水無月ばけらのえび日記

打ち上げ成功

「MTSAT-1R/H-IIA・F7の打上げ結果について (www.jaxa.jp)」。成功ということで、MTSAT がようやく (ホント、ようやく) 稼働できますね。良かった良かった。

衛星の命名はまだのようですが、ひまわりの後継ということで「ひまわり6号」になるのかしら。

• 「打ち上げ成功」へのコメント (2件)

関連する話題: 出来事

25日終了のはずのフォーム

「25日に終了」と書いてあるからまあいいかと放置していたら、なんか 26日になっても残っていたりするという……。

• 「25日終了のはずのフォーム」にコメントを書く

関連する話題: セキュリティ

ファイルの誤った公開

TOTORO(トトロ)の自堕落　日記 (d.hatena.ne.jp)に「本当に良いのかな？ (d.hatena.ne.jp)」という話が出ていますが、現在では index.htm を置くことで対処しているようですね。この対応には問題がありますが……。

※普通、cgi-bin というディレクトリは document_root 下に置いたりせずに、ScriptAlias で参照するものです。ただ、レンタルサーバだとできないことがあったりして、それがまた不幸を招いたりするわけですが。

• 「ファイルの誤った公開」にコメントを書く

関連する話題: セキュリティ

若者も小さい文字が嫌い?

Jakob Nielsen博士のAlertbox (www.usability.gr.jp)より。

18へぇ。小さい文字は「斜め読み」に向いておらず、高速でガンガンブラウズして行きたいときには不便だということなのかしら。

• 「若者も小さい文字が嫌い?」へのコメント (1件)

関連する話題: セキュリティ

他人のコンテンツを自ドメインに持ってくると……

「公益性のない無断複製自動公衆送信 (takagi-hiromitsu.jp)」って……匂わせるようなことしか書かれていないですが、そのスクリプトがあちらのドメインで実行されたらどうなりますか、という話ですね。なんとも風変わりな XSS です。

本質的には Google キャッシュにも同じ問題があるはずですが、Google の場合はページの頭に Google キャッシュだということを示す表示が追加されますので、本物と紛らわしかったりはしないのでしょう。

• 「他人のコンテンツを自ドメインに持ってくると……」にコメントを書く

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

ココログは SSI インジェクション可能

更新: 2005年4月7日

ココログにはビジネスユースもあるということで 2件の脆弱性を届け出ていたのですが、2件とも取扱い終了となりました。

そのうちの 1件は SSI インジェクションの事例なのですが、ウェブサイト運営者はこれを脆弱性ではないと主張したようで、修正されないまま取扱い終了となっています。exec cmd は使えないようですので、大きな問題は無いといえば無いのかもしれませんが……ちょっとひっかかる感じがしますね。

まあ、ウェブサイト運営者が脆弱性でないと言うからにはテストしても問題ないでしょうし、情報を公開しても問題ないでしょう。近いうちに、どのようにしてココログに SSI がインジェクションできるのか、それで何ができるのかをまとめて書こうかなと思っています。

※なお、もう 1件の方は確かに修正されていることを確認しました。今のところニフティからのアナウンスはないみたいですが……まあ、一生アナウンスされない可能性が高いですね。

※2005-03-12 追記: 「近いうちに」と書きましたが、しばらく情報の公開を見送ります。先送りの理由は述べられませんが、お察しください。

※2005-04-07 追記: ココログには任意のファイルが置けるようになりました。SSI を含む HTML をそのまんま置けますので、もはや技も何も必要なくなっています。

• 「ココログは SSI インジェクション可能」へのコメント (2件)

関連する話題: ニフティ / ココログ / セキュリティ

Firefox IDN対応は……

Firefox、Mozillaの次回リリースでのIDN機能無効化は回避 ドメイン名をPunycodeで表示する方向に (internet.watch.impress.co.jp)……だそうで。

ということは、日本語.jp (xn--wgv71a119e.jp)なんてのは http://日本語.jp にアクセスするとアドレスバーに http://xn--wgv71a119e.jp/ と表示されることになるわけですが……これはこれで、似たような Punycode で表現されるドメインを用意されると紛らわしいような気がします。詐欺サイトを見分けるためには本物が http://xn--wgv71a119e.jp/ であることを覚えておかないといけないわけですが、無理です。

やっぱり、国際化ドメイン名は使えないという結論になってしまうのですかね。

• 「Firefox IDN対応は……」へのコメント (4件)

関連する話題: セキュリティ

それは本物の Firefox ですか?

オレオレ証明書の話をしていたら、怪しげなルート証明書をインストールする危険性の話になり、そこから「そういえば Firefox はルート証明書がついている状態でインストールされますよね」という話が持ち上がりました。

これは言われてみれば全くその通りで、その Firefox のルート証明書のフィンガープリントを確認している人なんていないでしょう。それ以前に、そもそもそれが本物の Firefox なのかどうかさえも分からないのですよね。ミラーサイトのドメインなんていちいち覚えていない人が多いでしょうし、偽のミラーサイトを用意するのはそれほど困難ではないのかもれしません。

• 「それは本物の Firefox ですか?」へのコメント (29件)

関連する話題: セキュリティ / SSL/TLS

変なspam

……というのが、ISP のメールサーバとかではなくて動的に割り振られたと見られる IP アドレスから直接送信されているわけですね。自宅にメールサーバを立てる技術があるひとは、こんなの不思議に思って返信したりしないと思うの……。

• 「変なspam」にコメントを書く

関連する話題: spam / MTA

ASP.NET に XSS?

更新: 2005年2月20日

セキュリティホールmemo (www.st.ryukoku.ac.jp)から、XSS vulnerabilty in ASP.Net [with details] (www.st.ryukoku.ac.jp)というお話。

タイトルだけ見たら ASP.NET 自体にミドルウェアの欠陥として XSS が存在するかのように思えたので焦りましたが、そうではないみたいですね。

ASP.NET には、危険なリクエストを受けると例外をスローする validateRequest という機能があります。これはデフォルトで有効になっていて、プログラマがサニタイズを怠っていても問題が起きにくいようになっています。たとえば、POST されてきたクエリに <script> という文字列が含まれていると、こんなメッセージが出たりするわけです。

ところが、< のかわりに全角の(U+FF1Cの)「＜」を使用すると、この検証を通り抜けます。さらに、responseEncoding を windows-1251 (キリル文字) にしていると、これが正規化されて < に変化し、結果的に貫通してしまうという話のようです。

というわけなのですが、プログラマが外部入力値をサニタイズしていれば問題ありません。ASP.NET の機能に甘えず、きっちりサニタイズしておきましょうということで。

※ちなみに、ここではそもそも validateRequest を無効にしてあります。経緯については 掲示板の #138 あたりを参照。

※2005-02-20 追記: これは validateRequest に限った問題ではなく、responseEncoding が windows- 系の場合は全角のものもサニタイズしないといけないですね。CultureInfo.InvariantCulture の話というのは、こういう局面で生きてくるのでしょう。

• 「ASP.NET に XSS?」へのコメント (12件)

関連する話題: セキュリティ / ASP.NET / クロスサイトスクリプティング脆弱性

カーネルrootkit

MS研究者、「カーネルrootkits」の脅威を警告 (www.itmedia.co.jp)……だそうで。rootkit って何となく UNIX 系環境と結びついたイメージがありましたが、Windows にもあるのですね。考えてみれば当たり前なのですけれど。

• 「カーネルrootkit」にコメントを書く

関連する話題: セキュリティ / Windows

URL偽装系新技

更新: 2005年5月12日

セキュリティホールmemoで紹介されていた (www.st.ryukoku.ac.jp)、[Full-Disclosure] IE/OE Restricted Zone Status Bar Spoofing (lists.netsys.com)というお話。URL 偽装系の新技ですが、label要素がこう使えるとは盲点でした。

結構驚いたのですが、こんなのを書いてみると……

IE の場合、ラベルの方をクリックしただけで遷移してしまいます。IE は a要素もコントロールとして扱っているということなのでしょうか。

• 「URL偽装系新技」にコメントを書く

関連する話題: セキュリティ / HTML

ケーブルアンドワイヤレスIDC名称変更

C＆W IDC、「日本テレコムIDC」に社名変更 (www.itmedia.co.jp)……だそうで。

まあ別に良いのですが、ドメインも変えたりするのかしら。そうなると DNS まわりでいろいろと面倒なことが……。

※2005-05-12 追記: 案の定 cwidc.net が idc.jp に変更になりました。

• 「ケーブルアンドワイヤレスIDC名称変更」にコメントを書く

関連する話題: 思ったこと

TTYが終了

正式にアナウンスが出ましたね。「ワープロ・パソコン通信」サービスの終了について (news.nifty.co.jp)。

Q&A があるのですが、

いや、そうじゃなくて……。有料のセキュリティサービスを充実させる前に、Web 上のインターフェイスにゴロゴロある脆弱性をどうにかしましょうよ。

※2005-02-23 追記: ゴロゴロあるもののうち、ココログ関係の 2件については取扱い終了しました。「ココログは SSI インジェクション可能」を参照。

• 「TTYが終了」へのコメント (6件)

関連する話題: ニフティ

ガミガミシティのエレベータ使用禁止

PSP は持っていないのですが、こういうニュースは気になりますね……PSP®専用ソフト「ポポロクロイス物語　ピエトロ王子の冒険」『「闇の獅子王編」第２章で発生する「ガミガミシティ」につながる鉄の橋における落下現象』の原因と対処方法について (www.playstation.jp)。

エレベータ使用禁止らしいです。

• 「ガミガミシティのエレベータ使用禁止」へのコメント (1件)

関連する話題: ゲーム

IE7

「Microsoft、IE 7.0ベータ版をWindows XP SP2向けに今夏公開 (internet.watch.impress.co.jp)」……ということで。気になるのは、セキュリティ面よりも CSS への対応具合ですが……。

• 「IE7」にコメントを書く

関連する話題: Microsoft / Windows / Internet Explorer

OWA の脆弱性が再現しない

更新: 2005年2月15日

セキュリティホールmemo の「[Full-Disclosure] Microsoft Outlook Web Access URL Injection Vulnerability (www.st.ryukoku.ac.jp)」という話、スターダストさんの所の「Microsoft Outlook Web Access URL Injection (d.hatena.ne.jp)」と同じ話ですが……何故か手元では再現しないのですよね。PoC の URL にアクセスするとログインフォームは出ますが、ログインしても、/CookieAuth.dll?Logon に POST したところで 400 応答になって

と言われて終了し、悪意あるリダイレクトが発生しません。いつものようなログインはできていないので影響は受けているのですが、攻撃としては失敗している感じです。

日本語版だとこうなるのか……あるいは、ここの環境が独自にパッチを当てているのかしら。

※追記: よく考えたら手元の環境にはリバースプロキシが存在しているので、それが原因のような気がしました。

• 「OWA の脆弱性が再現しない」へのコメント (3件)

関連する話題: セキュリティ

ハンゲームに脆弱性?

351件のハンゲームユーザーIDに不正アクセス、うち131件には実被害も (internet.watch.impress.co.jp)……だそうですが、これはセッション管理の不備か何かなのでしょうか。

「問題を解消した」というなら、悪用されようがないと思うのですが……。

• 「ハンゲームに脆弱性?」にコメントを書く

関連する話題: セキュリティ

一太郎2005&花子2005スペシャルパック

少し前までは「今回のバージョンアップは見送りかな……」などと考えていたのですが、問題のアイコンが最新版でどうなっているのかが気になって「一太郎2005&花子2005スペシャルパック (www.amazon.co.jp)」のアップデート版を購入。

※ちなみに、ユーザ登録をすると製品名は「一太郎2005&花子2005スペシャルパック[三四郎]」と表示されます。これがパッケージの正式名らしいです。三四郎 2005 がついているわけですね。

……で、問題のアイコンですが、2004と全く同じでした。

ちなみに三四郎 (www.amazon.co.jp)は、2005 になってもやっぱりアンドゥは 1回でした。とほほ……。

• 「一太郎2005&花子2005スペシャルパック」にコメントを書く

関連する話題: ジャストシステムJustsystem / 一太郎

363個の PTR レコード

JANOG 15 Meeting - Program (www.janog.gr.jp)で「DNS 512byteの壁－OCN DNSトラヒック分析より－」という資料が公開されていますが、363個の PTR レコードという話に思わず苦笑。

あり得ない話のように思えますが、一昔前の Cobalt RaQ なんかだと、バーチャルドメイン全部に対応する PTR レコードを設定してしまいかねないインターフェイスになっていたりします。というか、実際に ISP 側が PTR が必要だと思っていて、わざわざ PTR レコードを大量生産してくれたという事件もありました。

※まあ、そのときは ISP 側で逆引きの委譲が正しくできていなかったので、そもそも逆引きできておらず、何も起きませんでしたが……。

• 「363個の PTR レコード」にコメントを書く

関連する話題: DNS

ASP.NET のホゥルが直った

パッチがたくさん出ましたね。「ASP.NET パス検証の脆弱性 (887219) (MS05-004) (www.microsoft.com)」も出ていたので「ASP.NETの脆弱性!」に追記。

「報告された Microsoft ASP.NET の脆弱性に関する情報 (www.microsoft.com)」も更新されていますね。

• 「ASP.NET のホゥルが直った」にコメントを書く

関連する話題: セキュリティ

脆弱性というか……

「国際化ドメイン名がフィッシングに悪用される問題～Secuniaなどが指摘 (internet.watch.impress.co.jp)」だそうで。まあそりゃそうだというか……「ニフティ」と「二フティ」みたいなものですね。

• 「脆弱性というか……」にコメントを書く

関連する話題: セキュリティ

誰がために

ジャストシステム、控訴検討の一方で「修正ソフトの配布もありうる」 (itpro.nikkeibp.co.jp)……というお話。

まあこれ自体未確定の話なのですが、最終的にジャストシステムが敗訴したような場合にも、単にボタンのデザインが変更になる可能性が高そうですね。そうすると松下電器にライセンス料が支払われるわけでもなく、ただ一太郎や花子のユーザビリティが低下するだけという結果に……。

※いや、変更後のデザイン次第でむしろ向上したりして。:-)

• 「誰がために」へのコメント (3件)

関連する話題: 思ったこと / ジャストシステムJustsystem / ユーザビリティ

オフラインのが便利

とりあえずセゾンで良いかなー、とか思ってオンラインでセゾンカードの申し込みをしようと思ったのですが……。

がっくり。まあ、必要項目を全て記入したあとで初めてスクリプト必須だということに気づくよりはよっぽどマシですので、進歩してはいるのでしょう。

スクリプトを有効にすれば良いのでしょうが、クレジットカードの申し込みでセキュリティレベルを下げることには抵抗があったので、普通にオフラインで申し込みしてしまいました。

• 「オフラインのが便利」にコメントを書く

関連する話題: 出来事 / セキュリティ / アクセシビリティ

よい子のみんなはクリップボードを公開しよう

「検索省 - みーつけた (kensaku.fks.ed.jp)」というのは、教育機関向け・小学児童向けの検索サービスのように思えるのですが、

うーん、こういう教育はどうなんでしょうね。「スクリプトによる貼り付け処理の許可」をしてしまうとクリップボードの内容を盗み放題になってしまうわけですが、子供だから秘密情報をクリップボードに入れることはないだろう、という判断?

• 「よい子のみんなはクリップボードを公開しよう」へのコメント (12件)

関連する話題: セキュリティ / 教育

H はひきこもりの H ではないけれど

「ＮＨＫひきこもり相談室 (www.nhk.or.jp)」というのがあるのですね。

• 「H はひきこもりの H ではないけれど」にコメントを書く

関連する話題: 思ったこと

OSコマンドインジェクション突かれる

「アクセス解析ツールにバグ、人気Blogが改ざんの被害に (www.itmedia.co.jp)」というお話。awstats.pl のダイレクトOSコマンドインジェクションのホゥルが突かれた結果ですね。

• 「OSコマンドインジェクション突かれる」へのコメント (2件)

関連する話題: セキュリティ

重要なお知らせ

「UsersInfo【重要なお知らせ：一太郎・花子に関する報道につきまして】2/2」というメールが来ました。

メールには http://www.justsystem.co.jp/msg/?m=jui2b01 という URL が書かれていますが、内容は http://www.justsystem.co.jp/msg/ (www.justsystem.co.jp) と同じです。謎のクエリストリングがついているのはトラッキングのためだとしか思えません。

こんな時でもトラッキングを忘れないジャストシステムに乾杯。

※一太郎・花子に関する報道につきまして – よくあるお問い合わせ (www.justsystem.co.jp)なんてのもあって、対応はそんなに悪くないと思いますけれども。

• 「重要なお知らせ」にコメントを書く

関連する話題: ジャストシステム

クレジットカードをどうするか

私が今持っているクレジットカードは「@ニフティカード」というもので、ニフティのポイントがいっぱいもらえるというものなのですが、これ、ニフティを退会したら何のメリットもないのですよね。

というわけでクレジットカードを変えようかと思うわけですが、いきなりそう言われても何にして良いか分からず……。年会費無料のクレジットカードの比較 (ochiri.fc2web.com)などを見ると「ライフMasterCard」が良さそうなのですが、ライフカードのサイト (www.lifecard.co.jp)を見ると、もうアクセシビリティ最低でのけぞるしかないわけです。

たまに西武で買い物しますからセゾンカード (www.saisoncard.co.jp)でも良いのですけれど。どうしたものかなぁ。

• 「クレジットカードをどうするか」へのコメント (1件)

関連する話題: 思ったこと / アクセシビリティ

一太郎と花子が販売差し止めという判決

各所で報じられていますが、Internet Watch の記事が分かりやすいと思いました。「一太郎」と「花子」が販売差し止め、ジャストシステムは控訴を表明 松下アイコン訴訟、東京地裁で判決 (internet.watch.impress.co.jp)。

Windows のダイアログにも似た機能がありますが、「?」ボタンがアイコンかどうかというところがポイントみたいですね。

ちなみに実際はどんな感じかというと、一太郎2004 については Internet Watch の記事にキャプチャが出ているので見ていただくとして、花子2004 の場合はこんな感じになっています。

マウスポインタを重ねるとチップヘルプが出ますが、思いっきり「このアイコンをクリックしたあと……」と書いてあるのですよね。

ちなみにジャストシステムのサイト (www.justsystem.co.jp)には「この度の松下電器産業株式会社との特許権侵害訴訟につきまして」と称する文書が出ていますが、

とのことだそうで、ユーザとしてはとりあえず一安心?

• 「一太郎と花子が販売差し止めという判決」にコメントを書く

関連する話題: ジャストシステム