2006年3月

2006年3月30日(木曜日)

CSRFの説明に追記

更新: 2006年4月3日

CSRF の対策としては「攻撃者の知り得ない値」をリクエストに含める必要があり、その候補のひとつとして Cookie が上げられていました。それ自体は CSRF の対策としては正しいのですが、今回、Cookie の値を HTML 中に書き出すと別の危険性があるという指摘がされています。特定ブラウザ (MSIE) の問題ではあるのですが、確かに危険ですので、CSRFの解説に追記しておきました。

※ちなみに「CSSXSS」と呼ばれている問題の本質は「クロスドメインで任意の HTML の内容が読み取れてしまう」という点です。これは XSS とはあまり関係ありませんし、ある意味 XSS よりも危険です。その呼称は誤解を招くと個人的には思っています。

※2006-04-03追記: リンク先ですが、あっさりと閉鎖されてしまったようです。どう考えても名誉毀損を構成するような内容ではなかったと思いますが……。

「CSRFの説明に追記」へのコメント (16件)

関連する話題: セキュリティ / CSRF / CSSXSS

2006年3月29日(水曜日)

DNSコンテンツサーバは再帰問い合わせしないように

「DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 (www.jpcert.or.jp)」というものが出ています。bakera.jp の DNSサーバは何も考えずにデフォルトのままでしたので、あらためて再帰問い合わせしないように設定しました。

しかし BIND にしても MS の DNS にしても、デフォルトでコンテンツサーバとキャッシュサーバ兼用になっているというのが微妙ですね。djbdnsでは明確に分かれているのだそうですが……(参考 : DNS キャッシュを DNS サーバから分離することの重要性 (djbdns.qmail.jp))。

「DNSコンテンツサーバは再帰問い合わせしないように」にコメントを書く

2006年3月28日(火曜日)

.NET Framework 2.0 にしよう

「.NET Framework 1.xにセキュリティ・ホール，バージョン2.0では解消 (itpro.nikkeibp.co.jp)」だそうで。とはいっても SDK に含まれる ildasm の問題ですから、このサーバがやられてしまうというような話ではないようですが。

※つい先日、近藤さん (alib.jp)から「ジェネリック型」の話を聞いたりして 2.0 を入れようと思ってはいたのですが、時間がとれずに今日に至る。

「.NET Framework 2.0 にしよう」にコメントを書く

関連する話題: セキュリティ / .NET

2006年3月27日(月曜日)

MSIE はファイルの内容を解析する

今日の腕試し！ Webブラウザはコンテンツの種類をどう見分けている？ (itpro.nikkeibp.co.jp)

(1)Webブラウザが受信ファイルの内容を解析して見分けている
(2)HTTPレスポンスの「Content-Type」ヘッダーに指定された情報に基づき見分けている
(3)HTTPリクエストの「Cookie」ヘッダーに指定された推定しづらい長さの文字列に基づき見分けている

仕様的には(2)が正解であるべきなのですが、それだけで済めば苦労はないですね。XP SP2 の IE6 からは、セキュリティの設定で「拡張子ではなく、内容によってファィルを開くこと」を無効にできるようになりましたが、デフォルトでは有効ですからファイルの内容解析が優先されてしまいます。

このあたりをちゃんと理解していないと、「image/jpegなのにXSS」という悲劇が起きたりしますので危険です。過去に実際にあったケースしては、

ユーザが任意の画像を添付できるサービス
通常は HTML は添付できない
スクリプトを含む HTML を無理矢理 Content-Type: image/jpeg にして送信すると添付できる
その添付ファイルは当然 Content-Type: image/jpeg になっている
しかし、デフォルト設定の IE ではスクリプトが実行されて轟沈

というものがありました。image/jpeg なんだから大丈夫だろうと思っていても、デフォルト設定の IE のユーザは見事に喰らってしまうわけです。

ちなみに問題回答後の解説によると、

（1）の方法は理論的に可能ですが，現実的ではありません。なぜなら，いちいち受信ファイルの内容を解析していては処理に時間がかかります。それに，新しいファイル形式に対応するたびにWebブラウザをバージョンアップしなければならないので，拡張性に欠けてしまいます。

ということで、MSIE は現実を超越しているようです。mod_mime_magic の立場もなかなか微妙ですね。

「MSIE はファイルの内容を解析する」にコメントを書く

関連する話題: Web / セキュリティ / ITpro / Internet Explorer

2006年3月23日(木曜日)

魔洞戦紀

ホントにどうでも良い話。

「魔洞戦記　ディープダンジョン (www.square-enix.com)」というページがあるのですが、実は「魔洞戦記」ではなく「魔洞戦紀」が正解のはずです。もちろん「戦紀」は造語だと思いますので変換もできないでしょうが、本家サイトがソフトの名称を誤記しているというのはなんとも。

※参考: 魔洞戦紀ディープダンジョン完全攻略本 (www.amazon.co.jp)

「魔洞戦紀」にコメントを書く

関連する話題: ゲーム / スクウェア・エニックス / 与太話

2006年3月22日(水曜日)

フラグメントIDへのリンクはわかりにくい

「Alertbox: ページ内リンクの使用は避けよう (www.usability.gr.jp)」。私も昔からフラグメントIDへのリンクはわかりにくいと主張していましたが、ヤコブ氏も同意見らしく。

※ところであまり関係ありませんが、XHTML1.0ではa要素のname属性がNMTOKENになっているのですね。ちなみにHTML4ではCDATAでした。

「フラグメントIDへのリンクはわかりにくい」へのコメント (5件)

関連する話題: HTML / ユーザビリティ

2006年3月16日(木曜日)

どうぶつの森卓上カレンダー

クラブニンテンドー (club.nintendo.jp)のポイントで交換した「どうぶつの森卓上カレンダー」が届いたので、さっそくオフィスのデスクに飾ってみました。しかしこれ、来月からのカレンダーなので、まだ使えないという……。

※ところで一通り見て気づいたのですが、このカレンダー、2月11日の祝日が「建国記念日」となってしまっていますね。これは誤りで、正しくは「建国記念の日」です。国民の祝日の名称は「国民の祝日に関する法律 (law.e-gov.go.jp)」で明確に定義されています。

「どうぶつの森卓上カレンダー」へのコメント (1件)

関連する話題: 出来事 / どうぶつの森 / ニンテンドーDS / 法律

2006年3月15日(水曜日)

カレーとナン又はサフランライス

「カレーとナン又はサフランライスが1050円」という文は、以下のどちらなのか分かりません。

カレーとナンが1050円。又は、サフランライスが1050円
カレーとナンが1050円。又は、カレーとサフランライスが1050円

サフランライスだけ出されて1050円と言われても困るので、おそらく後者なのだろうとは思うのですが。

「カレーとナン又はサフランライス」にコメントを書く

関連する話題: 日本語 / ユーザビリティ

2006年3月12日(日曜日)

シングルクォーテーションを検索すると

……シングルクォーテーションを検索すると、何故か「メンテナンス中」の画面が表示されるシステムがあったりとか。

ちなみにダブルクォーテーションは普通に検索できます。

なんというか、ノーコメントですね。

「シングルクォーテーションを検索すると」にコメントを書く

2006年3月11日(土曜日)

Wikiを選ぶ

某所で Wiki を使いたいのですが、どの Wiki エンジンを使ったら良いのやら……。

いろいろな Wiki がリストされているページはあるのですが、どれも Wiki がどの言語で実装されているかしか書かれていなかったりして、機能の比較はなかなか難しいですね。まあ、どれも似たり寄ったりだからなのかもしれませんが……。

※どうでも良いのですが、Wiki について調べようと思って「Wiki なんとか」で検索すると、高確率で Wikipedia の「なんとか」についてのページがヒットしますね……。

「Wikiを選ぶ」へのコメント (3件)

行列

午前6時20分、新宿に到着。行列には参加できましたが、番号札がもらえずに敗北。

その後念のため有楽町も見てみましたが、当然無理でした。やはり始発前を狙わないと駄目だった感じですね。

※しかし、新宿でも有楽町でも、勝ち組の中にDS Lite クリスタルホワイト (www.amazon.co.jp)を持っている人が散見されましたが……。

午前6時過ぎには完売のアナウンスが流された。それ以降に来た人たちからは“まさかこんなに早く完売するとは思っていなかった”との声も聞こえたが、ほかの地域では“始発では行っても無駄”との情報も流れていたため、ビックカメラ有楽町店は今回も穴場だったという見方もできる

以上、2006年03月11日 12時36分更新クリスタルホワイトをはるかに上回る人、人、人――「ニンテンドーDS Lite」残り2機種がついに発売より

ちなみに新宿西口店では、列最後尾の札に「完売」表示が出たのが6時半ごろ、番号札の配布が終わって完売が確定したのが7時過ぎでした。

「行列」へのコメント (1件)

関連する話題: ニンテンドーDS

2006年3月10日(金曜日)

Flashも攻撃対象に……

「第5回 Flashで作ったゲームも攻撃対象になるんです！ (www.atmarkit.co.jp)」って、タイトルだけ見ると Flash そのものが攻撃される話かと勘違いしそうですね。

その昔、Flash に渡すパラメータにパス名が含まれているのに対して、ディレクトリトラバーサルの危険はないかと質問された経験があります。Flash がクライアント側で動作するものだ、ということを知らない方もいるということで……。

「Flashも攻撃対象に……」にコメントを書く

関連する話題: セキュリティ / Flash

ココログ障害

「ココログ、会員向けサービスでログインなどができない障害が発生 (internet.watch.impress.co.jp)」だそうで。

この障害は、負荷軽減対策として3月8日に実施したサーバーメンテナンスの後に発生したもの。

以上、ココログ、会員向けサービスでログインなどができない障害が発生より

そういえば、3月9日に「修正完了のご連絡」というメールをいただいています。もうココログは使っていないので確認できませんが、この3月8日のメンテナンスでは、SSIを使っていた処理のあたりに大きめの修正が入ったのかもしれません。

※まあ、例によって脆弱性の修正は全く公表されていないわけですが。

「ココログ障害」にコメントを書く

関連する話題: ニフティ / セキュリティ

2006年3月9日(木曜日)

DSの電源ボタン

まずは電源ボタン。DSでは下画面左にプッシュ式のボタンが用意されていたが、これが下画面右横にスライド式のスイッチへと変更され、スライドするごとに電源のON/OFFが切り替えられる。これは、本体を使用している際に持ち上げるなどしたときに、誤って電源ボタンを押してしまう(注意すれば防げるレベルだったが)という心配に対する改良点といえる。

以上、薄く、軽く、小さくなったニンテンドーDS Lite試用レポートより

むしろ、スタートボタンと間違えて電源ボタンを押してしまう人がいるという話のような気がしました。

従来のニンテンドーDS (www.amazon.co.jp) では、スタートボタンと電源ボタンが対称の位置にあります。ゲームにもよりますが、スタートボタンはそれほど使用頻度の高いボタンではありませんので、とっさにスタートを押そうとしたときに、間違って反対側のボタンを押してしまうということがあるようです。いや、私の周辺にも約一名いるので……。

「DSの電源ボタン」にコメントを書く

関連する話題: ニンテンドーDS / ユーザビリティ

2006年3月2日(木曜日)

DS Lite

ビックカメラ新宿西口店も、通常10時から営業開始のところ、同じく9時前には販売を開始していたが、販売開始のアナウンスがされる頃にはすでに"完売致しました"の告知が出されているといった状況だった。

以上、ニンテンドーDS Lite発売 - 都内各所で長蛇の列、即完売より

というわけで完敗。

既にニンテンドーDS ピュアホワイト (www.amazon.co.jp)を持っているのですが、それでもニンテンドーDS Lite (www.amazon.co.jp)は欲しいのですよね。屋外で釣りをするとき、魚影が見にくいと感じることしきりなので……。

※どうぶつの森 (www.amazon.co.jp)のお話。

逆に、屋外でプレイしない人なら従来の DS で良いかと思うわけですが。

「DS Lite」にコメントを書く

関連する話題: ニンテンドーDS

前(古い): 2006年2月のえび日記
次(新しい): 2006年4月のえび日記