水無月ばけらのえび日記

自らブロックツールを提供

「SoftEther による通信を検出または自動遮断するソフトウェア "SoftEther Alert" および "SoftEther Block" の無償提供を開始 (www.softether.com)」ってすごいですね。自分の所のものをブロックするツールとは。

まあ、もともと自ら「使い方によっては危険だ」という注意をしてきていたわけで、その危険を避けるために具体的なツールを用意するというのは理にかなっていますし、至れり尽くせりという感じではあります。

※……いや、ひょっとするとこれは「幇助(ほうじょ)の意思あり」とみなされないためなのではないかしら……などというのは流石に勘ぐりすぎだと思いますが、そんなことがどうしても脳裏を過ぎってしまう昨今。

• 「自らブロックツールを提供」にコメントを書く

関連する話題: セキュリティ

誰もいない部屋を冷やすクーラー

来てみたら、なんか誰もいないオフィスでクーラーだけが動いていたりしたのですが……。

最後にオフィスを出る人はクーラーもしっかり切りましょう (ただしサーバ室のクーラー除く)。

※いや、その前に私はちゃんとテレビを消して帰らないといかん。

• 「誰もいない部屋を冷やすクーラー」にコメントを書く

関連する話題: 出来事 / 会社

Windows XP SP2

何故か一足早く Windows XP SP2 をインストールすることができたので、ぽつぽつと Windows XP SP2 のメモ などをとり始めたり。いや、まだできてなかったりしますが。

やっぱり IE の強化が嬉しいですね。「拡張子ではなく、内容によってファイルを開くこと」という項目はデフォルトでオンなのですが、これをオフにすれば某サイトも安心して利用できますね。

• 「Windows XP SP2」へのコメント (2件)

関連する話題: Microsoft / Windows / Windows XP

他人に見られても OK なパスワード

ともちゃ日記 (tomocha.net)の 個人情報の取扱 (tomocha.net)という話、送られてきたハガキの表にくっきりと ID、パスワードが印字してあってずっこけたという話なのですが、先方の見解 (tomocha.net)が載せられていますね。

これ、この ID とパスワードは第三者に見られても OK なものという見解のように読めます。ところで、「不正アクセス行為の禁止等に関する法律」二条二項では、識別符号というものを以下のように定義しているわけです。

管理者側から「第三者に見られても問題ない」という見解が表明された場合、それは明らかにこの二条二項一号の要件を満たさなくなりますし、他の要件も満たしませんので、識別符号に当たらないと言えそうです。

……他人様の識別符号を使って特定利用の制限を解除することは禁じられているのですが、そもそもそれが「識別符号」であるかどうかを見分けるのは存外難しいのかも知れないと思いました。

• 「他人に見られても OK なパスワード」にコメントを書く

関連する話題: セキュリティ / 個人情報

SQLインジェクションねた

少し前に「やじうま Watch」でも紹介されていましたが、「某ネットバンクでのお話 (d.hatena.ne.jp)」。私も銀行系のセキュリティホールを見つけた経験は一応ありますが、こいつぁ乙女のあこがれ「ダイレクトSQLコマンドインジェクション」ですよ。

そして「実害なし」きたー。

しかし、こんな無茶苦茶な話に全く驚きを感じない自分が悲しいですね。

• 「SQLインジェクションねた」にコメントを書く

関連する話題: セキュリティ / SQLインジェクション

ドラマとか

なんか久々にいろいろテレビドラマとかを見ていたりしました。

昼頃、「白い巨塔」の昔の奴の総集編……ともかく気になるのは登場人物がもうバリバリ煙草を吸いまくるところ。いや、教育上云々ではなくて、私が息苦しくなるので (いや気のせいなんですけど)。やはり昭和のドラマという感じですね。

で夜、なんか良く分からないけど国選弁護人のドラマ。ストーリーが物凄くて、正直ついて行けませんでした。

ある事件の犯行の背景として、人を騙して 1億円の借金の保証人にして取り立てて自殺に追い込んだという話があったりします。で、保証人になった人、死ぬ前に「嵌められた」とこぼしていたようなのですが、だったら自殺しないでちゃんと訴えて下さい。そもそも主債務の金銭消費貸借契約自体が通謀虚偽表示で無効のような気がしますし、5000万円の慰謝料はあからさまな詐害行為です。そこまで気が回らなくとも、破産すれば間違いなく免責が取れるでしょうに。

それ以前に嵌める方の意図が分かりません。1億の負債を負わせても、1億持っていなければ支払えないわけですし、破産で免責を取られたらそれで終わり。そんな成功の見込みのない詐欺をはたらいたあげくに恨みを買って殺されているわけで、何を考えているのやらさっぱり分かりません。

で、一番分からないのはなんと言っても弁護士の娘を誘拐して弁護士に「無罪にしろ」と要求した奴。いや、誘拐なんかしなくても無罪にできるならしたいというのが弁護士だと思うのです。検事の娘を誘拐するなら分からないでもないのですが……。

• 「ドラマとか」にコメントを書く

関連する話題: 法律 / 思ったこと

蚊

奴を倒したので写真を撮ってみたという。

この縞模様ぶりからすると、こいつはたぶん「ヒトスジシマカ」ですね。

• 「蚊」にコメントを書く

関連する話題: 写真

掲示板保存ルーチン修正

なんかしばらく前から、掲示板に投稿したりコメントをつけようと試みてさんざん待たされたあげく ThreadAbortException を喰らっている人が続発しているようで、かなり残念な思いをされていることと思います。ごめんなさい。

原因は実は良く分からないのですが、昔は発生していなかったので、単純に「掲示板のデータ量が増えて保存に時間がかかるようになった」のが原因なのかなと思ったりしています。そこで、掲示板のデータを保存するルーチンを改造してみました。

今まではデータをファイルに保存してから再読込していたのですが、新しいルーチンではとりあえずメモリだけ更新して、別スレッドでファイル保存を試みる感じ。……いや、下手すると投稿に成功したデータが消える場合があるという諸刃の剣なのですが、投稿できないよりよっぽどマシだと思うので。

しばらくこれで様子を見ますので、何か変なことが起きましたらお知らせ頂けると嬉しいです。

• 「掲示板保存ルーチン修正」へのコメント (1件)

関連する話題: えび日記 / hatomaru.dll / C# / プログラミング

MLM とマルチ商法

MLM (Multi Level Marketing) という言葉は spam界 (ってどんな業界だ!?) では有名ですが、実は「マルチ商法」って元々 MLM の訳語なんですね。なんか私の中では全然結びついていませんでしたが、言われてみればそうですね。

• 「MLM とマルチ商法」にコメントを書く

関連する話題: 思ったこと

やわらかカルビ?

「焼肉」「カルビ」といえばどんなイメージですが、と問われてなかなかひとくちには言えないですが、噛むとそれなりの歯ごたえがあったり、かみしめると肉汁がじわっと出てきたり、といったイメージはあるのではないでしょうか。私にはありました。

ところで、「やわらか牛カルビ焼肉」という肉が売られていまして……。

カルビで焼肉なのだろうなと思うわけですが、開封してみると、なんか肉が変な感じなのです。

タレがかかっているのでわかりにくいのですが、タレのかかっていない部分をよく見ると、なんかサラミソーセージの断面といいますか、コンビーフといいますか、そんな顔をしておりまして。「これホントに牛肉?」などと思って、破り捨てた包装をよく見ますと……

「この製品は成形加工 (結着) したものです」なんて書いてあるわけですよ。さらに成分表 (?) を見ると、

肉の添加物として「カゼインNa」なんて書いてあるわけでして。カゼインといえば牛乳の蛋白質で、それを水溶性になるように処理したのがカゼインナトリウムですが、要するに増粘剤ですよね。つまるところ、細かい肉やら筋やら脂身やらを集めてつなぎを入れてプレスして結着したもののようで。

食べたのですが……確かに通常のカルビとは全く異なる歯ごたえですが、それを「やわらか」という語で表現するのは妥当なのでしょうか。腸詰めって「プツン」という歯ごたえがあったり肉汁が豊富だったりしますが、あれは腸詰めだからなのであって、外側の皮を取り除いてしまったらどちらも得られないのではないのかな、と思ったりしました。

こういうものが存在すること自体を否定しようとは思わないのですが、カルビって名前を表示して売るのはやめませんか?

• 「やわらかカルビ?」にコメントを書く

関連する話題: 飲食物

なんか見覚えある感じの Nullporce

IT Media の「夏のジョークにしては悪質？　Winny経由で広まるトロイの木馬「Nullporce」 (www.itmedia.co.jp)」という記事ですが、

うわー、なんかものすごく見たことあるようなパスが。早速来たという感じですね。

※某プレゼン資料の 37ページ

• 「なんか見覚えある感じの Nullporce」にコメントを書く

関連する話題: セキュリティ

取り扱い終了の場合

IPA に届け出た脆弱性の全てが「修正」されるかというとそうでもなく、以下のような場合は修正されないまま「取り扱い終了」となることがあります。

• セキュリティ上の問題ではないと判断された場合
• ウェブサイト運営者と連絡が取れなかった場合

ところで、情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)や、経済産業省の告示「ソフトウエア等脆弱性関連情報取扱基準」(平成16年経済産業省告示 第235号) の内容を見ると、脆弱性の発見者は「脆弱性が修正されるまでの間」脆弱性関連情報が第三者に漏れないようにするべき旨が書かれています。

これを素直に読めば、前者は脆弱性ではないということで問題ないとしても、後者は修正されていない脆弱性なわけですから、いつまで経っても公開できないという事になりそうですね。それで良いのかしら……。

• 「取り扱い終了の場合」にコメントを書く

関連する話題: セキュリティ / IPA

Cookie の secure フラグの動作が謎

更新: 2005年3月20日

とある HTTPS なログインフォームに ID とパスワードを入れてログインすると、セッション Cookie が発行されます。その Cookie には secure フラグがついていません。ここで、ドメインをそのままにスキームだけ HTTP に変えた URL に誘導してやると、非 SSL で Cookie: フィールドが流れる……。

……と思いきや、何故か Cookie: フィールドは送られず。何でやねん。

気を取り直して Firefox で試してみたら、しっかり Cookie は流れました。しかし IE6 では何度やっても Cookie 流れず。うーん、あえてそういうふうにしてあるのですかね?

※2005-03-20追記: Cookie に secure フラグがついていない件は脆弱性として処理され、修正されました。

• 「Cookie の secure フラグの動作が謎」へのコメント (2件)

関連する話題: セキュリティ / ニフティ / ココログ / Internet Explorer / SSL/TLS

ニフティの spam 対策

「＠nifty、大量迷惑メールの発信元からは受信を拒否する措置 (internet.watch.impress.co.jp)」だそうですが、気になったのはこの辺。

うーん、いちおう RFC2821 の 6.1 あたりでは

• DSN のバウンスの際にはエンベロープ From を <> にする
• エンベロープ From が <> なメールに対してはバウンスしない

ということになっているので、バウンスしたメールにさらにバウンスが返ってきたりはしないようになっているはずなのですが……。世の中ちゃんとしたメールサーバばかりではない、ということですか。

• 「ニフティの spam 対策」にコメントを書く

関連する話題: セキュリティ / ニフティ / spam / メール / MTA

進化する架空請求

セキュリティホールmemo や バーチャルネットハッカーっ娘 沙耶16歳 (saya.c-moon.jp) で紹介されていた 新たな手口に御注意！ (www.city.kyoto.jp) という話ですが、これはちょっと要注意ですね。

今までは基本的には架空請求は無視がセオリーでしたが、少額訴訟を起こされた場合は無視すると敗訴で判決が確定してしまい、強制執行というシナリオがあり得るわけで、ちゃんと答弁する必要があります。とてつもなく面倒ですね。

架空請求といえば、「わここ、つぶやく。 (www.mni.ne.jp)」の 8/5 の話も面白いです。こんなのもあるんですね。

• 「進化する架空請求」にコメントを書く

関連する話題: セキュリティ / 法律

SQL 系

更新: 2004年10月18日

とあるサイトで、URL の末尾がちょっと欠けたりすると

などというエラーが出てしまうのに気づいたり。

これはちょっとまずそうな予感がするのですけれど、確信を得るためにはいろいろしなくてはならず、しかしながらそれはとても危険なので何とも。やっぱり、この手のものは疑惑段階で届け出てしまうのが良いのかしら。

※2004-10-18 追記: 届け出ようかと思って念のため再確認したら、いつのまにか修正されていました。というわけで届け出ずに済みました。めでたしめでたし。

• 「SQL 系」にコメントを書く

関連する話題: セキュリティ

ACCS 謎の更新

ASK ACCS に「「A.D.200X」代表者による謝罪について (www.askaccs.ne.jp)」というものが追加されていますね。なんで 1ヶ月半前の話が今ここに出てくるのかは良く分からないですが。

「セキュリティホール問題 (www.askaccs.ne.jp)」のほうも更新されていて、経緯がみっしり書かれていますね。分かりやすくなったのは良いのですが、これは誤りかな。

どこか別の所でも書いたような気がしますが、これは送検 (検察送致) ではなくて家裁送致でしょう。逆送というのもあるのですが、こんなくだらない事例で逆送される訳がありませんので。

※あとどうでも良いのですが、お詫び系のはずのコンテンツにアニメーションする「NEW」アイコンをつけているのが興味深いですね。アニメーションする NEW をつけたがる人ってけっこういるのですが、その説得に使えそうな気がします。

• 「ACCS 謎の更新」へのコメント (2件)

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

画像の XSS

「はてな、画像アップロードシステムのXSS脆弱性を修正 (internet.watch.impress.co.jp)」というお話。

……そもそも、任意の画像が置けるというだけでけっこうマズイ事が起きたりしますね。実は hatomaru.dll にも画像添付投稿機能があるのですが、送られたものをそのまま置くのではなく、画像の内容を読んで強制的に PNG に変換したりしているので問題ない……つもりです。

※逆に言うと、送られたものをそのまま置けてしまう場合はちょっと注意した方が良いということ。

• 「画像の XSS」にコメントを書く

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

ココログ大アンケート復活

再開してますね。ニフティからは修正内容について何のアナウンスもないようですが……。

簡単に書いておくと、ソースに以下のような部分がありまして、

何も入力せずに送信すると (必須項目がないのでエラーとなって) 302 応答となり、

というフィールドを含む HTTP 応答ヘッダが送られてきます。

実はこの Location: の値、フォームの hidden値をそのまま出力しているだけで、何のサニタイズもしていなかったのです。そのため、この値に CR+LF を含めてやったりするといろいろできてしまったのでした。

※Status: 200 OK\r\n なんてのを含めるとステータスも変えられるというのが興味深かったです。

現在は修正されているので、error_URL の値に CR+LF を混入したりしても「error_URLが不正です。」と言われるだけで何も起きません。

• 「ココログ大アンケート復活」にコメントを書く

関連する話題: ニフティ / セキュリティ / ココログ / クロスサイトスクリプティング脆弱性

officeさん第三回公判

7/30 の第三回公判ですが、「ACCS不正アクセス事件公判、第3回も非公開に (www.itmedia.co.jp)」ということで、全然情報が流れてこないですね。

そもそも、サーバのディレクトリ構造などは正規のユーザにはある程度公開される情報ですし (公開されていなくても自作 CGI が置けるなら調べられる)、この期に及んでまだ隠すことがあるのでしょうか。ぶっちゃけた話、「サーバの構造が知られるとマズイ」ということは、少なくとも「サーバの構造が知られても全然問題ない」と自信を持って断言することができない状態ということなわけで、そういうサーバ屋ってどうなのだろうと思うわけですが。

※でも、事実そういう状態なのかもしれません。なにしろ csvmail.cgi のようなものを平気でリリースしたわけですから……。

※怖くて試せていない某件については、やっぱり疑惑段階で IPA に届け出ておいた方が良いのかもしれないなぁと思ったりしました。

そういえば、いつのまにか「ACCS裁判を追う (www.itmedia.co.jp)」という特集ができているのですね。

• 「officeさん第三回公判」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

「正しくない」URL の処理

用語集のリンク元がダブるという問題に対処したつもり。

ついでに「正しくない」URL でアクセスすると警告が出るようにしたつもり。正しい URL なのに警告されたりしているようでしたら教えて下さい。

• 「「正しくない」URL の処理」へのコメント (5件)

関連する話題: えび日記 / hatomaru.dll