2005年4月21日(木曜日)
mixi がアザラシに見える脆弱性
りゅうさん (rryu.sakura.ne.jp)や近藤さん (www.alib.jp)と「IE の中止ボタンがしいたけに見えて困る (w3j.org)」のは脆弱性かどうかについて議論していたのですが (ぉぃぉぃ)、そのときりゅうさんに、ミクシィのロゴがアザラシに見えて困るという脆弱性が存在することを教えていただきました。
mixi がみられる方は http://mixi.jp/view_community.pl?id=51463 で確認できますが、これも一度見てしまったらもう二度と元の自分に戻れないですよ。ほら、もう "mixi" という文字列さえ……。
- 「mixi がアザラシに見える脆弱性」へのコメント (4件)
関連する話題: 与太話
移転しましたが
改めて書いておきますが、http://altba.com/bakera/ 以下のリソースは http://bakera.jp/ 以下に移転しています。お手数ですが、http://altba.com/bakera/ 以下へのリンク、ブックマーク、アンテナ等の設定がありましたら変更していただきたいと思います。
移転を行ったのは昨日で、既に 24時間以上経ちましたが、依然として古い URL へのアクセスが減らない感じです。いや、古い URL にアクセスしてもリダイレクトされますし、別にかまわないのですが、気になるのはアンテナ系の挙動です。多くのアンテナが何事もなかったかのように古い URL をチェックし続けているようなのです。ちゃんと 301 を返しているのですが、対応していないのでしょうか。古い URL を延々チェックされ続けるのも悲しいですし、正直言って無駄なトラフィックが発生しているだけですから、できれば何とかしていただきたいと思います。
というわけで、試しに HEAD リクエストの時だけあえて 200応答するように細工してみました。Date: は現在の時刻になっているので、HEAD でチェックするアンテナで古い URL をチェックすると、常に上の方にあるような感じになるはずです。気づかれましたら設定変更していただければと。
関連する話題: bakera.jp
ニフティを退会
というわけで、いろいろありましたが本日退会申請を行いました。
- 退会申請はスクリプト必須
- 面倒なアンケートに答えさせられる
- 退会日を指定できる
ということがわかりました。
退会日を指定できるので、たとえば来月末退会予定でも今から登録しておくことができます。私は 4月30日退会予定ということで。
※私が退会したときにもっとも問題となるのは、ニフティのサーバで動かしていた CGI が動かなくなること……ではなくて、脆弱性の修正が確認できなくなるということですね。ニフティが「直しました」と言っても直っていないことは良くあるので (といっても二回しかありませんが二回あれば十分だと思う)、確認は必須なのですが、まあ「もう会員じゃないし、気にしない」と開き直る方向で。
関連する話題: ニフティ
プライベートgoo 最新版
プライベートgooで他人のサーバにつなぐという話を非公開にしていましたが、関連する脆弱性関連情報の取り扱いが終了となりましたので復活させました。
実は当初は単に「任意のサーバの任意のポートに接続できる」という話だと思っていて、他人のサーバに DoS 攻撃を行う踏み台程度の役にしか立たないと思っていました。しかしよく考えてみると、攻撃者が自分のサーバにインデクスを用意してそこに接続させれば、プライベートgoo の稼働しているサイト上に任意の内容を表示させることができてしまう可能性があります。これはまずいと思ったので脆弱性として届け出ていたのですが、無事に修正されたようです。
古いバージョンを使っている場合はアップデートする必要があるかもしれませんので、注意を促す意味も含めて書いておきます。
関連する話題: セキュリティ
- 前(古い): 2005年4月20日(Wednesday)のえび日記
- 次(新しい): 2005年4月22日(Friday)のえび日記
