2006年6月
2006年6月27日(火曜日)
再告知 : ディレクター・制作者が知っておくべきセキュリティ
先日告知しました「ディレクター・制作者が知っておくべきセキュリティ」ですが、mixi会員以外の方でも申し込めるようになりましたので、再告知しておきます。
mixi会員以外の方は、電子メールでの参加受付となります。詳細はWebSig24/7 (websig247.jp)のサイトを参照してください。
というわけで、ふるってご参加くださいませ。
※しかし mixi のイベントを見ると、既に参加希望メッセージが 50件以上あるようですが……。まあ、会場はまだ確定していないので、人数に応じて何とかするのだと思いますが。
- 「再告知 : ディレクター・制作者が知っておくべきセキュリティ」へのコメント (2件)
関連する話題: セキュリティ
2006年6月26日(月曜日)
はまち系
「Web2.0時代の“脆弱性”――mixiチェーン日記はなぜ広まったか (www.itmedia.co.jp)」。
個人的には、「どうして脆弱性の情報をゼロデイで公開するのか」という点を考えたい感じですが。
関連する話題: セキュリティ
2006年6月22日(木曜日)
講演のお知らせ : ディレクター・制作者が知っておくべきセキュリティ
mixi では先週から告知されていますが、WebSig24/7 (websig247.jp) のサイトでも告知されましたので、ここであらためて告知しておきます。第8回 WegSig会議というイベントで、「ディレクター・制作者が知っておくべきセキュリティ」という話をします。
まあ私の話はたいしたこと無いというか、セキュリティアンテナ (www.st.ryukoku.ac.jp)をチェックされているような方には既知の話ばかりだと思います。が、実は「調整中」となっている第二部ではラック (www.lac.co.jp)でアプリケーションの検査を担当されている現場の方に講演していただけるように話を進めていますので、こちらは面白くなるのではないかと。
ちなみに事前申し込み必要です。mixi 会員の方は「[【WebSig24/7】Web制作者の会] イベント (mixi.jp)」で参加可能です。そうでない方は別途定める申し込みフォームから申し込みできるようになるかと思いますが、まだ出来ていないのであしからず。
slコマンド
ありみかさとみ (www.remus.dti.ne.jp)先生に教えていただきましたが、ls ならぬ sl (www.al.cs.kobe-u.ac.jp) というコマンドがあるのだそうで。
しかも踏切つきとか、Mac OS X 用の凝ったものとか、いろいろ見せていただきました。延々と SL が走り、しかも Ctrl+C では止められないという、なんともお馬鹿……もとい、素晴らしいコマンドですね。
関連する話題: UNIX
DSブラウザー
任天堂とOpera Software、DS用WEBブラウザ「ニンテンドーDSブラウザー」を7月24日に発売 (www.watch.impress.co.jp)。
楽しみですね。そして、会社のお金で DS Lite を……。
関連する話題: ニンテンドーDS
2006年6月19日(月曜日)
XSSの時代?
なんだか XSS を利用した攻撃が流行りつつある気配が……。
- 産経の情報サイト「イザ!」でトラックバックが改竄される障害 (internet.watch.impress.co.jp)
- フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト (itpro.nikkeibp.co.jp)
- (古いですが)「Yahoo! Mail」の脆弱性を突くウイルスが見つかる、メールを開くと感染 (internet.watch.impress.co.jp)
今回のフィッシングでは,細工が施されたリンクをクリックすると,PayPalのSSL(Secure Sockets Layer)を使ったページが表示される。このページ自体は本物。URLは「https://www.paypal.com/」から始まっており,ブラウザの錠マーク(pad icon)をクリックすれば,正当なSSL証明書が表示される。ただし,XSS脆弱性が悪用されて,コンテンツの一部が改変されている。
新手法ですか……。以下は、私が 2002年6月16日に社内向けに書いたメールからの引用。
あと、その捏造されたサイトにもしっかり SSL が効いているという点を追加して欲しげです。
IE とかならウィンドウの右下には鍵マークが出ますし、〓〓〓〓〓のサーバ証明書も確認できて、それは当然有効です。
似たようなページを勝手に捏造しても似たようなことは出来るのですが、このケースにおける最大の脅威は、この捏造ページが本物の〓〓〓〓のサーバ(〓〓〓〓〓証明書つき)から送られてきているということです。ページは捏造されているにもかかわらず、SSL による暗号化と〓〓〓〓〓によるサーバ証明書までついちゃっているわけです。
ですからユーザには、これがニセモノであると見破る術がありません。いちおう、IE なんかはデフォルトでは SSL 保護つきのページから別のサーバにフォーム送信されるときに警告ダイアログを出しますが、こんなダイアログは多くの場合無視されますし、最初から警告の出力自体がオフにされていることも多いです。
なんと言っても、捏造された罠フォームのページにサーバ証明書が出ているという点は大きいでしょう。
このとき私が作った PoC コードはインパクトがあったようで、そのときの体験が後にとある雑誌のコラムで紹介されたりしているわけですが (もちろん PoC は公開されていない)、そんなこんなも含めて非常に懐かしいですね。それがここへ来て「新手法」として紹介されるというのは、なかなか不思議な感覚です。
関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性 / SSL/TLS
2006年6月16日(金曜日)
2006年6月14日(水曜日)
F-ZERO GX
F-ZERO GX (www.amazon.co.jp)
F-ZERO GX インターネットランキング (f-zero.jp)で公開されているムービーを見たことがあって、なんか空を飛んだりしていてよく分からないゲームだと思っていたのですが……。ふつうにプレイする分にはふつうに F-ZERO のようですね。
関連する話題: ゲーム
2006年6月10日(土曜日)
ラビクッション買った
聖剣伝説シリーズの「ラビクッション」が復刻 (plusd.itmedia.co.jp)、というのはだいぶ前のお話ですが、某所で現物を見て以来、欲しいと思っていたのでした。
それを初台のショップ (www.square-enix.co.jp)で見かけたので、せっかくだからということで購入。持って帰るのが大変でしたが、なかなか良い感じです。
※実は聖剣伝説DS (www.amazon.co.jp)
2006年6月9日(金曜日)
CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性
「JVN#39570254 CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性 (jvn.jp)」。
メールヘッダに CR+LF がインジェクションできたという話だそうで。任意の To: がインジェクションできる状況で sendmail -t に渡ると、好きなものを何処にでも送れますね。
関連する話題: セキュリティ
2006年6月7日(水曜日)
2007年から新幹線も禁煙
東北・上越新幹線の喫煙車廃止へ、在来特急も (www.asahi.com)
JR東海・西日本管内や伊豆急行、東武鉄道へ直通する特急は対象外だが、JR東日本の清野智社長は「各社と協議していきたい」としている。
JRでは北海道でも今年3月から全車禁煙に踏み切り、九州も来年3月に喫煙席を全廃する。四国は11年度までに喫煙車を全廃する方針だが、JR東海・西日本は喫煙車を当面残す。
東海道新幹線は対象外ですか。まあ、窓口で指定席を買う場合は「禁煙車で、かつ喫煙車から離れた席をお願いします」と言えば要望に応えてくれるので、それほど大きな問題はないのですが。
東海道・山陽新幹線に来年夏デビューする新型車両は、デッキの喫煙コーナー以外はすべて禁煙になる。
うーん、デッキの煙が禁煙車に流入してくることが問題なので、デッキで喫煙できる状態だとあまり意味がないように思いますけれども。
関連する話題: たばこ
2006年6月6日(火曜日)
J2棟のエレベーターがおもしろい話
「死亡事故と同じ会社のエレベーター、トラブル多発 (www.asahi.com)」。
学生らが情報交換しているインターネット上の会員制交流サイトで、事故後に書き込みが急増した。4年の男子学生(23)は「扉が閉まりきらずに上昇したことがあった。製造会社名を覚えていたので、死亡事故のニュースに恐ろしくなった」と話していた。
これは mixi の「J2棟のエレベーターがおもしろい (mixi.jp)」というコミュニティのお話なのですが、実際に見てみると、にわかには信じがたいような話がてんこ盛りです。もちろん写真もあるので真実なのでしょうが……特に、斜めになったドアの写真は衝撃的で、「ありえない」としか言いようがない感じです。
関連する話題: 出来事
2006年6月5日(月曜日)
またウェンディーズで買えなかった
オフィス近くのウェンディーズで何か買おうと思って入ったのですが、並んでいたので断念し、コンビニで食料を購入。少しでも並んでいると出るしかないのが厳しいですね。
ウェンディーズ竹芝店 (www.minatoku-town.com)は、レジカウンターのすぐ横に喫煙席があるという構造のため、私がそこで並んで待つことは不可能です。物理的には可能ですが、無理して待っていると体調が悪くなってしまい、食事どころではなくなるので意味がありません。
※もちろん喫煙者がいなければ OK なのですが、そもそも並んでいるときというのは混んでいるわけで、人がいないことはまずないのです。
何故こういう設計にするのかが分からないわけですが……。
2006年6月1日(木曜日)
非SSLのフォームから安全に送信する方法はあるのか
インターネットの世界では、通信経路がどうなるかは保証されていなかったりするため、経路上に悪い人がいるかもしれません。悪い人は、流れてくるパケットの中身を見て、それを悪用するかもしれません。ですから、悪い人がいても問題ないようにするために SSL が使われます。逆の言い方をすれば、通信経路上に悪い人がいないことが保証されているならば、SSL は必要ないわけです。
通信経路上に悪い人がいる場合、その人はパケットを改竄できます。送り先が SSL 保護つきでも、フォームが非 SSL だとすると、たとえば
<form action="https://example.com">
という記述があったとして、通信経路上の悪い人はこれを改竄して
<form action=" http://example.com">
と変更する事が可能です。こうされると、非 SSL な URL にデータを送信してしまいますから、悪い人に読まれてしまいます。ですから、フォームも SSL にしなければいけません。
ここまではまあ良いと思いますが、ふと疑問に思ったのは、「非 SSL なフォームであっても、送信前に HTML のソースを確認して form の送信先を確認すれば安全なのか?」ということです。
ちょっと考えてみると、まずスクリプトが有効な場合は NG でしょう (DOM などで action属性 を書き換えることが出来るので、HTML ソースを見ただけでは判断できない)。また、たとえ https: であっても、送信先のドメインがよく分からないものであったらやはり駄目でしょう。
では、以下の条件全てを満たしている場合、そのフォーム送信は安全 (まともな SSL 保護つきフォームと同レベルの安全性がある) といえるのでしょうか。
- フォームは http: (非SSL)
- 送信先 URL は https: (SSL保護つき)
- フォームおよび送信先のドメインは既知の信頼できるもの (どこかの怪しげな ASP サービスではなく、ちゃんと送り先の会社が所有しているドメイン)
- 送信先 URL には事前に GET アクセスして、サーバ証明書に問題がないことを確認済み
- ユーザは、スクリプト無効にしている
- ユーザには HTML の知識があり、ソースを読んで送信先を確認することができる
ちょっと考えた限りでは、この条件全てが満たされていれば大丈夫なような気がするのですが、何か別な抜け道があったりするかしら……。
※もちろん、普通のユーザにはそんな条件満たせませんから、非 SSL のフォームは駄目という結論には変わりないわけですが……。ぶっちゃけると、私が非 SSL のフォームを使わされそうになっていて、そこから安全に送信したいという話です。:-)
- 前(古い): 2006年5月のえび日記
- 次(新しい): 2006年7月のえび日記
