2004年7月
2004年7月30日(金曜日)
アーカイバのディレクトリトラバーサル
セキュリティホールmemo で「未対策・未発表な多数の国内産脆弱 (www.st.ryukoku.ac.jp)」という話が紹介されていますね。XSS はまあ特にどうということはない (!) のですが、アーカイバのディレクトリトラバーサルの話は興味深いです。
そもそも「自己解凍書庫がそのまんまインストーラ」というソフトがあったりしますので、書庫側で任意のパスを指定できる機能は必要なのだろうと思います。ただ、それが警告なしでできてしまうのは問題があるでしょう。「指定外のディレクトリにファイルを展開しようとしています」という警告が出たりするのがベターかな、と思います。
- 「アーカイバのディレクトリトラバーサル」へのコメント (4件)
関連する話題: セキュリティ
ココログ大アンケート
更新: 2004年8月2日
ココログ大アンケート (www.cocolog-nifty.com)ですが、ソースを見た瞬間に嫌な予感が。
<form method="post" action="https://www.nifty.com/webapp2/multi/multiform"> <input type="hidden" name="knaji_code" value="x-sjis"> <input type="hidden" name="dirctory" value="cocolog_hakusyo"> <input type="hidden" name="form_num" value="46"> <input type="hidden" name="thanks_URL" value="http://www.cocolog-nifty.com/hakusyo/thanks.html"> <input type="hidden" name="error_URL" value="http://www.cocolog-nifty.com/hakusyo/error.html"> <input type="hidden" name="necessary_num" value="1,2,4,5,6,7,8,9,10,11,13,14,15,16,17,19,20,21,29,30,31,32,35,37,43,44,46"> <input type="hidden" name="fukusuu_num" value="18,19,20,23,43"> <input type="hidden" name="zenkaku_num" value=""> <input type="hidden" name="mailaddr_num" value="46"> <input type="hidden" name="hankakusu_num" value=""> <input type="hidden" name="hankakueisu_num" value="">
まあ knaji_code というのは別に良いのですけど……もごもご。
※2004-08-02 追記: アンケート閉鎖されてますね。
2004年7月27日(火曜日)
DDoS に Aレコード削除は禁物
セキュリティホールmemoにこんな話が。
ちなみに、Antinny というウィルスの攻撃を受けた ACCS という組織は「当該 web サーバの A レコードを削除する」という手段に出たのですが、この行為は ISP の DNS サーバに多大なる影響を及ぼしたことが報告されています: ISP における DDoS 対応について~DNS の活用とネットワークの立場から~ (NTT コミュニケーションズ,OCN / JANOG14 発表資料)。同資料には対応方法も記載されていますから、まさかの時のためにも一読しておくとよいでしょう。
以上、セキュリティホールmemo [debian-announce:00043] packages.debian.or.jpの停止のお知らせ より
ACCS の A レコード削除は私も確認していますが、この対処が ISP の DNS サーバにとんでもない負荷をかけたというお話。資料のグラフを見ると、確かに物凄い負荷がかかっていたことが分かります。
※しかし、そのカウントには私の dig によるものも数回分含まれているのだろうと思うと、ちょっと複雑ですが。
結局、ISP 側で blackhole な IP アドレスを返すように設定することで回避したという話が紹介されています。実際には Web サイト側で blackhole を用意して、それを返すようにするのが望ましいという話のようですね。
奥が深いです。
2004年7月21日(水曜日)
IPAへの届け出は暗号化必須?
「IPAとJPCERT/CC、脆弱性関連情報取り扱い説明会を開催 (internet.watch.impress.co.jp)」ということなのですが、
福澤氏は冒頭で既にソフトウェア・Webサイト合わせて10件の脆弱性情報の届出があることを明らかにした上で、「現在は電子メールによる情報受付しか行なっていない上、情報漏洩防止のため届出メールにはPGPによる暗号化を施すことをお願いしているためやや敷居が高い部分があるが、今秋にはSSLを利用したWeb経由の届出システムを公開したい」と語った。
えーっ、「暗号化を施すことをお願いしている」って、聞いてないんですが……。「IPA/ISEC の PGP 公開鍵について (www.ipa.go.jp)」を見るとこう書いてあります。
コンピュータウイルスに関する届出 や 不正アクセス被害に関する届出 、 脆弱性関連情報に関する届出 をセキュアに IPA/ISEC に送信したい方は、この PGP 鍵で届出を暗号化して送信することができます。
以上、IPA/ISEC の PGP 公開鍵について より
これではどう見ても「セキュアに送信したくないひとは暗号化しないで送信してもよろしい」と言っているようにしか思えません。暗号化が必要というスタンスは理解できますので、それならそれではっきり書いていただきたいと思います。
※でも Shuriken では PGP 暗号化メール扱えない……。
関連する話題: セキュリティ / IPA / メール / 情報セキュリティ早期警戒パートナーシップ
GnuPG + 鶴亀メールでメールを暗号化
今使っているメーラーでは PGP で暗号化したりすることが難しいようなので、軽く「鶴亀メール」をインストールしてみました。
手元には何故か既に GnuPG がインストールされていたので、それをそのまま使います。手順としてはこんな感じ。
- 鶴亀メール側で [設定] - [全般的な設定] - [暗号化/電子署名] で「GnuPG を使う」。
- GnuPG 側で自分の公開鍵を作成する。無くても良いのでしょうが、自分でメッセージを復号できないと困る場合があるので作成しておきます。コマンドラインから gpg --gen-key で、あとは指示に従う感じ。質問が良く分からなかったらデフォルトで。
- 送り先の公開鍵を拾ってきて保存します。
- 送り先の公開鍵を gpg --import [ファイル名] で「鍵束」に登録します。
公開鍵の登録は鶴亀メール側ではなく、GPG 側で行う必要があることに注意。
で、これでできたと思って暗号化しようとすると、"There is no indication that this key really belongs to the owner" と言われて残念な思いをしてしまいます。自分で公開鍵に署名すれば回避できます。
- 送り先の公開鍵を自分の秘密鍵で署名。gpg --sign-key [送り先メールアドレス] で、指示に従ってパスフレーズを入れれば OK。
- あとはメールを書いて、[編集] - [暗号化/電子署名] で暗号化できます。
※IPA の鍵の場合、ルート鍵を信頼してしまえば他の鍵も全部信頼したことになると思われますので、その方が楽かもしれません。
2004年7月20日(火曜日)
AD200X移転
AD200X のサイトのドメインが変更されて www.ad200x.com (www.ad200x.com) に。さらに「ACCS、ならびに被害者の方々への謝罪と今後の対応について (www.ad200x.com)」という文書が出ていますね。
また、流出した個人情報の監視など、本件の対応に更に注力すべきとの判断から、A.D.200X実行委員代表者は、個人(Shadow Penguin Security)、ならびA.D.200Xとしてのコンピュータ・セキュリティに関する活動の一切を今後差し控えさせて頂く所存です。
悲しいですが、これ以上の責任の取り方はないと考えられたのでしょうか。
個人的には、不正アクセスにならない、健全なセキュリティコミュニティのあり方について模索して欲しいと思っていましたが、これはこれでひとつの責任の取り方ではあろうと思います。
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件
2004年7月19日(月曜日)
撤退完了
フィリピン部隊の撤退完了 メディア、米豪の批判に反論 (www2.asahi.com)……ということで、あっさり撤退完了したそうな。
誤ったメッセージとかいう話が出ていますが、「テロと取引はしない」「テロの要求には応じない」というメッセージを何回送っても、テロはぜんぜん減ったり無くなったりしていないのですよね。「テロに屈しない」というメッセージを送った結果、単純に「こちらも帝国の支配には屈しない」というメッセージが返ってきただけだったということでしょう。
じゃあ撤退すれば減るのかというと、それはそれで違うとは思いますが。
2004年7月18日(日曜日)
A
森達也監督作品「A (www.amazon.co.jp)
……やはりどうしても印象に残るのは、山本康晴氏が公務執行妨害で逮捕される場面ですね。せっかくだから警察官職務執行法第二条を引用しておきます。
第二条 警察官は、異常な挙動その他周囲の事情から合理的に判断して何らかの犯罪を犯し、若しくは犯そうとしていると疑うに足りる相当な理由のある者又は既に行われた犯罪について、若しくは犯罪が行われようとしていることについて知つていると認められる者を停止させて質問することができる。
2 その場で前項の質問をすることが本人に対して不利であり、又は交通の妨害になると認められる場合においては、質問するため、その者に附近の警察署、派出所又は駐在所に同行することを求めることができる。
3 前二項に規定する者は、刑事訴訟に関する法律の規定によらない限り、身柄を拘束され、又はその意に反して警察署、派出所若しくは駐在所に連行され、若しくは答弁を強要されることはない。
4 警察官は、刑事訴訟に関する法律により逮捕されている者については、その身体について凶器を所持しているかどうかを調べることができる。
以上、警察官職務執行法 より
特に3項は覚えておくと吉。
※ちなみに山本氏についていた執行猶予というのは信者を監禁した罪ですが、同氏は信者を 50度の湯につけて死なせた事件にも関与していたとも言われています。映画「A」に対する家族会の抗議書 (www.cnet-sc.ne.jp)なんてのもありますので、一応紹介しておきます。
2004年7月17日(土曜日)
2004年7月16日(金曜日)
下田1
カメラの充電を忘れていたのですが、まあなんとか……。
と思いきや、のっけから心霊現象発生ですよ。
失敗にめげず……。
……いや、やたら大きく男性用と書いてあるのがユーザビリティ的に良いかなと思ったので。ちなみに女性用はこの右にありました。
で、バスガイドさん曰く「美味しくないのに何故か異様に並ぶ」メロンパン屋。
あとは適当な風景かな。
2004年7月14日(水曜日)
禁則不能爆弾
「IEに巨大なテキストファイルを表示するとクラッシュする脆弱性 (internet.watch.impress.co.jp)」という話が出ていますが、
この脆弱性は、細工を施したサイズの大きなテキストファイルをIEでブラウジングすると、IEをクラッシュさせることができるというもの。実際にKurczaba Associatesは、「1」を4MB分含んだテキストファイルでテストしたところ、10秒後にIEが反応しなくなったと報告している。
細工って……単に「1」が 4MB 続くだけって細工ですか? べつに「1」の連続である必要もなく、「abcd……」でも何でも OK で、要は改行を含まずに 4MB 以上連続していれば OK のようですが。
手元でいろいろ試してみたのですが、これ、いわゆる「禁則不能爆弾」のようですね。適度に改行を含ませておけば、4MB を越えるファイルでもちゃんと表示できます。
※空白ではダメです。テキストファイル内の空白は勝手に改行されたりしませんので。
というわけで既知といいますか、ポータル墓場 (rryu.sakura.ne.jp)で既出のネタではあります。
※#926 (rryu.sakura.ne.jp)周辺で話題になっていた模様ですが、exploit の投稿が削除されていたりするのでわかりにくいなぁ。
関連する話題: セキュリティ / UA / Microsoft / Internet Explorer
2004年7月13日(火曜日)
TRACE に 413 が返る
いつのまにやら、enter.nifty.com は TRACE メソッドのリクエストに 413 を返すようになった模様。
XST 対策として TRACE を無効にしているというのは分かるのですが、413 が返るという動作はどうなのでしょう。
ちなみに RFC2616 ではこんな感じです。
10.4.14 413 Request Entity Too Large
The server is refusing to process a request because the request entity is larger than the server is willing or able to process. The server MAY close the connection to prevent the client from continuing the request.
If the condition is temporary, the server SHOULD include a Retry- After header field to indicate that it is temporary and after what time the client MAY try again.
以上、RFC2616 より
しかし、当然ですがいくら短くしても駄目なわけで。
でもって、これを返すのは例によって Netscape-Enterprise なのですよね……。
関連する話題: セキュリティ / HTTP / Netscape-Enterprise
不正アクセス罪における「アクセス制御」とは
「弁護士 奥村 徹(大阪弁護士会)の見解 (d.hatena.ne.jp)」に書かれている不正アクセスの解釈の話が各所で話題になっているようですので、いちおうメモしておきます。
- 2号不正アクセス罪における「アクセス制御」とは? (d.hatena.ne.jp)
- アクセス制御の話 (d.hatena.ne.jp)
お話としては非常に興味深いのですが、はてさて……。
ラグナロクオンラインに不正アクセス
「オンラインゲームに不正アクセス 中学1年の少年補導 (www.asahi.com)」なのだそうですが、
少年は、適当にアルファベットなどを組み合わせる方法で約140人分のIDとパスワードを入手。昨年8月から400回以上にわたり、不正アクセスを繰り返したという。
brute forth アタックですか。ゲームだし、ということで強度の低いパスワードを使っていた人たちが喰らった……のかな。
油断できませんね。
2004年7月9日(金曜日)
XSSじゃない
ウェブアプリケーション脆弱性関連情報届出様式の記入例 (www.ipa.go.jp)ですが、脆弱性の種類が「クロスサイトスクリプティング」となっているのに、あとの説明を読むと全然 XSS と関係ないですね。
まあこれは記入例に過ぎませんから問題はないのですが、逆にこのようなものの「脆弱性の種類」は正しくは何になるのかが疑問です。クロスサイトスクリプティング脆弱性とかダイレクトOSコマンドインジェクションとかダイレクトSQLコマンドインジェクションなんてのはちゃんと名前が付いているから良いのですが、そうでないものも多いですし……。
※いや、単に私が名前を知らないだけのような気もするのですが。
「脆弱性の種類」の一覧みたいなものはないのかしら……。
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
テロリストの協力が必要
バスにこんなシールが貼ってあったりするのですが、
テロやハイジャックを企てている方には、是非ご協力いただきたいですね。
……有効であるかどうかはどうでも良くて、とにかく何か「対策している」と回答できるような既成事実を作っておくことが重要なのかなぁ。
2004年7月8日(木曜日)
IPA脆弱性関連情報取扱い窓口
ついに来ました、「情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い (www.ipa.go.jp)」。
とりあえず「情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)」は必見です。これによると、ディレクトリ丸見え系などは「ウェブサイトの不適切な運用」として脆弱性情報に含まれるようですね。「2) 脆弱性の種類」のところに「ウェブサイトの不適切な運用」と書いてやれば OK なのかな。
2004年7月6日(火曜日)
フレームインジェクションの誘惑
「選挙報道に各党ピリピリ 終盤迎えた参院選 (www.asahi.com)」
公示5日後の6月29日、「みどりの会議」代表の中村敦夫候補とパロディー作家のマッド・アマノ氏に、安倍晋三・自民党幹事長と弁護士の連名で、通告書が配達証明で届いた。中村氏のHPに掲載しているアマノ氏のパロディーを名誉棄損だとして、削除するよう要求する文面だった。
以上、asahi.comの選挙報道に各党ピリピリ 終盤迎えた参院選 より
これですか。http://www.monjiro.org/Mad_Amano/2004/040623.html (www.monjiro.org)
自民党のサイトはフレームですから、これを自民党サイト内にインジェクションすることは可能ですね。……って考えたのは私だけではないみたいですが。ちなみに target="MAIN" で OK なのですが、下手に exploit (なのか?) のサンプルを作って置いたりすると面倒なことになりそうなので、控えておきます。
ところで、その「木枯し紋次郎」こと中村敦夫氏の政党は「みどりの会議 (www.midorinokaigi.org)」ですが、サイトを見るとけっこうまともなことを言っていますね。いや、実はマイナー政党ということで「新風」や「又吉イエス」と同列くらいにとらえていたのですが、認識を大幅に改めました。※って、又吉イエスは政党じゃないですけど。
……しかし悲しいかな、このサイト、画像に代替テキストが全くないのですよね……。
2004年7月5日(月曜日)
自民党 Web サイト再び
自民党のサイトですが、いつのまにか黒いサイトではなくなっていました。それは良いのですが、物凄い言葉が……。
自民党は、音声読み上げソフト等に対応できるWebページづくりを目指しています。
以上、自由民主党 より
いや、言葉自体は至って普通ですし、政党の Web サイトとしてあるべき姿であるとも思います。しかし、そのサイトはコレですよ。
- フレームで、noframes の中身は空。
- トップページに謎の空白。たぶん Flash だと思いますが、代替内容は無し。
- 代替テキストの無い画像化文字が平気で出てくる。たとえば検索のボタン、フッタの Copyright 表示。
これらが自民党の考える「音声読み上げソフト等に対応できるWebページづくり」なのでしょうか。一度でも実際に「音声読み上げソフト」を使って読んでみれば、「image/KensakuB.gif:イメージボタン」とか「オブジェクト。」とか読み上げられてしまっているところに気づかないはずがないと思うのですが……。
※ちなみに、noframes が空でも IBM ホームページ・リーダーは内容にアクセス可能です。デフォルトで先頭のフレームが読み上げられ、Ctrl + tab で読み上げ対象のフレームを切り替えることができます。というわけで読めることは読めるのですが……やっぱりフレームでない方がわかりやすいと思います。
それとも、気持ちとしては「目指して」いるけれども、実は着手するつもりはないということなのでしょうか。いずれにしても、ある意味、非常に「自民党らしい」と感じました。
2004年7月4日(日曜日)
2004年7月3日(土曜日)
朝霧とA
「朝霧 (www.amazon.co.jp)
ついでに、『「A」―マスコミが報道しなかったオウムの素顔 (www.amazon.co.jp)
ルーラのとび先をひとつも知らない
ドラクエ5 (www.amazon.co.jp)
普通にやっていると絶対に見られないメッセージなのですが、ちゃんと用意してあるところにプログラマーの心意気を感じます。
この「ルーラのとび先」なのですが、オラクルベリー、ラインハット、ポートセルミ、ルラフェンについては、町に入っても登録されません。おそらくルーラ習得イベントの際に追加されるようになっているのでしょう。さらに、幼年期のサンタローズとアルカパは青年期のそれとは違う町として処理されているのか、これらもルーラのとび先には追加されません。
サラボナ、テルパドール、メダル王の城、ネッドの宿屋、グランバニア、北の教会は訪れたときに普通に追加されます。
関連する話題: ゲーム / スクウェア・エニックス / ドラクエ5 / ドラクエ
2004年7月1日(木曜日)
他サイトのフレームの中に別サイトを入れる
「IEのフレーム内にほかのサイトを表示できるスプーフィング脆弱性 (internet.watch.impress.co.jp)」って……えーと、これは脆弱性……なのかしら。
これはとても単純な話で、たとえば墓場ブラウザー (rryu.sakura.ne.jp)を開いた後に、target="fprog" となっているアンカーを辿れば該当するフレームの中が書き換わる、というだけのことです。フレームを使ったことのある人なら普通に知っていると思いますが……。
※というか、まさに墓場ブラウザーのような使い方を普段から見ているから驚かないのかも。
ちなみに MSIE などでは「異なるドメイン間のサブフレームの移動」を無効にすると回避できます。某銀行のようにもともとフレームの中に他ドメインのサービスをインジェクションしているようなサービスは使えなくなりますが、それは使わない方が良いような気もするので……。
こういう話が出てくると、やはり HTML 仕様でフレームを採用すべきではなかったのかな、とも思いますね。HTML3.0 で提案されていた banner要素のようなものであれば、こういう問題は出てこなかったのでしょうし。
- 前(古い): 2004年6月のえび日記
- 次(新しい): 2004年8月のえび日記
