水無月ばけらのえび日記

dynabookのサイト直った

「東芝のサイトが恐ろしくセキュリティ的に激しく超超超超超ヤバイ」という話ですが、修正された模様です。

ちなみに「"g" を忘れている」というのは何の話だったのかというと、貫通方法から推測されたプログラムミスの話です。最初の問題修正後、「パラメータとして渡される URL に %22 などが含まれているとその文字は削除される」という仕様になっていたのですが、%22 を2個以上渡すと最初の1個しか削除されなかったため、%22 を複数書くと貫通することができたのでした (ちなみに %3c や %3e なども同様)。

推測ですが、プログラマは本来

というような処理を意図していて、しかしながら実際には

と書いてしまっていたために、誤動作していたものと思われます。つまり、末尾の "g" を忘れていると。

※とは言っても完全に想像の域を出ません。そもそも Perl なのかどうかすら分かりませんし。

それから実はもう一つ貫通方法がありました。「渡された URL が http://dynabook.com で始まらない場合は蹴る」という処理が行われていたのですが、この処理では駄目です。なぜなら、http://dynabook.com.bakera.jp などという URL が通ってしまうからです。

今では「URL が http://dynabook.com/ で始まらない場合は蹴る」という処理になっていて、別ドメインへの誘導は行えなくなった模様です (たぶん)。

ともあれ、私が把握していた範囲については直ったということで。

• 「dynabookのサイト直った」にコメントを書く

関連する話題: Web / セキュリティ

偽装請負

けっこう話題になったような気がするのですが、意外に知られていないような気がするのでメモ : IT業界のタブー「偽装請負」に手を染めてませんか (itpro.nikkeibp.co.jp)。

「情報サービス業に於ける請負の適正化のための自主点検表 (www.roudoukyoku.go.jp)」なんてのもありますね。発注先の従業員が、発注元の従業員から直接指示を受けて作業しているのはまずいということで。

※労働者派遣業には厳しい規制があるのですが、請負の形を取ると規制を回避できてしまうという脆弱性があり、脆弱性を突いて不正アクセスするのは違法だという話。

• 「偽装請負」にコメントを書く

関連する話題: 法律

バーナム効果

話題に出たのでメモ ……「究極の血液型心理検査 (www.senrigan.net)」。少し前に話題になっていた、「バーナム効果」の実証サイトです。およそ9割の人が「当たった」と判断したということで、まあ良く当たると。

そういえば、「古畑任三郎」にも「乙女座でA型といえば……」というネタがありましたね。

※3rd season DVD-Box (www.amazon.co.jp)に収録の「黒岩博士の恐怖」のオープニングのモノローグ。

• 「バーナム効果」にコメントを書く

関連する話題: 心理学 / 古畑任三郎