水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年3月

2007年3月

2007年3月31日(土曜日)

Windows Server 2003 SP2

Windows Server 2003 SP2 (www.microsoft.com) を適用してみました。例によって BIOS がおかしくて日付が 2003年1月1日に戻ったりとか、いろいろ苦労しましたが……。

何故かデスクトップと Quick Launch から IE6 のショートカットがなくなったのが謎。IE6 自体は生きていて、Microsoft Update しようとすると普通に立ち上がってくれますし、他のサイトも見に行けるのですが。

関連する話題: サーバ

2007年3月30日(金曜日)

MailDwarf脆弱性2題

JVN 公表され系。

今気がつきましたが、ソフトウエア製品の脆弱性だと一緒に届け出ても枝番処理されないんですね……。

ちなみに前者はひたすら良くある XSS で、後者はこれまたひたすら良くあるメールヘッダへの CR+LF のインジェクションですね。ユーザがフォームに入れたメールアドレスが From: の値になるのですが、そこに CR+LF がインジェクションできるという。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

東京ミッドタウンのリンクポリシー

本ホームページのトップページへリンクを希望される場合は、事務局である東京ミッドタウンマネジメント株式会社のウェブマスター宛にご連絡ください。ただし、公序良俗に反する内容、アダルトコンテンツ、弊社等を誹謗中傷する内容を含むホームページなど、弊社がリンクを不適当と判断する場合には、リンクをお断りすることがございます。

以上、東京ミッドタウン/ご利用上の注意 より

これだけ。トップページへのリンクは事前に連絡が必要としつつ、それ以外のページへのリンクについては特に何も言及していない、というのは珍しいですね。

「バイラル・マーケティング」という言葉が知られるようになって、ディープリンクを禁止しようとする人は少なくなってきたように思いますが……何故トップページへのリンクだけは許可制なのか、これがわからない。前世紀的な「リンク集」からのリンクはチェックしたいけれども、個人 blog から各ページへの直接リンクは許可したいという意図……なのでしょうか。

関連する話題: Web

マンガ買った

いろいろ出ていたので 3冊ほど。

※何故か Amazon の ふたばの教室 2 (www.amazon.co.jp) のページにはまだ画像がないですね。もう出ているというのに。

ドラゴン桜(18) (モーニング KC)すもももももも 7―地上最強のヨメ (ヤングガンガンコミックス)ふたばの教室 2 (ジェッツコミックス)

関連する話題: 買い物 / マンガ

ゆとり教育

興味深いと思ったのでメモ : 「ゆとり教育で学力が向上した ~逆風を追い風に変えた京都の教育改革 (business.nikkeibp.co.jp)」。

中でも京都市の教育改革を一躍全国に知らしめた出来事がある。2002年の、いわゆる「堀川の奇跡」だ。前年度はたった6人だった京都市立堀川高校の国公立大学現役合格者が、2002年にいきなり106人になったのだ。京都大学にも6人が合格した。

少子化で大学の合格率自体が上がっているという話は聞きますが、それにしてもすごいですね。ドラゴン桜を地で行く感じなのでしょうか。

関連する話題: 教育

Windowsアニメーションカーソルの脆弱性

更新: 2007年4月2日

マイクロソフト セキュリティ アドバイザリ (935423) Windows アニメーション カーソル処理の脆弱性 (www.microsoft.com)」。

うへー、これは厳しいですね。

CSS の cursor プロパティで cursor: url(……); という具合に任意の画像を指定できるわけでして。そもそも cursor プロパティで画像を指定できる機能って要らないんですが、無効にする方法なんてあるのでしょうか。あらかじめユーザスタイルシートで cursor を全部指定しておく?

※追記: 「画像」と書きましたがもちろん Win IE 向けには *.ani なファイルが指定できちゃったりします。さらに参考 : 葉っぱ日記 - 「Windowsアニメーションカーソルの脆弱性」@水無月ばけらのえび日記 (d.hatena.ne.jp)

※2007-04-02追記 : *.ani なファイルは favicon としても使えてしまいます (えむけいさん情報ありがとうございます)。回避方法はないですね……。関連: 続・Windowsアニメーションカーソルの脆弱性

関連する話題: セキュリティ

2007年3月27日(火曜日)

安全なWebサイト利用の鉄則

とある事情で、利用者がフィッシングを防ぐための心得のような文書を探していたのですが、「安全なWebサイト利用の鉄則 (www.rcis.aist.go.jp)」というものがあるのですね。これはなかなかナイスです。

本筋とはあまり関係ないのですが、

図はInternet Explorerの場合の例ですが、上部矢印の「詳細」タブをクリックして選び、その下の「サブジェクト」の欄をクリックしたときの様子です。下の矢印が指し示した部分(「O = 」で始まる部分)を確認します。ここに、そのサイトの運営者の組織名が英文で書かれています。

以上、利用者の鉄則 初めて訪れたサイトの場合 より

少し前、O に CN と同じ値 (ドメイン名) が設定されている証明書を見たことがあります。オレオレ証明書ではなく、どうもジオトラストのサービス (www.onlinessl.jp)で正式に発行されたもののようです。中にはドメイン名をそのまま法人の名称としている組織もあろうかと思いますが、その組織はそうではありませんでしたので、O の値としてはおかしいと思うのですが……。

関連する話題: セキュリティ / SSL/TLS

聖剣伝説4が安いっぽい

この前ビックカメラに寄ったら、昨年末に出たばかりの聖剣伝説4 (www.amazon.co.jp)がワゴンに投入されていて驚いたのですが、Amazon で見てみると アンリミテッド:サガ (www.amazon.co.jp)に迫るくらいお安くなっていますね。地雷扱いっぽい……。

アンリミテッド:サガは個人的には楽しめたので、もう少し安くなるようなら考えてみても良いかも。

関連する話題: ゲーム / 聖剣伝説

2007年3月25日(日曜日)

ASP.NET 2.0 にしてみた

Vista には .NET Framework3.0 が最初から入っていて、コンパイラの csc.exe は .NET Framework 2.0 のものになっています。これで hatomaru.dll をコンパイルすると、2.0 で obsolete となったメソッドがあるのいっぱい警告が出てしまいます。せっかくだからということで、遅ればせながら ASP.NET 2.0 で動かすことにしました。

アップデートは問題なく完了。IIS の設定で ASP.NET 2.0 を選ばないと有効にならないという罠があってはまりましたが、とりあえず 2.0 の csc でコンパイルしたバイナリが無事動くことを確認しました。

昔ひどいと思った System.Uri.MakeRelative() も obsolete になっていて、MakeRelativeUri() というメソッドができていたり、いろいろ変わっているようですね。

関連する話題: .NET / プログラミング

2007年3月24日(土曜日)

ATOK2007 体験版

ATOK2007 の体験版 (www.justsystem.co.jp)が配布されているようなので、入れてみました。

やっぱり ATOK は良いですね。新しく買ったマシンは Office 2007 (2007 Microsoft Office system) プリインストールなので一太郎はあんまり必要ないのですが、ATOK だけ買おうかしら。

関連する話題: ジャストシステム / ATOK

2007年3月21日(水曜日)

今日のもじぴったん

もじぴったんDS (www.amazon.co.jp)の今日のお言葉。

ぜいじゃくせい【脆弱性】 コンピューターのシステム上の欠陥。

関連する話題: ゲーム / ニンテンドーDS / もじぴったん

2007年3月20日(火曜日)

VistaFace

せっかくの Vista なので、サイドバーとガジェットでも使ってみるかということで、ダウンロードランキング 2位の VistaFace (gallery.live.com)を入れてみました。

……署名されてないし。orz

※いつのまにかダウンロードランキング 3位に落ち込んでいますね。

関連する話題: Windows Vista / MacFace / ガジェット

2007年3月19日(月曜日)

絶対領域

ウィッシュルーム (www.amazon.co.jp)」をクリアしたのでもじぴったんDS (www.amazon.co.jp)に没頭。まだ全然進んでいませんが……。

進まない原因のひとつとして、もじくん達のしりとりデモを見てしまうという点が挙げられます。成立する言葉を使ってひたすらしりとりをするだけなのですが、意外な単語が出てきて面白いのです。今日のヒットはこれ。

ぜったいりょういき【絶対領域】

ミニスカートとニーソックスの間の部分。

……こんなのまで言葉として登録されているのですね。ちなみに「わんせぐほうそう」なんてのもあるようで。

関連する話題: ゲーム / ニンテンドーDS / もじぴったん

Vista と IPv6

第1回 Vista時代の到来でネットワークは大きく変わる (itpro.nikkeibp.co.jp)」。IPv6 の話。

ただし,今のところはVistaユーザーにとってIPv6はほとんど無用だろう。それどころか迷惑になる可能性すらある。Vista起動直後のパケットをキャプチャしてみると,実にたくさんのIPv6パケットを発していることがわかる。このため,既存のIPv4ネットワークにVistaを参加させるだけなら,思い切ってVistaのIPv6を止めてしまうという選択肢もありえる。

普通に DNS に AAAA レコードを訊きに行ったりするのでしょうか……と疑問を抱いたわけですが、これも FAQ なのか「Windows Vista でのドメイン ネーム システム クライアントの動作 (www.microsoft.com)」というドキュメントがありました。グローバル IP アドレスを割り当てていなければ余計なクエリは出ない、という理解で良いのですかね。

※いずれにしても、実際にパケットキャプチャしてみた方が良さそうではありますが。

関連する話題: Windows Vista / ネットワーク

ロデオキングとロデオボーイII

どうでもいい話。

去年バランスボール (www.amazon.co.jp)が話題沸騰だった頃、「Amazon でロデオボーイ (www.amazon.co.jp)が売られている」という話題で盛り上がっていた時期があったのですが、当時は「ロデオキング」や「ロデオボーイII」が売られておらず、Amazon は負け組」という説が流れていました。

ふと見ると、いつのまにか両方とも Amazon にあるのですね。

※売れるものなんでしょうか……。

関連する話題: 与太話

2007年3月18日(日曜日)

ウィッシュルーム クリア

ウィッシュルーム 天使の記憶 (www.amazon.co.jp)」クリアしました。

悪くないのですが、惜しいと思った点がいくつかあります。

そして個人的に一番気になったのは、疑問アイコンのマージンが揃っていないこと。主人公が疑問を抱くと左画面の左上に「?」のアイコンが表示され、それが複数並ぶのですが、最初のアイコンと 2番目のアイコンの間隔が 4ドットなのに、2番目と3番目の間隔は 3ドットしかありません。これがメチャクチャ気になってしまい、疑問が 3つになるたびに「うわ、マージン違うよ~勘弁してよ~」と思ってしまいました。

※こんな 1px の差が気になってしまう自分が悲しいです……。

関連する話題: ゲーム / ニンテンドーDS

新マシンいじり中

新マシンにデータを移したりいろいろ設定をいじったり。

とりあえず hatomaru.dll は Vista の IIS7 でも動作してくれて一安心……と思ったら微妙に動作しないところがあったりしてしょんぼり。掲示板に書こうとすると「IPv4アドレスの形式が不正です : ::1」というメッセージが出たりしまして、HttpRequest.UserHostAddress の値が見事に IPv6 になっていることが分かったりするわけですね。

※「::1」は IPv6 のループバックアドレスで、IPv4 の「127.0.0.1」に相当するもの。

そもそも IP アドレスのチェックは現在していないので、チェックしないように修正して動作させましたが。

関連する話題: Windows Vista / hatomaru.dll

2007年3月17日(土曜日)

Let's Note R6

おかげさまで、去年あたりからちらほらと講演や執筆のお仕事をいただくようになったのですが、私物の PC はかなりくたびれているし、会社の共有マシンをつかうのも微妙なので、思い切って一つ買うことにしました。そして本日、Let's Note R6 (panasonic.jp) が届いたりしたわけです。

銀色は嫌だとか言いつつ買っているわけですが、そこはまあ天板色でカバー……と思って白の天板を選んだのですが、いざ届いてみると、これがまた琺瑯(ホーロー)のキッチンみたいな質感で何とも……。いっそのこと赤で3倍とかネタに走った方が良かったのかもしれません。

ともあれ Windows Vista を使っているわけですが、さすがにとまどいますね。とりあえず Hosts ファイルを書き換えようとしたところではまったりしましたが、これはお約束のようで「Windows Vista で Hosts ファイルや Lmhosts ファイルを変更できない (support.microsoft.com)」という KB があります。

まあ、セキュリティ強化がうたい文句ですから……と思いつつも、やっぱり「拡張子ではなく、内容によってファイルを開く」はデフォルト「有効」なのが納得いかない今日この頃。

IE7 ではインターネットゾーンのデフォルトが「中高」というレベルになっていて、「スクリプトによる貼り付け処理」や「異なるドメイン間のサブフレームの移動」などの設定は改善されているのですが、どうしてこんな厄介な奴がそのままなのでしょうか……。

あと意外に思ったのですが、初期状態では Flash が入っていないようですね。特にスクリプトや ActiveX を無効にした訳でもないのに、Flash は再生されません。いちばん面白かったのが Let's Note のサイト (panasonic.jp)で、打ち出しの画像をクリックしたら Adobe のサイトに飛ばされてしまったという……。

関連する話題: 買い物 / Windows Vista / Let's Note / Flash

2007年3月15日(木曜日)

ASAHIネットパスワードの罠

数日前に久々に ASAHI ネットのパスワードを変更したら何故かメールサーバが使えなくなって、おかしいなーと思いつつも「どうせ spam しか来ないから良いか」と思っていたのですが、ちょっとメールを送る用事ができたので改めて設定ガイド (asahi-net.jp)を確認してみました。

メールパスワード ASAHIネットIDに対応したパスワード すべて半角小文字で設定

半角は良いのですが、「小文字」で設定する必要がありましたか……。パスワードを小文字で入れ直してみたら、無事に使えるようになりました。

※しかし、なんでこんな事になっているのでしょうか……?

関連する話題: セキュリティ / ASAHIネット

ネット証券に不正アクセス、手法はブルートフォース

ジェット証券 (www.jetsnet.co.jp)のサイトに「当社WEBサイトへの不正アクセスに関するお詫び (www.jetsnet.co.jp)」というプレスリリースが出ていますが、この犯人が逮捕されたようですね。

西野容疑者は同証券の会員で、このHPに接続する手間を省くため、自動的に接続できるプログラムを自分で開発。これを悪用して、ほかの会員のIDを少なくとも26人分入手したうえ、うち5人の取引状況などを閲覧していた。「プログラムがうまく作動するか確認したかった」と供述しているという。

以上、YOMIURI ONLINEのネット証券のHPに不正接続、日立製作所SEを逮捕 より

自動的に接続できるプログラムを開発? 何なのでしょう……。

西野容疑者はIDやパスワードを機械的に検索するプログラムを作成していたといい、コンピューターにログインできるか性能を試す実験をしていたという。

以上、asahi.comの日立製作所SEを逮捕 ネット証券に不正アクセス容疑 より

機械的に検索というとブルートフォース?

調べによると、西野容疑者は2006年11月14日、15日の両日、ジェット証券の顧客IDとパスワードを盗み出す目的で、自身が作ったプログラムを使い、同社証券システムのサーバーに、IDとパスワードの組み合わせを総当りで自動入力させた。

以上、ITproのネット証券に不正アクセスの容疑で日立社員を逮捕 より

……ブルートフォースで確定ですね。ジェット証券のサイトを見るとアクセシビリティもユーザビリティもボロボロのようなので、接続するプログラムを作る気持ちは何となく分かる気がしますが、どう考えてもブルートフォース攻撃できるような機能は必要ないでしょうに。

しかし手法がブルートフォースだとすると、プレスリリースのこれは……。

3.再発防止策

当社におきましては法令・規程等に則り、個人情報保護のための安全管理等の施策を行っておりましたが、更に、不正アクセスに対する監視機能及びログイン時におけるセキュリティ強化等を取進めるなど再発防止のため最大限の努力に努めてまいります。

以上、当社WEBサイトへの不正アクセスに関するお詫び より

これ、再発防止策として適切なのですかね。「ログイン時におけるセキュリティ強化等」って何なのでしょう……。

関連する話題: Web / セキュリティ

もじぴったんDS買った

もじぴったんDS (www.amazon.co.jp)の発売日なので、会社を抜け出して購入。

……おお、もじぴったんですね(当たり前)。体験版では「ふたりのもじぴったん」にボーカルが入っていないのが気になりましたが、製品版ではちゃんと歌っていて一安心。サウンドモードもありますね。

プロモーション映像で「いなばうあー」という言葉ができる様子が流されていましたが、「ぶろぐ」「うえぶろぐ」「うえぶりんぐ」なんてのもできたりするようで、言葉はいろいろ増えているみたいです。ちなみに「ぐーぐる」はないみたい。:-)

さて、これでワードバスケット力を鍛えますか。

※Amazon に ワードバスケットのページ (www.amazon.co.jp)あるんですね。在庫切れですけど……。

ワード・バスケット―知的しりとりカードゲーム

関連する話題: ゲーム / ニンテンドーDS

2007年3月13日(火曜日)

ウィッシュルーム

何となく「ウィッシュルーム 天使の記憶 (www.amazon.co.jp)」の話をしていたら、何故か横からソフトが出てきてお借りできました。

ということでプレイ中ですが、縦持ちのスタイルがうまく生かされていると思う一方、縦持ちだとテーブルに置いてのプレイがちょっとしづらいと感じていたりもしており。

ともあれプレイ中。

関連する話題: ゲーム / ニンテンドーDS / 任天堂

Trac日本語版の XSS 脆弱性が修正された

先日の Trac の話ですが、日本語版の修正版が公開され、同時に JVN でも情報が公開されました。

JVN での公開は日本語版の公開を待っていたようですね。

ちなみに内容は、「利用者が Internet Explorer を利用している場合に」と書いてある瞬間に分かった人も多いと思いますが、例によって Content-Type: text/plain が無視されるという問題です。Content-Disposition をつけて回避したようですね。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

マンガ買った

2冊ほど購入。後で読みます。

美味しんぼ 98 日本全県味巡り 長崎編 (ビッグコミックス)街角花だより (アクションコミックス)

関連する話題: マンガ

2007年3月12日(月曜日)

情報セキュリティ白書

お疲れ様でした。各所で話題が出ていますね。

ただ微妙な話もあって、

セキュリティ10大脅威は、IPAに届けられたウイルス、不正アクセス、脆弱性に関する情報や、一般に公開された情報をもとに、情報セキュリティ分野の研究者などで構成される「情報セキュリティ検討会」のメンバー85人の投票により選ばれた。

以上、Internet Watchの2006年の10大脅威を発表 見えない脅威が増加、IPAがセキュリティ白書で警告 より

これは誤りかと。少なくとも私は投票していませんし、他にも 10大脅威確定後に参加したメンバーは大勢いるはずで、85人全員で投票しているわけではないでしょう。

関連する話題: セキュリティ / IPA / 情報セキュリティ白書

2007年3月9日(金曜日)

もじぴったんDS

もじぴったんDS (www.amazon.co.jp)の体験版が配信されていたので、ダウンロードしてプレイしてみました。

……おお、もじぴったんですね(当たり前)。もじぴったんの操作はタッチペンと非常に相性が良いですね。快適。価格もお手頃ですし、購入決定で。

※ただ、BGM「ふたりのもじぴったん」にボーカルが入っていないのが気になりましたが、体験版だからなのでしょうか……。

関連する話題: ゲーム / ニンテンドーDS

Tracの XSS 脆弱性が修正された

セキュリティホールmemo (www.st.ryukoku.ac.jp)で、「Trac "download wiki page as text" Cross-Site Scripting Vulnerability (secunia.com)」という話が紹介されていました。Trac の XSS ってなんか聞いたことあるような気がしていたのですが……。

Provided and/or discovered by:

The vendor credits Yoshinori Oota, Business Architects Inc

……ってこれ私だし! なんでセキュリティホールmemo 経由で初めて認識しているのでしょうか……。これは例によって「情報セキュリティ早期警戒パートナーシップ」の制度を利用して IPA に届け出たものなのですが、JVN (jvn.jp) には何も出ていないようですね。時差?

※あとどうでも良いのですが、Oota じゃなくて Ohta と書いていたつもりだったのですけれど。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

2007年3月8日(木曜日)

制服が売れる

日本でのXboxのキラーコンテンツはアレだった (slashdot.jp)」。アレ = アイドルマスター (www.amazon.co.jp)ということで。

YouTube の動画などを見ても、なんかみなさんこぞって 1000ゲイツの制服を購入していらっしゃるような雰囲気で、売れていそうだとは思っていましたが。

※「1000ゲイツ」は正しくは「1000マイクロソフトポイント」で、1500円に相当。

関連する話題: ゲーム / 与太話

禁煙スタイル

こんなサイトを発見 : 禁煙スタイル 全国の禁煙飲食店情報を掲載するグルメサイト (www.kinen-style.com)

飲み会などは喫煙される方が多いので敬遠していたりするのですが、自ら幹事になって禁煙の店を会場にしてしまうという荒技は使えるかもしれないと思ったり。

関連する話題: 出来事 / 思ったこと / たばこ / 飲食物

2007年3月6日(火曜日)

削除済みアイテムの意外な使い方

迷惑メールを「削除」してはいけない (www.nikkeibp.co.jp)」。うーん……内容が分かりにくいですが、以下のような前提条件があるようですね。

私も仕事で Outlook 2003 を使っているのですが、「全ての標準メールをテキスト形式で表示する」というオプションを有効にしているので、「削除済み」の中身もテキストとして表示されますね。まあ、そもそも「削除済みアイテムを過去メールの保管庫として使う」なんてことをしていないので、あまり関係ない話ではありますが。

※テキスト形式で表示するのはかなりオススメ。「テキスト形式に変換されました」という情報バーっぽいものが出るのですが、これをクリックすると元の形式 (リッチテキストや HTML メール) で表示することもできるようになっていますので、テキストで読んでから必要に応じて元の形式で表示なんてのも可能です。ちなみに [ツール] - [オプション] を開いて「メールオプション」を押して「全ての標準メールをテキスト形式で表示する」にチェック。

関連する話題: セキュリティ

電車が……

京浜東北線で信号トラブル 山手線もダイヤ乱れる (www.asahi.com)」ということで深夜バスにすら間に合わず、残念な思いを満喫しました。

関連する話題: 出来事

2007年3月4日(日曜日)

サーバ押収

放置サーバーにヤバい物が置かれて家宅捜索 (slashdot.jp)」だそうで。気をつけねば。

※まあ脆弱性の届出なんてのを行っている以上、突然逮捕されたりサーバを押収されたりするリスクは常にあるわけですが。

関連する話題: セキュリティ

2007年3月3日(土曜日)

アイドルマスター動画

なんとなくアイドルマスター (www.amazon.co.jp)の動画を集めてみました : ゲームのメモ : アイドルマスター

関連する話題: ゲーム / アイドルマスター

墓屋の参拝作法

細木数子の参拝作法は「誤り」 全国の神社から苦情 (www.j-cast.com)

信仰心ゼロの私には「正しい」作法なんてのがあるとは思えないわけですが、細木数子という人は基本的には墓屋の営業らしいので、葬式の作法を推奨するのは正しい姿のような気がします。

※墓を買わされた人たちがメインで「細木数子 地獄への道 (www.amazon.co.jp)」という本を出しているようですね。

細木数子 地獄への道

関連する話題: 与太話

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト