水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2005年のえび日記 > 2005年9月

2005年9月

2005年9月30日(金曜日)

一太郎アイコン控訴審で逆転

一太郎 (www.amazon.co.jp)花子 (www.amazon.co.jp)のヘルプアイコンの話、控訴審で逆転の模様。

関連する話題: ジャストシステム / 一太郎

XMLHttpRequest話

JVN でも公開されましたね。JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 (jvn.jp)

通常、JavaScript ではウェブページと同一のドメイン内への通信しか行なえませんが、本脆弱性を悪用することにより、この制限を回避されてしまう可能性があります。

以上、JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 より

ああ、なるほど。条件が合うと任意のサーバの Basic 認証のパスワードがとれてしまったりする可能性もありそうで、洒落にならないですね。

※しかし、「リクエスト分割攻撃」という単語も耳慣れないですね。

関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ

2005年9月28日(水曜日)

油そば

asahi.com に油そばの話 (www.asahi.com)が出ていますね。

何年か前、仕事で武蔵境に行ったとき、たまたま入ったお店で「元祖・油そば」と称するものを食べたことがあります。そのときはそんなに混み合っている様子でもなかったのですが、今では人気が出ていたりするのでしょうか。

関連する話題: 思ったこと

SecurIT が死んでいる

ちょっと必要があって「URLに埋め込むIDに頼ったセッション管理方式の脆弱性(2) - REFERER情報流出によるセッションハイジャック攻撃の問題 -」(http://securit.gtrc.aist.go.jp/SecurIT/advisory/referer-2/) を確認しようと思ったのですが、見られなくなっていますね。サーバごとアクセスできなくなっているようです。名前解決はできていますがサーバが応答しない模様。

※以前、「SecurITが全てのコンテンツの公開を停止(2001.4.23) (old.netsecurity.ne.jp)」という話がありつつもまた復活していたわけですが、また消滅したとか?

関連する話題: セキュリティ

2005年9月27日(火曜日)

HTTP要求を捏造する必要性

IE6にパッチ未提供の脆弱性、HTTP Request偽装の恐れ (internet.watch.impress.co.jp)」という話。Firefox にもあって 1.0.7 で修正されていますが……HTTP リクエストに任意のヘッダフィールドをインジェクションできたとして、どう悪用ができるのかいまいちよく分からなかったりしていました。当然 HTTP Request Smuggling 攻撃が連想されるわけですが、攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。

IE についてはまだあまり情報が出ていませんが、Mozilla Foundation Security Advisory 2005-58 (www.mozilla.org) を見ると、こんな事が書かれています。

XMLHttpRequest header spoofing

It was possible to add illegal and malformed headers to an XMLHttpRequest. This could have been used to exploit server or proxy flaws from the user's machine, or to fool a server or proxy into thinking a single request was a stream of separate requests. The severity of this vulnerability depends on the value of servers which might be vulnerable to HTTP request smuggling and similar attacks, or which share an IP address (virtual hosting) with the attacker's page.

以上、Mozilla Foundation Security Advisory 2005-58 より

どうも HTTP Request Smuggling 攻撃の踏み台にされる事が懸念されているようですね。外部からアクセスできないようなサーバ、たとえば企業の LAN で使用されているキャッシュサーバに対しては、外部の攻撃者が直接リクエストを送ることはできません。しかしこの問題を利用すれば、企業内のユーザに罠を踏ませることで攻撃が成立する可能性がある……というような話なのでしょうか。

むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。これはおそらく、攻撃者と同じサーバでしかし別ドメインの (バーチャルホストの) サイトに対し、やはり HTTP Request Smuggling 攻撃で攻撃者のページをターゲットの URL のものと認識させるというケースを想定しているのでしょう。これが成立すると XSS のような攻撃が可能になるので、しゃれにならないかもしれません。

いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。

関連する話題: セキュリティ

2005年9月22日(木曜日)

増えた

十の位が増えた……。

関連する話題: 出来事

2005年9月18日(日曜日)

AC アダプター来た

AC アダプター来ました。

金曜着で土曜発送かと思われます。まあ「速やかに代替品を発送」できていると言って良いかと。

関連する話題: 出来事

2005年9月17日(土曜日)

AC アダプターがない

実に一ヶ月ぶりの休みだというのに、何故か PS2 が起動できないのはこれいかに。

新しい AC アダプターはいつ来るのかしら。モノは木曜日に発送して、金曜日に届いていると思うのですが、「速やかに代替品を発送」という日本語をどう読むかというところが微妙ですね。常識的には 1~2日のラグは許容されると思うのですが、休日に発送が行われるのかどうかが勝負の分かれ目です。下手すると休み明けの水曜到着とか……?

関連する話題: 出来事

2005年9月15日(木曜日)

薄型 PS2 の ACアダプター交換

小型・薄型「プレイステーション 2」をご愛用のお客様へ ~ACアダプターの一部交換について~ (www.jp.playstation.com)」というお知らせが。型番が HP-AT048H03 で、製造年月が 2004.8~2004.12 のものが対象なのだそうで。

手元の PS2 (www.amazon.co.jp) を見たら、

型番 HP-AT048H03 の製造年月 2004.10 でした。

こ、これは……。

ACアダプター裏面の型番および製造時期をご確認のうえ、該当する場合はご使用を中止してください。

●交換方法

該当ACアダプター(電源コードは送付不要です)と代替品お届け先を明記したメモ(郵便番号、ご住所、ご氏名・フリガナ、お電話番号)を同封の上、下記宛先まで「送料着払い」にてご送付ください。該当ACアダプターの到着を確認次第、速やかに代替品を発送させていただきます。

先に不良品を送るのですね。……って、交換品が手元に来るまではどうすれば良いのでしょうか。

※仕事が一段落して、さあゲーム三昧だと思ったらこの仕打ちって……。

関連する話題: 出来事

2005年9月13日(火曜日)

ActiveX 無効と Flash Player のアップデート

Flash Player 8 が出たのでアップデート。

普通に Flash Player (www.macromedia.com) のサイトに行って「ダウンロード」すると、まあ当然 ActiveX が無効なのでどうにもならないわけです。そこで www.macromedia.com を「信頼済みサイトゾーン」に登録して再び実行します。すると、

Macromedia Flash Player のインストールが完了しました。

と出ます。

が、実はアップデートされていないというアホなことが起きます。

これは何故かというと、Flash のインストーラはクロスドメインで fpdownload.macromedia.com に置かれており、fpdownload.macromedia.com を信頼しないと実行されないからなのでした。しかし www.macromedia.com の Flash は実行されるので、「インストール完了」の表示だけが出るという……。

信頼すべきドメインを明示しておいてくれると嬉しいのですけれど。

関連する話題: セキュリティ / Flash

2005年9月7日(水曜日)

今日の気になる検索ワード

ベリサイン社の高度な暗号化技術 (www.google.com)

関連する話題: 与太話 / セキュリティ

もう曜日が分からない

土曜日に出てきて、それから 2回寝たような気がするので、今日は月曜日でしょう。間違いない。

関連する話題: 与太話

2005年9月2日(金曜日)

今日の気になる一言

ぼく、とんがりコーン以外食べる気しないんだよねー。

なんてこと無いのですが、まじめな会議中に脈絡もなく突然言われたりすると心に残りますね。

関連する話題: 与太話 / 名言

2005年9月1日(木曜日)

カスタマイズされたログイン画面がリモートからのシャットダウンを許してしまう話

IBM ThinkPad X41 が外部から誰でもシャットダウンできる仕様について (d.hatena.ne.jp)」という話がありましたが、これは IBM に固有の話ではないようですね。とある生体認証のシステムをインストールする機会があったので、試しにリモートデスクトップを有効にしてみたところ、同様のことが起こりました。

まあ仕様ですよね。そのシステムには他にもいろいろ気になる点があるのですが、諸々含めて気にしない方向で。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト