水無月ばけらのえび日記

bakera.jp に移行します

SP1 も当たったので、そろそろ bakera.jp に移行しようと思います。

明日中くらいに http://altba.com/bakera/ 以下が全て http://bakera.jp/ 以下にリダイレクトされるようにする予定ですので、よろしくお願いします。

• 「bakera.jp に移行します」へのコメント (4件)

関連する話題: えび日記 / bakera.jp

SP1 適用

Windows Server 2003 SP1 が出ていたので、早速インストールしました。

とりあえず問題は出ていないようです。DEP も有効にしていますが (というかデフォルトで有効ですが)、特に不具合などはでていません。

「セキュリティの構成ウィザード」を使ってみましたが、これは便利かも。「不要なサービスは無効にしようね」と言われても、どのサービスを無効にして良いものやらさっぱりで結局のところ手探り状態、ということが多かったと思いますが (私だけ?)、このウィザードはかなり分かりやすいと思いました。

※SP1 を当てると「セキュリティの構成ウィザード」がインストールできるようになりますが、自動的にインストールされるわけではありませんので注意。「プログラムの追加と削除」から「Windows コンポーネントの追加」を行い、改めてインストールする必要があります。

• 「SP1 適用」にコメントを書く

関連する話題: Windows / Windows Server 2003

java -version で死ぬ

(internet.watch.impress.co.jp)

-version で死ぬって一体……。リリースするまで気がつかなかったのでしょうか。

• 「java -version で死ぬ」へのコメント (2件)

関連する話題: 思ったこと / Apple

脆弱性届出状況2005年Q1

更新: 2005年11月1日

2005年 Q1 の脆弱性届出状況が公表されました。

• ソフトウエア等の脆弱性関連情報に関する届出状況[2005年第1四半期（1月～3月）] (www.ipa.go.jp)
• SSIインジェクションやCSRFなどの新たな問題も～IPAの脆弱性届出状況 (internet.watch.impress.co.jp)」
• IPA、2005年第1四半期の脆弱性関連情報の取扱状況を発表 (www.itmedia.co.jp)」

「不受理とした」ものはあるような気がしますが、その後に「やっぱり脆弱性として取り扱うことにしました」といって受理された場合には不受理にはカウントされないということなのでしょうね。まあそりゃそうか。

ウェブアプリケーションの方では、「新しい」脆弱性として CSRF について言及されています。

いや、その注釈はちょっと……。POST メソッドで踏ませるのも難しいことではないと思いますし。Internet Watch の方では

となっていて、こちらはまあ問題ないと思いますが。

※CSRF に関して、個人的には「パスワードを変更するようなフォームでは、必ず同時に旧パスワードを入力させるべし」というのを強く訴えたいところですね。そうでないパスワード変更フォームが CSRF で攻撃されると何が起きるのかはすぐ分かると思いますが、同時に旧パスワードを入力する必要があれば大丈夫です。

※2005-11-01 追記: 私が届け出ていた問題は修正されました。CSRF 直った参照。

面白いことに、脆弱性の類型にこんなものがあります。

いや、私もこれは脆弱性なのかどうか微妙だと思ったのですが、試しに届け出てみたらあっさり受理されたという。

• 「脆弱性届出状況2005年Q1」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / CSRF / 情報セキュリティ早期警戒パートナーシップ