 より

これは、「プログラムは思った通りに動くのではなく、書いたとおりに動く」という有名な格言ですね。

ところで、第一回公判の時もそうでしたが、検察側はアクセスログの、記録された時間にとてもこだわっているように見えます。法廷ものの映画などなら、そこからどんでん返しになるところなのですが、どうなのでしょう。

以上、chise's page@security 2004/06/30 より

検察は「犯行がいつ行われたのか」ということを立証する必要があるのですが、当然目撃者などはいないので、ログから犯行時刻を立証する必要があるということなのだろうと思います。実はここにはOSコマンドインジェクションによるログ改竄というとんでもない落とし穴がありますが、今回は office さんはアクセスしたことについては争っていないので、問題にはならないでしょうね。

※もう少し書いてしまうと、Web サーバのログに Web サーバの書き込み権限が必要なのは自明で、さて CGI は誰の権限で動いているのかしら、という話。suExec なら問題ない可能性もあるのですけれど。

「森川さん」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年6月27日(日曜日)

年金完納済

参院選ということでポスターなんか出てきているわけですが、青島幸男のポスターは思わず笑ってしまいました。「年金完納済」って……もう 65歳過ぎているのですね。

写真を撮ったのですが、公職選挙法的に載せて良いのかイマイチ良く分からないのでパス。もっとも都内の方は見ているでしょうし、そうでない方も青島幸男公式サイト (www.aoshima.net)にデカデカ出ているのでそちらをどうぞ。

しかしこのサイトのアクセス性がまた最低。年金完納済 (www.aoshima.net)というページを見るために、ソースを全読するハメになったりしました。私は Web サイトのアクセス性を判断して誰に投票するか決めたりするわけですが、いやはや。

※しかしまあ、アクセス性が低くても URL (というかホスト名?) が出ていない候補よりはマシと言うことになるのですが。

「年金完納済」へのコメント (4件)

HPメモリ・モジュール交換プログラム

ＨＰ、ノートパソコンで部品無償交換　対象は「９０万台」 (www.asahi.com)というニュースが出ているのですが、私も HP のノートパソコンを使っているので他人事ではないですね。

で、HP のサイトを探すと……トップからリンクしようよ、とかニュースリリースの中に入れようよ、とかいろいろ思いつつも探すと……「HPメモリ・モジュール交換プログラム (h50146.www5.hp.com)」を発見。私のマシンは N400c なので対象外、ということで良いのかな。

というか、ユーザー登録してるんだから、対象外だとしてもノート PC ユーザ全員にメールで通知してくれると嬉しいのですけれど……。

※とか言いつつ、メールがホントは来ていて、でも spam と一緒に捨てちゃってる可能性も否定できないなぁ。

「HPメモリ・モジュール交換プログラム」にコメントを書く

2004年6月24日(木曜日)

あんまりなプリンタドライバ

オフィスに新しいカラープリンタが入ったということで、ドライバをインストールしました。

……タスクバーの「通知領域」にインジケータが現れ、赤く点滅していたりして嫌な感じ。おもいっきり Real Player を連想しましたが……とりあえず右クリックして「終了」したら消えてくれたので、事は済みました。

さらに、気づいたらデスクトップに「Job Monitor」というショートカットが勝手に作られていてげんなり。速攻で「ごみ箱」に捨てて、ごみ箱を空にしました。

とまあ、この辺りまでは割と良くある話だと思いますが、マシンを再起動したらびっくり、なんと、勝手に Job Monitor というツールが起動しているのです。さらに、なんと、デスクトップから削除したはずのショートカットアイコンが復活しているではありませんか! そして当然のように通知領域にはインジケータが。

マシン起動と同時にプリンタの Job Monitor が立ち上がる
しかもそれが常駐する
マシン起動ごとにデスクトップにショートカットアイコンを登録する

このような挙動を「便利だ」と感じる人ってどんな人なのでしょうか。マシンを起動したらただちに何かを印刷したい、というニーズがあるのですかね? 少なくとも私は、必要になったときにアプリケーションから「印刷」して、その時に出てきてくれれば十分だと思いますが。

※このソフトウェアをテストする人には便利だったのかもしれないとは思います。

いくらプリンタ本体の性能が良くても、ドライバがこれだとそれだけで鬱になりますね。

「あんまりなプリンタドライバ」にコメントを書く

関連する話題: ユーザビリティ / 会社

2004年6月23日(水曜日)

また Opera 捏造系

「またもやOperaにアドレス・バーを偽装されるセキュリティ・ホール (itpro.nikkeibp.co.jp)」だそうです。

exploit を見ると、display: none にされた iframe がポイントのようですね。参照しているリソースの URL を逐一 URL 窓に表示したりしているから……なのかな。

「また Opera 捏造系」にコメントを書く

関連する話題: セキュリティ / UA

2004年6月22日(火曜日)

台風の爪痕

帰り道、折れた状態で道ばたに放置されているビニール傘を 7本目撃。

私自身は傘をさしてすらいないのですが、知らないうちにけっこう大変なことになっていたようで。

「台風の爪痕」にコメントを書く

2004年6月21日(月曜日)

SSLを使わない人々

セキュリティホールmemo で「livedoorの情報セキュリティ (saya.c-moon.jp)」という話が紹介されていました。

SSL の必要性って消費者の皆さんにどの程度認識されているのだろう、と思う今日この頃。「SSL で保護されていないフォームに情報を入力している」という時点で「入力している人はこの情報が漏れても問題ないと考えている」と判断してしまって良いものなのだろうか、という疑問なのですが。

……ふと思ったのですが、ACCS の久保田理事に対して「どうして SSL を使っていなかったのですか?」と質問した人っていないのでしょうか?

「SSLを使わない人々」にコメントを書く

関連する話題: セキュリティ / Web / ACCS / SSL/TLS

2004年6月20日(日曜日)

二歩目撃

出がけに何気なくテレビを見ると、NHK 教育で将棋をやっていました。何となくそのまま見ていると、先手の豊川孝弘六段、2三に自分の歩がある状態にもかかわらず、2九に歩を打っちゃいました。

これはもちろん二歩で、打った瞬間に反則負け。もともと劣勢だったとは言え……。

プロでもやってしまうものなんですね。

「二歩目撃」へのコメント (4件)

2004年6月19日(土曜日)

リンゴジュースのユーザビリティ

たとえばオレンジジュースを買う場合、どれを買っても、多少の差はあれおおよそ同じようなものが手にはいるはずです。

しかしリンゴジュースの場合は違います。リンゴジュースには白く濁った「混濁」タイプと、茶色く透明な「クリア」タイプのものが存在します。これらはかなり異なっているのですが、困ったことにどちらも同じ「リンゴジュース」として売られています。

私はどちらかというと「混濁」タイプの方が好きなのですが、リンゴジュースの紙パックを見てもそれが混濁なのかクリアなのか分からず、店員さんに聞いてもやっぱり分からなかった、という経験があります。しかも、とりあえずそれを買ってみたら見事にクリアタイプで、かなり残念な思いをいたしました。

ところが最近のリンゴジュースはこれですよ。

これは非常に助かりますね。

「リンゴジュースのユーザビリティ」へのコメント (3件)

関連する話題: ユーザビリティ / 写真

2004年6月15日(火曜日)

またまた URL 偽装系ホゥル、と思いきやゾーンも偽装される

更新: 2004年6月20日

「IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性 (internet.watch.impress.co.jp)」という話。

http://[trusted_site]%2F%20%20%20.[malicious_site]/ のような URL にアクセスしようとしたとき……

[malicious_site] 側の DNS でワイルドカード A が設定されていると、サブドメインに %2F%20%20%20 なんてのが含まれていても平気で名前解決できてしまう
Host: に %2F%20%20%20 が含まれていても Bad Request にならない Web サーバだと、普通にアクセスできてしまう

……というわけでアクセスできてしまう場合があり、このとき IE はこのリソースを [trusted_site] の属するゾーンの権限で処理してしまうというお話。URL 欄が偽装されるだけではなく、実際にそのゾーンで処理されてしまうので、「クロスドメインのセキュリティモデルが崩壊している」状態であり、とても危険です。

Secuniaによると、IEの全セキュリティゾーンにおけるセキュリティレベルを“高”にすることでこの脆弱性を回避できるとしている。

以上、IE6のセキュリティゾーン設定をすり抜けられてしまう脆弱性より

って …… v4.windowsupdate.microsoft.com で ActiveX コントロールが動作しないと困るのですが……。

※ところで、Microsoft の DNS でワイルドカード A レコードって設定できるのでしょうか。追試しようと思ったのですがやり方が分からなくて……。

※2004-06-20 追記: こーせーさんから情報をいただきました(ありがとうございます)。Windows DNS では管理コンソールからワイルドカード Aレコードを設定することはできませんが、%systemroot%\system32\dns にあるファイルを直接書き換えれば設定できるようです。

「またまた URL 偽装系ホゥル、と思いきやゾーンも偽装される」へのコメント (3件)

関連する話題: セキュリティ / Windows / Internet Explorer

2004年6月13日(日曜日)

シャーマン狩り6

久々にやったら、あっさり「とうちゅうかそう」ゲット。

「シャーマン狩り6」にコメントを書く

関連する話題: ゲーム / テイルズオブファンタジア

2004年6月10日(木曜日)

セキュリティー啓蒙者が「テロリスト」と呼ばれた顛末

信蔵さん (shinzlogclips.blogspot.com)に教えて頂いたのですが (ありがとうございます)、インターネットマガジン 7月号 (i.impressrd.jp)に「善意か? やりすぎか? 不正侵入の是非が問われるACCS事件 - セキュリティー啓蒙者が「テロリスト」と呼ばれた顛末」という記事が出ていますね。

今まで各メディアから出た記事の多くは ACCS 側の発表をそのまま流したようなものでしたが (それが悪いという意味ではないです、念のため)、この記事は office さんや A.D.200x 側にも取材していますし、ヨセフアンドレオン、ファーストサーバの名前も出ています (思いっきり当事者なのに、これらの名前が出ている記事はほとんど無い!)。

特に新情報があるわけでもないのですが、事件の全貌をあまり良く知らないという方にはお勧めかと。