2009年10月2日(金曜日)
Wii Fit Plus 2日目
公開: 2009年10月3日17時20分頃
Wii Fit Plus (www.amazon.co.jp)
夕方頃から肩が重いような気がしていたのですが、夜になって、Wii Fit Plusをやってみて原因が分かりました。前日の「パタパタ飛行」でした……。
「パタパタ飛行」をやってみると、鎖骨とか首とかではなくて、肩の尖ったところ(?)がかなり痛い。かなり効いているようです。
- 「Wii Fit Plus 2日目」にコメントを書く
はてなが不正アクセスされた?
公開: 2009年10月3日16時35分頃
「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。
はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。
つまり、こういうことですね。
- docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていた
- その際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されていた
これ自体はよくあることです。PCサイトであればCookieを使うところですが、現状、docomo端末の多くはCookieに対応していません。そのため、セッションIDを引き継ぐためにはURLに含めるか、hiddenを使うことになります。hiddenを使うとすべての遷移をPOSTにする必要があり、画面の設計が大幅に制限されるため、URLに含めてしまうのが一般的です。
そしてどうやら、こういうことが起きたらしい?
- 他のページへのリンクを含むページをサーバ側でキャッシュしていた
- ユーザがアクセスした際に生成されたキャッシュが、別のユーザに対して表示されてしまった
こうなると、単にリンクを辿っただけで、他のユーザのセッションIDを含むURLにアクセスすることになります。これであっさりセッションハイジャックが起きるわけですね。ただ、この場合、故意にセッションハイジャックが行われたという話ではないように思います。はてな側の不具合で、たまたま他人のセッションを乗っ取ってしまった人がいたという話のような……。
そうだとすると理解できないのはこれ。
本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。
何度も書いているような気がしますが、不正アクセス禁止法の言う「不正アクセス」は世間一般のイメージとは異なるもので、「管理者の想定していないことをしたら不正アクセス」なんてことにはなりません。基本的には、他人の識別符号(パスワードなど)を使うか、あるいは不正な指令などでアクセス制御を突破することが要件となります。また、過失や未遂を罰する規定はありません。
今回のケースでは、アクセス制御機能はあったと言って良いと思うのですが、他人の識別符号を入れたとか、何らかの指令を送ってそれを回避したとか、そういった事実は無いように思うのですけれど。
※とはいえ、実際には別途不正アクセスが行われているけれども詳細は公表していない、という可能性もありますね。こういうケースでは、警察から情報を公表しないように指導されている事も多いので……。
関連する話題: セキュリティ
- 前(古い): 2009年10月1日(Thursday)のえび日記
- 次(新しい): 2009年10月3日(Saturday)のえび日記
