水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2008年のえび日記 > 2008年10月 > 2008年10月15日(水曜日)

2008年10月15日(水曜日)

書籍の脆弱性シリーズ?

書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 (www.tokumaru.org)……ということで「PHP×携帯サイト デベロッパーズバイブル (www.amazon.co.jp)」のセッション管理関係の記述が残念なことになっているそうで。

書籍の脆弱性 (takagi-hiromitsu.jp)シリーズ?

※りゅうさんが購入するに違いないのでメモしておきます。:-)

関連する話題: セキュリティ / 書籍の脆弱性

20世紀少年4,5

20世紀少年の4巻と5巻を買ってみるテスト。

帯がアレで巻数が(以下略)。オビの設計が悪いだけ (www.st.ryukoku.ac.jp)という話もありますが、確かにそうかも。おそらく、デフォルトの帯には巻数が書いてあって、しかしながら今は映画の宣伝の帯で統一されてしまっていて、それが残念なことになっているのかもしれません。

関連する話題: マンガ / 買い物

届出状況2008Q2

ソフトウエア等の脆弱性関連情報に関する届出状況2008年第3四半期 (www.ipa.go.jp)」。

図7に示すように、2008年第3四半期はDNS情報の設定不備の届出件数が突出して激増しました。これは、DNS(Domain Name System)キャッシュポイズニングの脆弱性に関して、「実際に運用中のウェブサイトのDNSサーバに、対策を実施していないのではないか?」という旨の届出が激増したためです。

えー、これって、公表済みの脆弱性が対策されずに放置されているケースですよね。そういうのは取扱い対象じゃないって言われたことがあるような気がするのですが。

メールを発掘してみるとこんな感じ。

ウェブサイトにて使用しているソフトウエアの問題の場合は、ソフトウエア製品の脆弱性として取扱わせていただいております。ただし、本件においては、当該ソフトウエアの脆弱性は既に公開されているため、取扱い対象外と判断いたしました。

これは、とあるセキュリティ系の会社で使われていた Movable Type が古いまま放置されていて脆弱だったという話なのですが、DNSサーバをアップデートしていないのも同じことだと思うのですよね。

DNSはヤバイので特別に取り扱い対象としているのか、あるいは、単純に方針が変わったのか……。まあ、このときには「取り扱うようにしてほしい」という要望も出していたわけでして、取り扱ってくれるようになったのであれば嬉しいのですが。

関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト