水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2006年のえび日記 > 2006年12月

2006年12月

2006年12月31日(日曜日)

掲示板/コメント機能修正

hatomaru.dll を修正。

といったところ。細かいところはまだ調整中ですが。

例によってバグっているかもしれませんが、バグっていたらごめんなさい。教えてください。

関連する話題: えび日記 / hatomaru.dll

2006年12月30日(土曜日)

マクドナルド最高売上

マクドナルド、23日の売上が過去最高に (jp.ibtimes.com)」だそうで。

日本マクドナルドは27日、12月23日に1日の売上高21億5300万円を記録し、過去35年の歴史の中で売り上げがもっとも大きな一日となったと発表した。

(~中略~)

また、年末商戦で各店舗が賑わう中、「ハッピーセット」と期間限定商品である「ピタマック 冬野菜チキン」の販売が好調に推移し、23日が祭日ということもあって家族連れの来客が増えたことも、要因としてあげている。

その「ハッピーセット」の内容については言及されていないのですが、22日から「「ハッピーセット ポケットモンスター」 はじまるよ! (www.pokemon.co.jp)……ということになっているのですね。そしてその日は、

さらに、12月23日(土)限定で「ポケットモンスター ダイヤモンド・パール」に登場するポケモンのキャラクターが集合した「シンオウ地方ポケモン大集合ポスター」がもらえるよ!

というイベントもあったようで。ポケモン強し、ということなのではないでしょうか。

関連する話題: ポケモン

2006年12月29日(金曜日)

マンガ買った

Amazon を見ていたら、「ひだまりスケッチ (2) 限定版 (www.amazon.co.jp)」なんてのもあるのですね。1800円だそうですが、何がついているのだろう……。

最後の制服 3 (まんがタイムきららコミックス)美味しんぼ (97) (ビッグコミックス)ひだまりスケッチ (2) 限定版 (まんがタイムKRコミックス)

関連する話題: マンガ / 買い物 / ひだまりスケッチ

ポケモン&ゲームセンターCX

年末に向けていろいろ購入。

ポケットモンスター リーフグリーン (www.amazon.co.jp)」は、初代「ポケモン緑」のリメイク。ダイヤ・パール (www.amazon.co.jp)で全国図鑑を完成させるためには、リーフグリーンかファイアレッド (www.amazon.co.jp)からポケモンを転送してくる必要があるという壮大な罠があり、そのためにわざわざ買ってしまいました。

同じ理由でエメラルド (www.amazon.co.jp)も欲しかったりするわけで。くっ、田尻智め、商売がうまいぜ……。

……と思っていたら、その田尻智がゲームセンターCX (www.amazon.co.jp)に登場。「クリエイティブにはコアスキルが2つ以上必要」(意訳) とか、なかなか興味深いことを仰っていました。

ところで、これらは例によってビックカメラ新宿西口店で買ったのですが、売り場に行ったら PS3 (www.amazon.co.jp) が「緊急入荷」していました。レジ裏に8台ほど積まれているのを確認しましたが、行列ができているでもなく、少なくとも私が見ている間は売れて行く気配はありせんでした。つまり並ばずに買える状態だったということで、需要に供給が追いついてきたのかもしれません。

ちなみに Wii (www.amazon.co.jp) のほうは、私がレジで会計している間にも「Wiiありますか?」「本体ですか? ごめんなさい」というやりとりが行われており、まだまだ入手困難なようです。

関連する話題: ゲーム / DVD / 買い物 / ポケモン / ゲームセンターCX

2006年12月26日(火曜日)

脆弱性の黙殺は防がれているのか

議論すべき時が来た組み込み機器のセキュリティ (www.itmedia.co.jp)」という記事が。ごもっともな内容ですが、

間にIPAやJPCERT/CCという調整役を加えることで、ベンダーが情報を黙殺してユーザーを危険な状態に置いたり、あるいは根拠のない非脆弱性情報を流布して不安に陥れるといった事態を防ぐことができる。

以上、議論すべき時が来た組み込み機器のセキュリティ (2/2) より

黙殺については、あんまり防げていないような気もしますが……。未修正であっても一定期間が過ぎたら公表する、というようなアグレッシブな動きをしているわけではないので、未修正のままユーザーに知らされていないものもたくさんあるのではないでしょうか。

ちなみに最近気になっているのは、せっかく修正・公表されているのに、その脆弱性が放置されてしまっているケースが多いこと。特に気になるのが Movable Type で、2006年9月26日に公表されている脆弱性 (www.sixapart.jp)が放置されているブログがかなりたくさんあります。

これについては情報の公表の仕方にも問題があるような気がしており (というより、Six Apart の Web サイトのユーザビリティに大きな問題があるような……)、公表の仕方についても議論される必要があるのではないかなぁと思います。

※既知の脆弱性の放置って、ウェブアプリケーションの脆弱性として処理されるんでしょうか……。試しに届け出てみようかな。

関連する話題: セキュリティ / IPA / JPCERT/CC

DNS Pinning

セキュリティホールmemo (www.st.ryukoku.ac.jp)で紹介されていました、DNS Pinning (www.st.ryukoku.ac.jp)というお話、非常に興味深いですね。

たとえ IPアドレスが違っても、ドメインが同じならブラウザは同一ドメインとみなしてくれるというわけで……。なんか、いろいろな応用の仕方がありそうな気がします。

関連する話題: セキュリティ / Web / DNS

2006年12月25日(月曜日)

すもももももも6

すもももももも~地上最強のヨメ 6巻 (www.amazon.co.jp)」が出ていたので購入。

すもももももも 6―地上最強のヨメ (ヤングガンガンコミックス)

関連する話題: マンガ / 買い物

IPAテラカワイソス

もういちど「ソニー病」4――屁のつっぱり (facta.co.jp)

さて、「ケータイWatch」のサイトでも弊誌報道に対するソニーの否定談話が載った。こちらは「FACTA」の名すら出していないし、弊誌に電話さえしない一方的なものだが、独立行政法人「情報処理推進機構」(IPA)の談話を載せている。

フェリカの暗号が破られたという情報が持ち込まれたとする弊誌報道に「持ち込まれたのは事実。ただ、IPAはソフトの脆弱性は受け付けているが、ハードについては対応する権限、および検証能力がない」などとわけのわからないことを言っている。「半分事実で半分事実無根」とはあきれて口がきけない。半分無責任、とでも言ったほうがいい。

わけがわからないですか。そうですか。orz

「情報セキュリティ早期警戒パートナーシップ」は物理デバイスの耐タンパ性の話なんてのは全く想定していませんし、そんなのが vuln-info に送られてきても不受理になるだけでしょう。

……しかしふと、この届出制度がまだ無かった頃に、ウェブアプリケーションの脆弱性を JPCERT/CC に持ち込んでいた人がいたことを思い出したりして。

関連する話題: IPA / 情報セキュリティ早期警戒パートナーシップ

2006年12月22日(金曜日)

もやしもん4

もやしもん 4巻 (www.amazon.co.jp)を購入。凄いおまけ付きの奴 (www.amazon.co.jp)も売られていて、一瞬迷いましたが普通の奴を買いました。

もやしもん(4) (イブニングKC)もやしもん(4) 限定版 (イブニングKC)

関連する話題: マンガ / 買い物 / もやしもん

JSデータのクロスドメイン参照

Web2.0時代のAjax Binary Hacks (labs.cybozu.co.jp)」。興味深いお話ですね。

スライドに書かれていますが、クロスドメインでデータをやりとりすること自体は難しいことではありません。script要素src属性には外部のドメインを指定することができるので、任意のデータを含む js ファイルを動的に生成すればあっさり通信できます。そこに着目したのが JSONP で、外部 .js として実行できる形式にすることによって script要素で参照できるようになり、ドメインを超えられるようになったというわけです。

※ふつう、JSON だと XMLHttpRequest を使うのでクロスドメイン参照できません。

※ちなみに、Opera では JSONP による非同期通信がうまくできなかったりするという問題があったりもするようです。

ときどき「JavaScriptはクロスドメインで参照できない」と思っている人がいるようなのですが、それはおそらく XMLHttpRequest の制限と混同しているのだと思います。要注意なのは、JS ファイルは悪意あるサイトからでも普通に読めてしまうということです。つまり、機微な情報を含むような JS ファイルを動的に生成するのはとても危険だということです。

大昔、某所のチャットのサービスは Java Applet で動いていたのですが、わざわざユーザのセッション情報などを含む JS ファイルを動的生成して、その JS から applet要素param要素を生成していました。そういう作りをしていると、ログイン状態で罠サイトを踏んだときに、セッション情報を含むデータを読まれてしまうことがあり得ます。このような作りはとても危険です。

関連する話題: Web / セキュリティ

2006年12月21日(木曜日)

GBA売り場が縮小?

逆転裁判3 (www.amazon.co.jp)をプレイしたくなったので、売り場へ。

まず新宿西口のビックカメラに寄ってみたのですが、GBA用ソフトがすくない!! 実は Wii (www.amazon.co.jp) が出てから来たことがなかったのですが、Wii用ソフトの売り場ができたかわりに GBA用ソフトの売り場が縮小されてしまったようです。逆転裁判は発見できず……。

ということで次に渋谷のビックカメラに寄ってみたのですが、こちらはそもそもゲーム売り場自体が小さいため、GBA用ソフトの売り場もさらに小さくなっています。というわけで、あまり期待していなかったのですが……何故か逆転裁判3 は 3本も置いてあって、見事入手。

※ちなみに、逆転裁判がなかったら「ポケットモンスター ファイアレッド (www.amazon.co.jp)」「ポケットモンスター リーフグリーン (www.amazon.co.jp)」「ポケットモンスター エメラルド (www.amazon.co.jp)」のどれかを買おうと思っていたのですが、どれもありませんでした。ルビー (www.amazon.co.jp)サファイア (www.amazon.co.jp)はあったのですが。

関連する話題: ゲーム / 逆転裁判

2006年12月20日(水曜日)

ガッシュ27

金色のガッシュ!! 27巻 (www.amazon.co.jp)が出ていたので購入。

……もう清麿が人間じゃなくなっているような……。

金色のガッシュ!! (27) (少年サンデーコミックス)

関連する話題: マンガ

RFC2616の同時接続数の規定

HTTPの同時接続数はどうあるべきか? (slashdot.jp)」というお話。誰も原文を引用していないのが悲しかったので、引いておきます。

8.1.4 Practical Considerations

(~中略~)

Clients that use persistent connections SHOULD limit the number of simultaneous connections that they maintain to a given server. A single-user client SHOULD NOT maintain more than 2 connections with any server or proxy. A proxy SHOULD use up to 2*N connections to another server or proxy, where N is the number of simultaneously active users. These guidelines are intended to improve HTTP response times and avoid congestion.

以上、RFC2616 8.1.4 Practical Considerations より

こんな感じ。確かに、1人のユーザにつき 2本を超えるコネクションを維持すべきでない (SHOULD NOT) と書いてありますね。

ちなみに、個人的にはこの手の同時接続でサーバが死んだという経験はありません。たまに分割ダウンロードを試みていると思われるアクセスはありますが、長時間持続するわけではないので、そんなに大変なことにはならないようです。むしろ検索エンジンのクローラーが手強くて、BaiduSpider やら dloader やらには泣かされましたが……。

※昔は hatomaru.dll のアルゴリズムがしょぼかったので、ホントに dloader が来たというだけでサーバが DoS 状態になっていました。最近は大丈夫だと思いますが……。ちなみに、Googlebot はアクセス間隔を開けてくれるので、だいたい安心です。

というわけで、個人的にはエンドユーザーが同時接続数を増やすのは特に脅威とは感じません。もっとも、これはあくまで私のサーバのケースなので、画像満載なサイトの管理者にはまた違う意見があるかもしれませんが。

関連する話題: Web / HTTP / dloader / BaiduSpider / RFC

2006年12月18日(月曜日)

届出フォーム

そういえばこんなのが出ていますね……「「脆弱性情報流通・統計システム開発」に係る公募について (www.ipa.go.jp)」。

今回実施するシステム開発により、脆弱性関連情報のウェブ届出フォームを改善し、さらなる届出の増加に備え業務システムの強化を行うことで情報の多角的分析を可能とし、統計データを啓発に役立てることを目的としています。

今の届出フォームは正直言って使えないので、改善されるのでしたら歓迎ですね。フォームを使わなくてもメールで届け出れば良いですし、実際そうしているのですが、メールを PGP で暗号化するのはけっこう面倒です。日常使っているメーラーが Outlook だったりすると特に。なので、フォームが使いやすく、かつ安全なものになってくれれば、そちらを使うようになる可能性は十分にあります。

せっかくなので現状の問題点をいくつか挙げておくと、

……といったところです。

しかしおそらく、単にこれらを改善するというアプローチにはほとんど意味がないでしょう。このフォームを頻繁に使うようなヘビーユーザーは、ある程度以上のスキルを持っているはずです。フレームの中身の URL を直接叩くなんてのは当然やりますし、フォームの HTML を改善しようと思ったら、自分で書き直してローカルに置いておいても良いわけです。では、実際にそういうことをして使うのかというと、使う気にはならないわけで……。非常に難しい案件だと思いますが、受注した方は頑張ってください。

※まあ、この案件自体は IPA内部のシステムを作る方が主眼のような気もしますが。

関連する話題: IPA / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / フレーム

2006年12月17日(日曜日)

マンガ買った

いろいろ購入。

ちなみに DEATH NOTE は 12巻で完結していて、この 13 というのは解説本とか設定資料集のようなもの。

よつばと! (6) (電撃コミックス)おとぎ銃士赤ずきん (1)

関連する話題: マンガ / 買い物 / よつばと! / あずまきよひこ

2006年12月16日(土曜日)

H18年度ウェブアプリケーション開発者向けセキュリティ実装講座

13日に「H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)」を見てきたので、私なりに思ったことを少し。

【講演1】 脆弱性の届出情報の深刻度評価について

CVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事例は出ませんでした。

もっとも、それは私の期待が大きすぎただけで、話としては普通に面白かったと思います。

【講演2】 安全なWebアプリケーションの作り方(番外編)

極楽せきゅあ日記 (d.hatena.ne.jp)などで有名な園田さんの講演。中心はフレームワークのお話で、あとは書籍の脆弱性のお話など。

書籍の話ですが、個人が批判する分には問題ないと思うものの、何をもって誤りとするのかが難しいですね。「のけぞる本!」なんてコンテンツがありますが、これは HTML の仕様に照らして間違いだと言っているので、間違いだと断じるだけの論拠があります。しかし、脆弱なコードを脆弱と判断するのは容易ではないでしょう。特にコードの断片だけ出されている場合、「このコードは入力時のサニタイズを前提としている」などと言われる可能性があります。

「鉄則の話で笑い取れなかった」……とおっしゃっていますが、私と隣にいた人は笑っていたので、一部には受けていたと思います。単純に「鉄則」を知っていたかどうかが分かれ目になっていて、知らない人が多かったのではないかと思いますが……。

※そういえば今年の鉄則 (internetweek.smartseminar.jp)の資料って公開されているのでしょうか?

【講演3】 安全なウェブアプリケーション開発に向けた活用事例

HIRT のお話。HIRT の紹介とか歴史とか苦労話とか。話題がやや拡散していたためか、あんまり印象に残りませんでした (すみません)。

【講演4】 失敗事例から学ぶウェブアプリケーション開発のヒント

脆弱なアンチパターンの紹介。入力時に置換するのは駄目で出力時に処理しなければならない……という話なのですが、駄目な理由がきちんと説明できていない印象を受けました。

たとえば、入力時に全てのパラメータをエスケープする処理、これが駄目な理由が説明できていません。開発が小規模であり、DB を使わず、入力値を HTML にしか出力しない場合には、入力時に全てエスケープしてしまう方法でもあまり問題なかろうかと思いますが……。実際、フリーで配布されている掲示板のスクリプトでは、ReadParse() 相当の処理の中で < などをエスケープしてしまうということが一般的に行われており、これだけで XSS を回避できています。

※入力時にエスケープする方法の問題としては、User-Agent などの処理が漏れること、大規模開発だと多重エスケープ問題が発生したりすること、HTML 以外のもの (たとえば電子メール) に出力しようとすると別のエスケープが必要になるので漏れる危険性があること、などがあります。

危険文字の削除処理の説明についても詰めが甘いと思いました。出ていた例はこんなのですが、

$foo =~ s/script//g;

これが駄目なのは当然でしょう。そこまでは良いのですが、以下のようにすればどうでしょうか。

1 while $foo =~ s/script//g;

この処理なら、指摘されていた問題は起きません。実際、昔ニフティにあった「パレット」という掲示板では後者のような処理をしていまして、この処理自体には問題ありませんでした。

※……とは言え、その「パレット」にも貫通方法がたくさんあったわけで、危険文字の削除という発想が危険なことにはかわりありません。

あと、expression 話では数値文字参照よりも CSS のエスケープの話が必要なのではないかとか、全体として詰めの甘さが目立ちました。言おうとしている内容が間違っているとは思わないのですが、もうちょっと精度の高いお話にできるのではないかと思います。

【講演5】 安全なウェブアプリケーション発注のあり方

経済産業省方面で検討中の、ウェブアプリケーションセキュリティガイドラインのお話。

話の内容は非常に重要なのですが、「開発者向け実装講座」と題するセミナーの内容としてふさわしいかどうかは、やや疑問です。これは実装よりも上流の工程で考慮しなければならない話で、設計はもちろん、サービス企画にまで影響してくる話です。セキュリティ屋や実装屋だけではなくて、いわゆる Web ディレクターであるとか、そういった層に聞いてもらいたい話だと思いました。

最後に、全体通しての感想。

このセミナーに限らず、最近ではウェブの脆弱性に対する「取り組み」の考え方が変わってきているように思います。昔は「まずはテキトーにつくり、脆弱性があったら直す」という状態だったのですが、それでは駄目だというのが共通認識になってきており、「最初から安全なものをつくる」、あるいは「自然に安全なものができる」という方向を目指すようになってきています。その方法のひとつがフレームワークであり、あるいは設計から縛るようなガイドラインであったりするわけです。

個人的には「サニタイズ言うな」という話もその流れの中にあるものだと理解しています。狭義の「サニタイズ」は「テキトーにつくって事後にセキュリティ対策のための処理を追加する」という発想につながる概念で、そのような考え方を助長したくないから「サニタイズ言うな」なのでしょう。

だいたい、XSS なんてのは「何が起きても常に valid な HTML を出力する」という誇りがありさえすれば、それだけで 9割方回避できるのです。ユーザが入力した < を文字参照に変換する処理は、誇りを守るための処理であって、セキュリティを意識したものではないのです。

※ちなみに残りの1割は javascript: スキームとか UTF-7 とか。

関連する話題: IPA / Web / セキュリティ / サニタイズ言うな / 書籍の脆弱性

逆転裁判2クリア

むらまささん (www.fprog.org)にお借りしていた「逆転裁判2 (www.amazon.co.jp)」をクリア。

……「逆転裁判3 (www.amazon.co.jp)」は DS版で出ていないのですね……。

関連する話題: ゲーム / ニンテンドーDS / 逆転裁判

2006年12月15日(金曜日)

Wiiのストラップ/DSのACアダプタ回収

PS2のときと違って、任天堂から先に良品を送ってもらえるみたいですね。ちなみに、うちの DS 2台は交換対象ではありませんでした。

関連する話題: ゲーム / ニンテンドーDS

Dreamweaverプロフェッショナル・スタイル

私もちょこっと書いている「Dreamweaverプロフェッショナル・スタイル」ですが、書店にも並んで手に取れるようになったようですので、コマーシャリズム全開で宣伝しておきます。

サポートページ (book.mycom.co.jp)もできております。既に訂正が出ていますが、追加報告しているのでもうちょっと増えると思います (すみません)。

関連する話題: Web / / Dreamweaver

2006年12月13日(水曜日)

本出た

私もちょこっと書いた「Dreamweaverプロフェッショナル・スタイル (www.amazon.co.jp)」ですが、Amazon で買えるようになっている模様なのでメモしておきます。

※2400円と聞いていたのに……と思いましたが、税込みで 2520円なのですね。

関連する話題: Web / / Dreamweaver

続きはWebで

H18年度ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)」というのがあったわけですが、あとでいろいろ書きます。

※ところで「続きはWebで」を実際にやってみると、ある意味雨やどりの話 (takagi-hiromitsu.jp)と同じような状態になっているような気がするのですが、これは教訓ということなのでしょうか……。ちなみに、17人くらいいらっしゃったようです。

関連する話題: セキュリティ / IPA

2006年12月9日(土曜日)

逆転裁判クリア

むらまささん (www.fprog.org)にお借りしていた「逆転裁判 蘇る逆転 (www.amazon.co.jp)」をクリア。

非常に面白かったのですが、最後の「蘇る逆転」のシナリオには個人的に異議ありな点が残ってしまっており、そこがやや微妙。

いま逆転裁判2 (www.amazon.co.jp)をやっているので、これをクリアしたらもう一度プレイして諸々確認してみますか。

関連する話題: ゲーム / ニンテンドーDS / 逆転裁判

事実上名指し

「企業のWebアプリケーションには100%脆弱性がある」---セキュアスカイ社長 乗口雅充氏 (itpro.nikkeibp.co.jp)

うーん……。

乗口氏がセキュアスカイ・テクノロジーを設立した2006年3月以降,ユーザー企業のWebアプリケーションを検査してきたが,実際に顧客のシステムを検査してみると,必ず脆弱性が見つかるという。「多くの企業にとっては脆弱性があるのか無いのかということが問題なのではなく,脆弱性が発覚しないことが目的になっている」

余計なお世話かもしれませんが、この発言、大丈夫なのでしょうか。

セキュアスカイ・テクノロジーの主要取引先 (www.securesky-tech.com)のページを見ると、そこに掲載されている社名は 3つだけしかありません。この状態で、「100%」という数字を出しつつ先に引用したような発言がなされると、それは 3社を名指しして言っているも同然になってしまいます。

そして私はポケモン (www.amazon.co.jp)を好んでプレイしており、ポケモンだいすきクラブ (www.pokemon.jp)に個人情報を登録している身でもあります。ですので、その 3社の中に「株式会社ポケモン (www.pokemon.co.jp)」がリストされているのが気になってしまったりするのですよね。

要するに、セキュアスカイ・テクノロジーの社長の発言からは「株式会社ポケモンのサイトには脆弱性があった」と断定できるのですが、サイトの利用者である私はそのようなお知らせを全く受けていないので、これはなかなか複雑な気持ちになります。

※まあ、私の経験からしてもウェブアプリの脆弱性が公表されることは極めて希で、多くの企業が脆弱性を公表しないという事は事実でしょう。なので言っていることは間違っていないと思いますが。

※この記事には他にも思うところがありますが、それはまたの機会に……。

関連する話題: Web / セキュリティ

2006年12月8日(金曜日)

マシン死亡@CSS Nite LP, Disk 2

CSS Nite LP, Vol.2、終了しました。 (cssnite.jp)」……お疲れ様でした。

無事終了……と言いたいところですが、セッションの一つでは、講演者が話し始めようとしたところでプレゼン資料上映用の PCが死亡、しかも再起不能になるという、かなり厳しいトラブルに見舞われました。

……いや、9月に講演したときからバッテリの減りが異様に早いとは思っていたのですが、当日は「AC アダプタを接続しているのにバッテリが減る」という無茶苦茶な状態でした。それでも 1時間半は保ったのですが (一つ前のセッションで同僚が同じマシンを使っていた)、私の番になって力尽きた模様です。

幸い、司会の益子さんがマシンを貸してくださったので何とかなりましたが (ありがとうございます)、このマシンはもう駄目っぽいですね……。

関連する話題: Web / セキュリティ / 講演 / CSS Nite / 失敗談

2006年12月6日(水曜日)

宜保愛子は凄い!

ギボギボ90分!―と学会レポート (www.amazon.co.jp)」を読みましたが、「軽蔑の念は全くない」というのは全くその通りで、宜保愛子は本当に凄い人だったのだなぁと思いました。

また、ビリーバーが信じてしまう背景に「こんなおばちゃんが……」という差別的な意識があるのではないか、という指摘も鋭いと思います。

※どうでも良いですが、Amazon のレビューが 1 と 5 の両極端に割れているのが面白いですね。

ギボギボ90分!―と学会レポート

関連する話題: / トンデモ

届出FAQ

脆弱性関連情報の届出関連 FAQ (www.ipa.go.jp)」というものができていますね。心当たりが多すぎて面白いです。

Q1-12:IPAより届出た脆弱性が修正されたと連絡が来ましたが、確認してみたら、修正されていませんでした。このような場合はどうすればいいでしょうか?

IPAでは脆弱性の修正をご連絡する際に、発見者が脆弱性の修正を確認する期間として10営業日の期間を設けています。脆弱性が修正されていないことが判明した場合、この期間の内に、修正されていないと判断した理由を具体的にご連絡ください。発見者より脆弱性が修正されていない旨の連絡があった場合、届出の取扱いを続けさせていただきます。

……これ、私が質問したのは「フリーフォーマットで返信して良いのか、また様式にそって書いた方が良いのか」という事で、そのときは「できれば様式で」というご回答でした。これを見ると「理由を具体的に」ということなので、フリーフォーマットで良くなったみたいですね。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

花子パッチは Windows Server 2003 ユーザには厳しい

JVN#47272891 花子におけるバッファオーバーフローの脆弱性 (jvn.jp)」……ということで、パッチがリリースされております……「「一太郎2005/2004、花子2006/2005/2004、三四郎2005 セキュリティ更新モジュール」、「一太郎ビューア」、「花子ビューア」、「一太郎Lite2 セキュリティ更新モジュール」の公開 (www.justsystem.co.jp)」。

……で、サーバにパッチを当てるべく「一太郎、花子、三四郎用のダウンロードはこちら」を押すと、見事に何も起きないわけですね。もうね。

※Windows Server 2003 の IE はデフォルトでスクリプト無効なのです。

HTML のソースを読んで何とかダウンロードしましたが、Windows Server 2003 のユーザはパッチを適用できなくても問題ないのですかね。まあ、Windows Server 2003 にインストールしている方がイレギュラーだと言われれば、それはそうかもしれないと思いますが。

関連する話題: ジャストシステム / アクセシビリティ

2006年12月3日(日曜日)

mixiコミュニティから訴訟の動き?

mixi にこんなトピックスがあったのでメモ。

※以下のリンクは mixi 内のもので、会員専用です。あしからず。

民事になると思うので、「告訴」とは言わないような気もしますが、まあそれはともかく、「飲み会等も殆ど行けません」という話が悲しいですね。

ちなみに、健康増進法第25条 (law.e-gov.go.jp)には次のような規定があります。

学校、体育館、病院、劇場、観覧場、集会場、展示場、百貨店、事務所、官公庁施設、飲食店その他の多数の者が利用する施設を管理する者は、これらを利用する者について、受動喫煙(室内又はこれに準ずる環境において、他人のたばこの煙を吸わされることをいう。)を防止するために必要な措置を講ずるように努めなければならない。

飲食店はここに含まれる訳ですから、分煙されていない飲み屋は違法な状態になっているわけですが、罰則がないので華麗にスルーされてしまう訳ですね。厚生労働省の「受動喫煙防止対策について (www.mhlw.go.jp)」などを見ると、

健康増進法第25条の対象となる施設の管理者は多岐にわたるが、これら管理者を集めて受動喫煙の健康への悪影響や各地の好事例の紹介等を内容とした講習会を開催するなど、本条の趣旨等の周知徹底を図る。

などと述べられていますが、ホントにやっているのかどうかはよく分かりません。

……が、実は真の問題は、たとえ店が分煙であっても、同伴者が喫煙を望んだらどうにもならないということです。そもそも喫煙者と一緒に飲んだり食べたりすること自体が難しいので (物理的には可能ですが長時間続けると体調が悪くなってきたりする)、店が分煙されただけではあまり解決にならなかったりします。どうしたものですかね……。

関連する話題: たばこ

2006年12月2日(土曜日)

Wii出た

Wii が発売されたということで、各所で盛り上がっている模様ですね。

欲しいことは欲しいのですが、最近は PS2 も全く起動していないわけでして。DS なら電車の中でプレイできるのですが、据え置き型ゲーム機で遊んでいる時間はちょっと無いなぁ……ということでスルーしております。現状ではソフトがあんまり無いということもありまして、どうぶつの森 (www.amazon.co.jp)ポケモン (www.amazon.co.jp)の Wii 版が出たりしたら、そのときは買うかも。

……さて、問題は誰が Wii を会社に持ってくるのかということであり……。

※え? 持ってこいという圧力なんかじゃありませんよ、決して。

関連する話題: ゲーム / Wii / どうぶつの森

2006年12月1日(金曜日)

幻の時間延長

JIS X 8341-3 の 5.3. には、以下のような規定があります。

c) 入力に時間制限を設けないことが望ましい。制限時間があるときは事前に知らせなければならない。

d) 制限時間があるときは、利用者によって時間制限を延長又は解除できることが望ましい。これができないときは、代替手段を用意しなければならない。

ちなみに元ネタとなっているのは、Section508 Standards 1194.22 Web-based intranet and internet information and applications. (www.section508.gov) の (p) にあるこの条文です。

When a timed response is required, the user shall be alerted and given sufficient time to indicate more time is required.

人によっては素早い入力ができない場合があり、フォームを埋めるのに何十分もかかるかもしれません。セッションタイムアウトの時間が短く設定されていると、なんらかの理由で入力に時間がかかる人は、どう頑張っても入力ができないという事になってしまいます。ですので、タイムアウト時間を設けない、あるいは延長できるようにするという対応が求められるわけです。

これは十分に根拠のある話だと思いますし、JIS X 8341-3 では、例として「ログアウトまでの時間延長」というボタンを設けるような例も記載されていて、かなり分かりやすく説明されています (JIS X 8341-3 はかなり難解ですが、ここは分かりやすい部類だと思います)。

……しかし、ログアウト時間延長ボタンを持っているアプリケーションって見たことないのですよね……。

関連する話題: Web / セキュリティ / アクセシビリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト