水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2004年のえび日記 > 2004年8月

2004年8月

2004年8月30日(月曜日)

自らブロックツールを提供

SoftEther による通信を検出または自動遮断するソフトウェア "SoftEther Alert" および "SoftEther Block" の無償提供を開始 (www.softether.com)」ってすごいですね。自分の所のものをブロックするツールとは。

まあ、もともと自ら「使い方によっては危険だ」という注意をしてきていたわけで、その危険を避けるために具体的なツールを用意するというのは理にかなっていますし、至れり尽くせりという感じではあります。

※……いや、ひょっとするとこれは「幇助(ほうじょ)の意思あり」とみなされないためなのではないかしら……などというのは流石に勘ぐりすぎだと思いますが、そんなことがどうしても脳裏を過ぎってしまう昨今。

関連する話題: セキュリティ

2004年8月29日(日曜日)

誰もいない部屋を冷やすクーラー

来てみたら、なんか誰もいないオフィスでクーラーだけが動いていたりしたのですが……。

最後にオフィスを出る人はクーラーもしっかり切りましょう (ただしサーバ室のクーラー除く)。

※いや、その前に私はちゃんとテレビを消して帰らないといかん。

関連する話題: 出来事 / 会社

2004年8月27日(金曜日)

Windows XP SP2

何故か一足早く Windows XP SP2 をインストールすることができたので、ぽつぽつと Windows XP SP2 のメモ などをとり始めたり。いや、まだできてなかったりしますが。

やっぱり IE の強化が嬉しいですね。「拡張子ではなく、内容によってファイルを開くこと」という項目はデフォルトでオンなのですが、これをオフにすれば某サイトも安心して利用できますね。

関連する話題: Microsoft / Windows / Windows XP

2004年8月22日(日曜日)

他人に見られても OK なパスワード

ともちゃ日記 (tomocha.net)個人情報の取扱 (tomocha.net)という話、送られてきたハガキの表にくっきりと ID、パスワードが印字してあってずっこけたという話なのですが、先方の見解 (tomocha.net)が載せられていますね。

確かにID・パスワードという表現をしておりますので、これを知り得た第三者が○○○様のさまざまな情報に接触できるとお感じになられたかと存じますが、このID・パスワードを使用しての操作においてそのような個人情報を閲覧したり引き出すなどの行為は一切できない状態で運用しております。ID・パスワードで閲覧できるのは○○○○様のセミナーの案内であり、そのエントリー画面です。弊社が管理する、個人情報とは切り離した状態での運用ですので是非ともご安心いただきますようお願い申し上げます。

これ、この ID とパスワードは第三者に見られても OK なものという見解のように読めます。ところで、「不正アクセス行為の禁止等に関する法律」二条二項では、識別符号というものを以下のように定義しているわけです。

一  当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号

二  当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号

三  当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号

管理者側から「第三者に見られても問題ない」という見解が表明された場合、それは明らかにこの二条二項一号の要件を満たさなくなりますし、他の要件も満たしませんので、識別符号に当たらないと言えそうです。

……他人様の識別符号を使って特定利用の制限を解除することは禁じられているのですが、そもそもそれが「識別符号」であるかどうかを見分けるのは存外難しいのかも知れないと思いました。

関連する話題: セキュリティ / 個人情報

SQLインジェクションねた

少し前に「やじうま Watch」でも紹介されていましたが、「某ネットバンクでのお話 (d.hatena.ne.jp)」。私も銀行系のセキュリティホールを見つけた経験は一応ありますが、こいつぁ乙女のあこがれ「ダイレクトSQLコマンドインジェクション」ですよ。

しかし、これが現実に起きているという確証はない。

君のような事をする者が他に居るとでも言うのか?

そして「実害なし」きたー。

しかし、こんな無茶苦茶な話に全く驚きを感じない自分が悲しいですね。

関連する話題: セキュリティ / SQLインジェクション

2004年8月21日(土曜日)

ドラマとか

なんか久々にいろいろテレビドラマとかを見ていたりしました。

昼頃、「白い巨塔」の昔の奴の総集編……ともかく気になるのは登場人物がもうバリバリ煙草を吸いまくるところ。いや、教育上云々ではなくて、私が息苦しくなるので (いや気のせいなんですけど)。やはり昭和のドラマという感じですね。

で夜、なんか良く分からないけど国選弁護人のドラマ。ストーリーが物凄くて、正直ついて行けませんでした。

ある事件の犯行の背景として、人を騙して 1億円の借金の保証人にして取り立てて自殺に追い込んだという話があったりします。で、保証人になった人、死ぬ前に「嵌められた」とこぼしていたようなのですが、だったら自殺しないでちゃんと訴えて下さい。そもそも主債務の金銭消費貸借契約自体が通謀虚偽表示で無効のような気がしますし、5000万円の慰謝料はあからさまな詐害行為です。そこまで気が回らなくとも、破産すれば間違いなく免責が取れるでしょうに。

それ以前に嵌める方の意図が分かりません。1億の負債を負わせても、1億持っていなければ支払えないわけですし、破産で免責を取られたらそれで終わり。そんな成功の見込みのない詐欺をはたらいたあげくに恨みを買って殺されているわけで、何を考えているのやらさっぱり分かりません。

で、一番分からないのはなんと言っても弁護士の娘を誘拐して弁護士に「無罪にしろ」と要求した奴。いや、誘拐なんかしなくても無罪にできるならしたいというのが弁護士だと思うのです。検事の娘を誘拐するなら分からないでもないのですが……。

関連する話題: 法律 / 思ったこと

2004年8月20日(金曜日)

奴を倒したので写真を撮ってみたという。

この縞模様ぶりからすると、こいつはたぶん「ヒトスジシマカ」ですね。

関連する話題: 写真

2004年8月18日(水曜日)

掲示板保存ルーチン修正

なんかしばらく前から、掲示板に投稿したりコメントをつけようと試みてさんざん待たされたあげく ThreadAbortException を喰らっている人が続発しているようで、かなり残念な思いをされていることと思います。ごめんなさい。

原因は実は良く分からないのですが、昔は発生していなかったので、単純に「掲示板のデータ量が増えて保存に時間がかかるようになった」のが原因なのかなと思ったりしています。そこで、掲示板のデータを保存するルーチンを改造してみました。

今まではデータをファイルに保存してから再読込していたのですが、新しいルーチンではとりあえずメモリだけ更新して、別スレッドでファイル保存を試みる感じ。……いや、下手すると投稿に成功したデータが消える場合があるという諸刃の剣なのですが、投稿できないよりよっぽどマシだと思うので。

しばらくこれで様子を見ますので、何か変なことが起きましたらお知らせ頂けると嬉しいです。

関連する話題: えび日記 / hatomaru.dll / C# / プログラミング

2004年8月16日(月曜日)

MLM とマルチ商法

MLM (Multi Level Marketing) という言葉は spam界 (ってどんな業界だ!?) では有名ですが、実は「マルチ商法」って元々 MLM の訳語なんですね。なんか私の中では全然結びついていませんでしたが、言われてみればそうですね。

関連する話題: 思ったこと

2004年8月15日(日曜日)

やわらかカルビ?

「焼肉」「カルビ」といえばどんなイメージですが、と問われてなかなかひとくちには言えないですが、噛むとそれなりの歯ごたえがあったり、かみしめると肉汁がじわっと出てきたり、といったイメージはあるのではないでしょうか。私にはありました。

ところで、「やわらか牛カルビ焼肉」という肉が売られていまして……。

カルビで焼肉なのだろうなと思うわけですが、開封してみると、なんか肉が変な感じなのです。

タレがかかっているのでわかりにくいのですが、タレのかかっていない部分をよく見ると、なんかサラミソーセージの断面といいますか、コンビーフといいますか、そんな顔をしておりまして。「これホントに牛肉?」などと思って、破り捨てた包装をよく見ますと……

「この製品は成形加工 (結着) したものです」なんて書いてあるわけですよ。さらに成分表 (?) を見ると、

肉の添加物として「カゼインNa」なんて書いてあるわけでして。カゼインといえば牛乳の蛋白質で、それを水溶性になるように処理したのがカゼインナトリウムですが、要するに増粘剤ですよね。つまるところ、細かい肉やら筋やら脂身やらを集めてつなぎを入れてプレスして結着したもののようで。

食べたのですが……確かに通常のカルビとは全く異なる歯ごたえですが、それを「やわらか」という語で表現するのは妥当なのでしょうか。腸詰めって「プツン」という歯ごたえがあったり肉汁が豊富だったりしますが、あれは腸詰めだからなのであって、外側の皮を取り除いてしまったらどちらも得られないのではないのかな、と思ったりしました。

こういうものが存在すること自体を否定しようとは思わないのですが、カルビって名前を表示して売るのはやめませんか?

関連する話題: 飲食物

2004年8月11日(水曜日)

なんか見覚えある感じの Nullporce

IT Media の「夏のジョークにしては悪質? Winny経由で広まるトロイの木馬「Nullporce」 (www.itmedia.co.jp)」という記事ですが、

一言で説明すると、このトロイの木馬は圧縮ファイルの中に以下のような感じで含まれている。

..\..\..\..\..\..\Documents and Settings\All Users\スタート メニュー\プログラム\スタートアップ\NULLPORCE.EXE

以上、夏のジョークにしては悪質? Winny経由で広まるトロイの木馬「Nullporce」 (2/2) より

うわー、なんかものすごく見たことあるようなパスが。早速来たという感じですね。

※某プレゼン資料の 37ページ

関連する話題: セキュリティ

2004年8月10日(火曜日)

取り扱い終了の場合

IPA に届け出た脆弱性の全てが「修正」されるかというとそうでもなく、以下のような場合は修正されないまま「取り扱い終了」となることがあります。

ところで、情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)や、経済産業省の告示「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) の内容を見ると、脆弱性の発見者は「脆弱性が修正されるまでの間」脆弱性関連情報が第三者に漏れないようにするべき旨が書かれています。

これを素直に読めば、前者は脆弱性ではないということで問題ないとしても、後者は修正されていない脆弱性なわけですから、いつまで経っても公開できないという事になりそうですね。それで良いのかしら……。

関連する話題: セキュリティ / IPA

2004年8月9日(月曜日)

Cookie の secure フラグの動作が謎

更新: 2005年3月20日

とある HTTPS なログインフォームに ID とパスワードを入れてログインすると、セッション Cookie が発行されます。その Cookie には secure フラグがついていません。ここで、ドメインをそのままにスキームだけ HTTP に変えた URL に誘導してやると、非 SSL で Cookie: フィールドが流れる……。

……と思いきや、何故か Cookie: フィールドは送られず。何でやねん。

気を取り直して Firefox で試してみたら、しっかり Cookie は流れました。しかし IE6 では何度やっても Cookie 流れず。うーん、あえてそういうふうにしてあるのですかね?

※2005-03-20追記: Cookie に secure フラグがついていない件は脆弱性として処理され、修正されました。

関連する話題: セキュリティ / ニフティ / ココログ / Internet Explorer / SSL/TLS

2004年8月6日(金曜日)

ニフティの spam 対策

@nifty、大量迷惑メールの発信元からは受信を拒否する措置 (internet.watch.impress.co.jp)」だそうですが、気になったのはこの辺。

宛先不明のメールは発信元に返送する設定だったが、発信元自体も宛先不明のため、再び@niftyにメールが返送されてくる悪循環を招いていた。

以上、@nifty、大量迷惑メールの発信元からは受信を拒否する措置 より

うーん、いちおう RFC2821 の 6.1 あたりでは

ということになっているので、バウンスしたメールにさらにバウンスが返ってきたりはしないようになっているはずなのですが……。世の中ちゃんとしたメールサーバばかりではない、ということですか。

関連する話題: セキュリティ / ニフティ / spam / メール / MTA

進化する架空請求

セキュリティホールmemoバーチャルネットハッカーっ娘 沙耶16歳 (saya.c-moon.jp) で紹介されていた 新たな手口に御注意! (www.city.kyoto.jp) という話ですが、これはちょっと要注意ですね。

今までは基本的には架空請求は無視がセオリーでしたが、少額訴訟を起こされた場合は無視すると敗訴で判決が確定してしまい、強制執行というシナリオがあり得るわけで、ちゃんと答弁する必要があります。とてつもなく面倒ですね。

架空請求といえば、「わここ、つぶやく。 (www.mni.ne.jp)」の 8/5 の話も面白いです。こんなのもあるんですね。

関連する話題: セキュリティ / 法律

2004年8月5日(木曜日)

SQL 系

更新: 2004年10月18日

とあるサイトで、URL の末尾がちょっと欠けたりすると

Database error: Invalid SQL: SELECT num……(以下略)

などというエラーが出てしまうのに気づいたり。

これはちょっとまずそうな予感がするのですけれど、確信を得るためにはいろいろしなくてはならず、しかしながらそれはとても危険なので何とも。やっぱり、この手のものは疑惑段階で届け出てしまうのが良いのかしら。

※2004-10-18 追記: 届け出ようかと思って念のため再確認したら、いつのまにか修正されていました。というわけで届け出ずに済みました。めでたしめでたし。

関連する話題: セキュリティ

2004年8月4日(水曜日)

ACCS 謎の更新

ASK ACCS に「「A.D.200X」代表者による謝罪について (www.askaccs.ne.jp)」というものが追加されていますね。なんで 1ヶ月半前の話が今ここに出てくるのかは良く分からないですが。

セキュリティホール問題 (www.askaccs.ne.jp)」のほうも更新されていて、経緯がみっしり書かれていますね。分かりやすくなったのは良いのですが、これは誤りかな。

・「A.D.2003」の参加者の少年1名が下記の成人2名と同様、不正アクセス禁止法違反の疑いで書類送検される。

どこか別の所でも書いたような気がしますが、これは送検 (検察送致) ではなくて家裁送致でしょう。逆送というのもあるのですが、こんなくだらない事例で逆送される訳がありませんので。

※あとどうでも良いのですが、お詫び系のはずのコンテンツにアニメーションする「NEW」アイコンをつけているのが興味深いですね。アニメーションする NEW をつけたがる人ってけっこういるのですが、その説得に使えそうな気がします。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年8月3日(火曜日)

画像の XSS

はてな、画像アップロードシステムのXSS脆弱性を修正 (internet.watch.impress.co.jp)」というお話。

……そもそも、任意の画像が置けるというだけでけっこうマズイ事が起きたりしますね。実は hatomaru.dll にも画像添付投稿機能があるのですが、送られたものをそのまま置くのではなく、画像の内容を読んで強制的に PNG に変換したりしているので問題ない……つもりです。

※逆に言うと、送られたものをそのまま置けてしまう場合はちょっと注意した方が良いということ。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

ココログ大アンケート復活

再開してますね。ニフティからは修正内容について何のアナウンスもないようですが……。

簡単に書いておくと、ソースに以下のような部分がありまして、

<input type="hidden" name="error_URL" value="http://www.cocolog-nifty.com/hakusyo/error.html">

何も入力せずに送信すると (必須項目がないのでエラーとなって) 302 応答となり、

Location: http://www.cocolog-nifty.com/hakusyo/error.html

というフィールドを含む HTTP 応答ヘッダが送られてきます。

実はこの Location: の値、フォームの hidden値をそのまま出力しているだけで、何のサニタイズもしていなかったのです。そのため、この値に CR+LF を含めてやったりするといろいろできてしまったのでした。

※Status: 200 OK\r\n なんてのを含めるとステータスも変えられるというのが興味深かったです。

現在は修正されているので、error_URL の値に CR+LF を混入したりしても「error_URLが不正です。」と言われるだけで何も起きません。

関連する話題: ニフティ / セキュリティ / ココログ / クロスサイトスクリプティング脆弱性

2004年8月2日(月曜日)

officeさん第三回公判

7/30 の第三回公判ですが、「ACCS不正アクセス事件公判、第3回も非公開に (www.itmedia.co.jp)」ということで、全然情報が流れてこないですね。

そもそも、サーバのディレクトリ構造などは正規のユーザにはある程度公開される情報ですし (公開されていなくても自作 CGI が置けるなら調べられる)、この期に及んでまだ隠すことがあるのでしょうか。ぶっちゃけた話、「サーバの構造が知られるとマズイ」ということは、少なくとも「サーバの構造が知られても全然問題ない」と自信を持って断言することができない状態ということなわけで、そういうサーバ屋ってどうなのだろうと思うわけですが。

※でも、事実そういう状態なのかもしれません。なにしろ csvmail.cgi のようなものを平気でリリースしたわけですから……。

※怖くて試せていない某件については、やっぱり疑惑段階で IPA に届け出ておいた方が良いのかもしれないなぁと思ったりしました。

そういえば、いつのまにか「ACCS裁判を追う (www.itmedia.co.jp)」という特集ができているのですね。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

2004年8月1日(日曜日)

「正しくない」URL の処理

用語集のリンク元がダブるという問題に対処したつもり。

ついでに「正しくない」URL でアクセスすると警告が出るようにしたつもり。正しい URL なのに警告されたりしているようでしたら教えて下さい。

関連する話題: えび日記 / hatomaru.dll

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト