水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年2月

2005年2月

2005年2月27日(日曜日)

打ち上げ成功

MTSAT-1R/H-IIA・F7の打上げ結果について (www.jaxa.jp)」。成功ということで、MTSAT がようやく (ホント、ようやく) 稼働できますね。良かった良かった。

衛星の命名はまだのようですが、ひまわりの後継ということで「ひまわり6号」になるのかしら。

関連する話題: 出来事

2005年2月26日(土曜日)

25日終了のはずのフォーム

「25日に終了」と書いてあるからまあいいかと放置していたら、なんか 26日になっても残っていたりするという……。

関連する話題: セキュリティ

ファイルの誤った公開

TOTORO(トトロ)の自堕落 日記 (d.hatena.ne.jp)に「本当に良いのかな? (d.hatena.ne.jp)」という話が出ていますが、現在では index.htm を置くことで対処しているようですね。この対応には問題がありますが……。

※普通、cgi-bin というディレクトリは document_root 下に置いたりせずに、ScriptAlias で参照するものです。ただ、レンタルサーバだとできないことがあったりして、それがまた不幸を招いたりするわけですが。

関連する話題: セキュリティ

2005年2月25日(金曜日)

若者も小さい文字が嫌い?

Jakob Nielsen博士のAlertbox (www.usability.gr.jp)より。

このリサーチで、1 つ驚くべきことが分かった。大人以上にティーンエージャーは細かいフォントサイズを好むことはないのだ。私たちは、何度も細かいテキストを使うことに関して警告してきた。これは、視力が低下し始めた 40 代後半まで含めた、高齢者へのネガティブな影響を考えたものだった。私たちは常に、ウェブで細かいテキストが優勢的な理由を、ほとんどのウェブデザイナーが若く、まだ完璧な視力を保持しているからとしていた。それよりもさらに若いユーザをテストしたとき、フォントサイズでこのような問題が見つかるとは思いもしなかったのだ。細かい文字はよく問題を起こし、ネガティブなコメントをリサーチ中のティーンエージャーが言う原因になった。ほとんどのティーンエージャーは十分よい視力をもってはいるのだが、彼らは細かい文字に注意を払うには、移動が速過ぎ、簡単に気を散らしてしまうのだ。

以上、ティーンエージャーのためのウェブサイト・ユーザビリティ より

18へぇ。小さい文字は「斜め読み」に向いておらず、高速でガンガンブラウズして行きたいときには不便だということなのかしら。

関連する話題: セキュリティ

2005年2月23日(水曜日)

他人のコンテンツを自ドメインに持ってくると……

公益性のない無断複製自動公衆送信 (takagi-hiromitsu.jp)」って……匂わせるようなことしか書かれていないですが、そのスクリプトがあちらのドメインで実行されたらどうなりますか、という話ですね。なんとも風変わりな XSS です。

本質的には Google キャッシュにも同じ問題があるはずですが、Google の場合はページの頭に Google キャッシュだということを示す表示が追加されますので、本物と紛らわしかったりはしないのでしょう。

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

2005年2月22日(火曜日)

ココログは SSI インジェクション可能

更新: 2005年4月7日

ココログにはビジネスユースもあるということで 2件の脆弱性を届け出ていたのですが、2件とも取扱い終了となりました。

そのうちの 1件は SSI インジェクションの事例なのですが、ウェブサイト運営者はこれを脆弱性ではないと主張したようで、修正されないまま取扱い終了となっています。exec cmd は使えないようですので、大きな問題は無いといえば無いのかもしれませんが……ちょっとひっかかる感じがしますね。

まあ、ウェブサイト運営者が脆弱性でないと言うからにはテストしても問題ないでしょうし、情報を公開しても問題ないでしょう。近いうちに、どのようにしてココログに SSI がインジェクションできるのか、それで何ができるのかをまとめて書こうかなと思っています。

※なお、もう 1件の方は確かに修正されていることを確認しました。今のところニフティからのアナウンスはないみたいですが……まあ、一生アナウンスされない可能性が高いですね。

※2005-03-12 追記: 「近いうちに」と書きましたが、しばらく情報の公開を見送ります。先送りの理由は述べられませんが、お察しください。

※2005-04-07 追記: ココログには任意のファイルが置けるようになりました。SSI を含む HTML をそのまんま置けますので、もはや技も何も必要なくなっています。

関連する話題: ニフティ / ココログ / セキュリティ

Firefox IDN対応は……

Firefox、Mozillaの次回リリースでのIDN機能無効化は回避 ドメイン名をPunycodeで表示する方向に (internet.watch.impress.co.jp)……だそうで。

ということは、日本語.jp (xn--wgv71a119e.jp)なんてのは http://日本語.jp にアクセスするとアドレスバーに http://xn--wgv71a119e.jp/ と表示されることになるわけですが……これはこれで、似たような Punycode で表現されるドメインを用意されると紛らわしいような気がします。詐欺サイトを見分けるためには本物が http://xn--wgv71a119e.jp/ であることを覚えておかないといけないわけですが、無理です。

やっぱり、国際化ドメイン名は使えないという結論になってしまうのですかね。

関連する話題: セキュリティ

2005年2月21日(月曜日)

それは本物の Firefox ですか?

オレオレ証明書の話をしていたら、怪しげなルート証明書をインストールする危険性の話になり、そこから「そういえば Firefox はルート証明書がついている状態でインストールされますよね」という話が持ち上がりました。

これは言われてみれば全くその通りで、その Firefox のルート証明書のフィンガープリントを確認している人なんていないでしょう。それ以前に、そもそもそれが本物の Firefox なのかどうかさえも分からないのですよね。ミラーサイトのドメインなんていちいち覚えていない人が多いでしょうし、偽のミラーサイトを用意するのはそれほど困難ではないのかもれしません。

関連する話題: セキュリティ / SSL/TLS

2005年2月20日(日曜日)

変なspam

あの、ここ最近アドレス帳に登録していないアドレスでメールが届くのですが、私のアドレスをご存知で送信されましたか?不思議に思いこのように返信してみたのですが…。

……というのが、ISP のメールサーバとかではなくて動的に割り振られたと見られる IP アドレスから直接送信されているわけですね。自宅にメールサーバを立てる技術があるひとは、こんなの不思議に思って返信したりしないと思うの……。

関連する話題: spam / MTA

2005年2月17日(木曜日)

ASP.NET に XSS?

更新: 2005年2月20日

セキュリティホールmemo (www.st.ryukoku.ac.jp)から、XSS vulnerabilty in ASP.Net [with details] (www.st.ryukoku.ac.jp)というお話。

タイトルだけ見たら ASP.NET 自体にミドルウェアの欠陥として XSS が存在するかのように思えたので焦りましたが、そうではないみたいですね。

ASP.NET には、危険なリクエストを受けると例外をスローする validateRequest という機能があります。これはデフォルトで有効になっていて、プログラマがサニタイズを怠っていても問題が起きにくいようになっています。たとえば、POST されてきたクエリに <script> という文字列が含まれていると、こんなメッセージが出たりするわけです。

危険な可能性のある Request.Form 値がクライアントから検出されました。

説明 : 要求の検証により、危険性のあるクライアント入力値が検出されました。要求の処理は中止されました。この値は、クロス サイト スクリプト攻撃などのアプリケーションのセキュリティ問題を引き起こす可能性があります。ページ ディレクティブか、 構成セクションの validateRequest=false を設定することによって要求の検証を無効にできます。しかしこの場合、アプリケーションですべての入力を明示的に確認することをお勧めします。

ところが、< のかわりに全角の(U+FF1Cの)「<」を使用すると、この検証を通り抜けます。さらに、responseEncoding を windows-1251 (キリル文字) にしていると、これが正規化されて < に変化し、結果的に貫通してしまうという話のようです。

というわけなのですが、プログラマが外部入力値をサニタイズしていれば問題ありません。ASP.NET の機能に甘えず、きっちりサニタイズしておきましょうということで。

※ちなみに、ここではそもそも validateRequest を無効にしてあります。経緯については 掲示板の #138 あたりを参照。

※2005-02-20 追記: これは validateRequest に限った問題ではなく、responseEncoding が windows- 系の場合は全角のものもサニタイズしないといけないですね。CultureInfo.InvariantCulture の話というのは、こういう局面で生きてくるのでしょう。

関連する話題: セキュリティ / ASP.NET / クロスサイトスクリプティング脆弱性

カーネルrootkit

MS研究者、「カーネルrootkits」の脅威を警告 (www.itmedia.co.jp)……だそうで。rootkit って何となく UNIX 系環境と結びついたイメージがありましたが、Windows にもあるのですね。考えてみれば当たり前なのですけれど。

関連する話題: セキュリティ / Windows

URL偽装系新技

更新: 2005年5月12日

セキュリティホールmemoで紹介されていた (www.st.ryukoku.ac.jp)[Full-Disclosure] IE/OE Restricted Zone Status Bar Spoofing (lists.netsys.com)というお話。URL 偽装系の新技ですが、label要素がこう使えるとは盲点でした。

結構驚いたのですが、こんなのを書いてみると……

<p><label for="foo">test</label></p>
<p><a href="http://altba.com" id="foo">test2</a></p>

IE の場合、ラベルの方をクリックしただけで遷移してしまいます。IE は a要素もコントロールとして扱っているということなのでしょうか。

関連する話題: セキュリティ / HTML

ケーブルアンドワイヤレスIDC名称変更

C&W IDC、「日本テレコムIDC」に社名変更 (www.itmedia.co.jp)……だそうで。

まあ別に良いのですが、ドメインも変えたりするのかしら。そうなると DNS まわりでいろいろと面倒なことが……。

※2005-05-12 追記: 案の定 cwidc.net が idc.jp に変更になりました。

関連する話題: 思ったこと

2005年2月16日(水曜日)

TTYが終了

正式にアナウンスが出ましたね。「ワープロ・パソコン通信」サービスの終了について (news.nifty.co.jp)

Q&A があるのですが、

インターネットは、セキュリティ面で不安があるのですが、大丈夫ですか?

セキュリティサービスを豊富にご用意しておりますのでご安心ください。

常時安全セキュリティ24、ウイルスバスター for @nifty mailなど、ご利用形態に応じた豊富なセキュリティサービスをご用意しております。是非ご活用ください。

以上、http://www.nifty.com/support/tty/qa/tty_qa_ans8.htm より

いや、そうじゃなくて……。有料のセキュリティサービスを充実させる前に、Web 上のインターフェイスにゴロゴロある脆弱性をどうにかしましょうよ。

※2005-02-23 追記: ゴロゴロあるもののうち、ココログ関係の 2件については取扱い終了しました。「ココログは SSI インジェクション可能」を参照。

関連する話題: ニフティ

ガミガミシティのエレベータ使用禁止

PSP は持っていないのですが、こういうニュースは気になりますね……PSP®専用ソフト「ポポロクロイス物語 ピエトロ王子の冒険」『「闇の獅子王編」第2章で発生する「ガミガミシティ」につながる鉄の橋における落下現象』の原因と対処方法について (www.playstation.jp)

上記が原因で「氷の魔王編」第4章“小さな平穏”において自由にマップ内を歩き回ることが可能となったときに「ガミガミシティの動力タワー」でエレベーターを使用すると、「闇の獅子王編」第2章でガミガミシティへ向かう「鉄の橋」を通過する際にプレイヤーキャラクターが下方向に落下し進行不可能となる現象が起きます。

(~中略~)

※「ガミガミシティの動力タワー」でエレベーターを使用し2階通路、屋上へ行ってもアイテムの取得やイベントの発生はありません。また、プレイの進行には全く支障をきたしませんので、エレベーターを使用しないようご注意ください。

エレベータ使用禁止らしいです。

関連する話題: ゲーム

IE7

Microsoft、IE 7.0ベータ版をWindows XP SP2向けに今夏公開 (internet.watch.impress.co.jp)」……ということで。気になるのは、セキュリティ面よりも CSS への対応具合ですが……。

関連する話題: Microsoft / Windows / Internet Explorer

2005年2月15日(火曜日)

OWA の脆弱性が再現しない

更新: 2005年2月15日

セキュリティホールmemo の「[Full-Disclosure] Microsoft Outlook Web Access URL Injection Vulnerability (www.st.ryukoku.ac.jp)」という話、スターダストさんの所の「Microsoft Outlook Web Access URL Injection (d.hatena.ne.jp)」と同じ話ですが……何故か手元では再現しないのですよね。PoC の URL にアクセスするとログインフォームは出ますが、ログインしても、/CookieAuth.dll?Logon に POST したところで 400 応答になって

不明な要求

要求はサーバーで解決できませんでした。

と言われて終了し、悪意あるリダイレクトが発生しません。いつものようなログインはできていないので影響は受けているのですが、攻撃としては失敗している感じです。

日本語版だとこうなるのか……あるいは、ここの環境が独自にパッチを当てているのかしら。

※追記: よく考えたら手元の環境にはリバースプロキシが存在しているので、それが原因のような気がしました。

関連する話題: セキュリティ

ハンゲームに脆弱性?

351件のハンゲームユーザーIDに不正アクセス、うち131件には実被害も (internet.watch.impress.co.jp)……だそうですが、これはセッション管理の不備か何かなのでしょうか。

このシステム上の問題については、「悪用される可能性があるため詳細は公表しない」とした上で、「不正アクセスを受けた時点ではハンゲームユーザー全員が被害を受ける可能性があったが、2月9日23時30分時点で問題を解消した」としている。

以上、351件のハンゲームユーザーIDに不正アクセス、うち131件には実被害も より

「問題を解消した」というなら、悪用されようがないと思うのですが……。

関連する話題: セキュリティ

2005年2月14日(月曜日)

一太郎2005&花子2005スペシャルパック

少し前までは「今回のバージョンアップは見送りかな……」などと考えていたのですが、問題のアイコンが最新版でどうなっているのかが気になって一太郎2005&花子2005スペシャルパック (www.amazon.co.jp)」のアップデート版を購入。

※ちなみに、ユーザ登録をすると製品名は「一太郎2005&花子2005スペシャルパック[三四郎]」と表示されます。これがパッケージの正式名らしいです。三四郎 2005 がついているわけですね。

……で、問題のアイコンですが、2004と全く同じでした。

ちなみに三四郎 (www.amazon.co.jp)は、2005 になってもやっぱりアンドゥは 1回でした。とほほ……。

関連する話題: ジャストシステムJustsystem / 一太郎

2005年2月10日(木曜日)

363個の PTR レコード

JANOG 15 Meeting - Program (www.janog.gr.jp)で「DNS 512byteの壁-OCN DNSトラヒック分析より-」という資料が公開されていますが、363個の PTR レコードという話に思わず苦笑。

あり得ない話のように思えますが、一昔前の Cobalt RaQ なんかだと、バーチャルドメイン全部に対応する PTR レコードを設定してしまいかねないインターフェイスになっていたりします。というか、実際に ISP 側が PTR が必要だと思っていて、わざわざ PTR レコードを大量生産してくれたという事件もありました。

※まあ、そのときは ISP 側で逆引きの委譲が正しくできていなかったので、そもそも逆引きできておらず、何も起きませんでしたが……。

関連する話題: DNS

2005年2月9日(水曜日)

ASP.NET のホゥルが直った

パッチがたくさん出ましたね。「ASP.NET パス検証の脆弱性 (887219) (MS05-004) (www.microsoft.com)」も出ていたので「ASP.NETの脆弱性!」に追記。

報告された Microsoft ASP.NET の脆弱性に関する情報 (www.microsoft.com)」も更新されていますね。

関連する話題: セキュリティ

2005年2月8日(火曜日)

脆弱性というか……

国際化ドメイン名がフィッシングに悪用される問題~Secuniaなどが指摘 (internet.watch.impress.co.jp)」だそうで。まあそりゃそうだというか……「ニフティ」と「二フティ」みたいなものですね。

関連する話題: セキュリティ

2005年2月5日(土曜日)

誰がために

ジャストシステム、控訴検討の一方で「修正ソフトの配布もありうる」 (itpro.nikkeibp.co.jp)……というお話。

鍋田広報IR室長によれば、修正ソフトではヘルプ・アイコンを「?」印だけや、文字だけのアイコンに変換するといった方法を考えているという。

以上、日経BP IT Proのジャストシステム、控訴検討の一方で「修正ソフトの配布もありうる」 より

まあこれ自体未確定の話なのですが、最終的にジャストシステムが敗訴したような場合にも、単にボタンのデザインが変更になる可能性が高そうですね。そうすると松下電器にライセンス料が支払われるわけでもなく、ただ一太郎や花子のユーザビリティが低下するだけという結果に……。

※いや、変更後のデザイン次第でむしろ向上したりして。:-)

関連する話題: 思ったこと / ジャストシステムJustsystem / ユーザビリティ

オフラインのが便利

とりあえずセゾンで良いかなー、とか思ってオンラインでセゾンカードの申し込みをしようと思ったのですが……。

オンライン申し込みは JavaScript を使用しています。お申し込みにあたっては、スクリプトをオンにしてからご利用ください。

以上、《セゾン》カード一覧|SAISON CARD より

がっくり。まあ、必要項目を全て記入したあとで初めてスクリプト必須だということに気づくよりはよっぽどマシですので、進歩してはいるのでしょう。

スクリプトを有効にすれば良いのでしょうが、クレジットカードの申し込みでセキュリティレベルを下げることには抵抗があったので、普通にオフラインで申し込みしてしまいました。

関連する話題: 出来事 / セキュリティ / アクセシビリティ

2005年2月4日(金曜日)

よい子のみんなはクリップボードを公開しよう

検索省 - みーつけた (kensaku.fks.ed.jp)」というのは、教育機関向け・小学児童向けの検索サービスのように思えるのですが、

[ セキュリティの設定 ]

javaアプレットのスクリプト・アクティブスクリプト・スクリプトによる貼り付け処理の許可

の3ヵ所を有効にします。

以上、検索省 - みーつけたのヘルプ[JavaScript] より

うーん、こういう教育はどうなんでしょうね。「スクリプトによる貼り付け処理の許可」をしてしまうとクリップボードの内容を盗み放題になってしまうわけですが、子供だから秘密情報をクリップボードに入れることはないだろう、という判断?

関連する話題: セキュリティ / 教育

2005年2月3日(木曜日)

H はひきこもりの H ではないけれど

NHKひきこもり相談室 (www.nhk.or.jp)」というのがあるのですね。

関連する話題: 思ったこと

OSコマンドインジェクション突かれる

アクセス解析ツールにバグ、人気Blogが改ざんの被害に (www.itmedia.co.jp)」というお話。awstats.pl のダイレクトOSコマンドインジェクションのホゥルが突かれた結果ですね。

関連する話題: セキュリティ

2005年2月2日(水曜日)

重要なお知らせ

「UsersInfo【重要なお知らせ:一太郎・花子に関する報道につきまして】2/2」というメールが来ました。

メールには http://www.justsystem.co.jp/msg/?m=jui2b01 という URL が書かれていますが、内容は http://www.justsystem.co.jp/msg/ (www.justsystem.co.jp) と同じです。謎のクエリストリングがついているのはトラッキングのためだとしか思えません。

こんな時でもトラッキングを忘れないジャストシステムに乾杯。

一太郎・花子に関する報道につきまして – よくあるお問い合わせ (www.justsystem.co.jp)なんてのもあって、対応はそんなに悪くないと思いますけれども。

関連する話題: ジャストシステム

2005年2月1日(火曜日)

クレジットカードをどうするか

私が今持っているクレジットカードは「@ニフティカード」というもので、ニフティのポイントがいっぱいもらえるというものなのですが、これ、ニフティを退会したら何のメリットもないのですよね。

というわけでクレジットカードを変えようかと思うわけですが、いきなりそう言われても何にして良いか分からず……。年会費無料のクレジットカードの比較 (ochiri.fc2web.com)などを見ると「ライフMasterCard」が良さそうなのですが、ライフカードのサイト (www.lifecard.co.jp)を見ると、もうアクセシビリティ最低でのけぞるしかないわけです。

たまに西武で買い物しますからセゾンカード (www.saisoncard.co.jp)でも良いのですけれど。どうしたものかなぁ。

関連する話題: 思ったこと / アクセシビリティ

一太郎と花子が販売差し止めという判決

各所で報じられていますが、Internet Watch の記事が分かりやすいと思いました。「一太郎」と「花子」が販売差し止め、ジャストシステムは控訴を表明 松下アイコン訴訟、東京地裁で判決 (internet.watch.impress.co.jp)

Windows のダイアログにも似た機能がありますが、「?」ボタンがアイコンかどうかというところがポイントみたいですね。

ちなみに実際はどんな感じかというと、一太郎2004 については Internet Watch の記事にキャプチャが出ているので見ていただくとして、花子2004 の場合はこんな感じになっています。

マウスポインタを重ねるとチップヘルプが出ますが、思いっきり「このアイコンをクリックしたあと……」と書いてあるのですよね。

ちなみにジャストシステムのサイト (www.justsystem.co.jp)には「この度の松下電器産業株式会社との特許権侵害訴訟につきまして」と称する文書が出ていますが、

弊社といたしましては、今回の東京地裁の判決について、弊社の見解と大きく異なるため現在控訴の手続きを進めております。現在販売中の一太郎・花子シリーズにつきましては、今後も問題なくご販売、ご利用いただけます。また今月10日発売予定の一太郎2005、並びに花子2005につきましても予定通り発売いたします。

以上、ジャストシステムのお客様・ご関係者各位 この度の松下電器産業株式会社との特許権侵害訴訟につきまして より

とのことだそうで、ユーザとしてはとりあえず一安心?

関連する話題: ジャストシステム

最近の日記

関わった本など