2005年8月
2005年8月31日(水曜日)
唯一神のマニフェスト
いよいよ総選挙という雰囲気で、もうポスターも貼られていますが……東京一区では、例によって唯一神の黄色いポスターが。もはや名物となった感がありますね。
※「唯一神又吉イエス」をご存じない方は、「又吉イエス非公式サイト (yes.kazamidori.net)」をご覧ください。
文面ははっきり言っていつもと同じなのですが、いままでは「選挙公報等で熟知すべし」だったところが「選挙公報・ホームページで熟知すべし」となっていて、割と大きめに URL が書いてあります。せっかくなので http://www.matayoshi.org/ (www.matayoshi.org) を見に行くと、予想に反して黄色くありませんし、結構普通な感じですね。少なくとも、当初の国民新党 (www.kokumin.biz)よりはマシなサイトだと思います。
面白いと思ったのは「唯一神又吉イエスの政策 (www.matayoshi.org)」。最初の方は「結構まともなのでは?」と思わせてくれるのですが、最後の方になると……。
ミニスカートとそれに類するものの廃止
道徳退廃は一人びとりの幸福を壊すもの。しっかりすることが一番。
……。
- 「唯一神のマニフェスト」へのコメント (2件)
関連する話題: 政治
2005年8月30日(火曜日)
2005年8月29日(月曜日)
届出情報不受理のご連絡
「[memo:8661] オンラインサービスのログインでID 、パスワードが暗号化されない (www.st.ryukoku.ac.jp)」……IPA に届け出たら不受理だったというお話。結果的にはウェブサイト運営者に通知されて修正されているので幸せな結果ですし、受理・不受理を判断するのも IPA の方のお仕事だと思いますので、不受理をおそれずにバンバン届け出て良いのではないかと思いますけれど。
振り返ってみると、私が届け出たもののなかにも不受理になったものが何件かあります。不受理の理由を挙げてみると……
今回、届出いただきました問題は、RFC2368 を準拠していないことに起因しており、太田様が書かれていますとおり、多くのメールソフトにおいて内在する問題であると考えられます。
しかし、製品におけるバグや機能の欠陥というわけではく、あくまでも仕様であることから、“脆弱性”ではないと判断しました。
これは「JVN#FCAD9BD8 メールクライアントソフトにおける mailto URL scheme の不適切な解釈 (jvn.jp)」の件。当初は上記のような理由で不受理とされたものの、結局は受理されました。不受理件数にもカウントされていないようですので、厳密にはこれは不受理ではないですね。
それからこんなの。
ファイルの公開については、ウェブサイト運営者の運用ポリシーに依存するところであり脆弱性ではないと考えます。
但し、ディレクトリ内のファイル一覧がインターネットから見えてしまうことは、セキュリティ上好ましいことではありませんので、頂きました情報は、ウェブ運営者に伝える予定です。
ディレクトリが丸見えで、Word 文書などがいっぱい公開されていたので、念のため届け出たものです。文書の中身は見ないで届け出たのですが、私が中身を見ていて、それがパスワードや個人情報であったなら、脆弱性として処理されていたかもしれません。
※というか、家では MS Word がなくて Word 文書は簡単には読めないので、Word 文書が公開しても問題ないものなのかどうか分からなかったのです。しかしよく考えると、一太郎で読めたかもしれませんが……そもそも、これ届出者が確認すべきなのかどうか微妙ですね。
※なお、別件で「rootのパスワードが書かれた PDF 文書が丸見え」というのを届け出ていますが、それは受理されています。もっとも、それはずいぶん初期に届け出たもので、当時は「受信」と「受理」が一緒くただったので、今で言う「受理」なのかどうかは分かりません。その件は結局、運営者と連絡が付かずに終了してしまったようです。
丸見えといえば、こんなのもありました。
ソースコードが閲覧可能な状態であることは、セキュリティ上の問題ではなく、ガイドラインで定義する脆弱性には該当しません。
ただし、ウェブアプリケーションを構成するソースコードは、一般的に公開する必要のないものであり、ウェブサイト運営者が意図せず公開している可能性が考えられます。これはセキュリティ上好ましくない問題であることは認識しておりますので、ウェブサイト運営者に届出があった旨を連絡いたします。
これは .inc という拡張子のファイルが丸見えになっていた件。ASKACCS の事件ではソースコードを見ただけで不正アクセスとされているのですが、これは単純に URL を参照したら見えたという話なので、不正アクセスではないと思います。まあ、不正アクセスかどうかはこの際関係ないですか。
……そういえば、不受理ではありませんが、印象に残ったものとしてはこんなのもありましたね。
IPA よりウェブサイト運営者に対して、メールで頂いた情報について説明し、ウェブサイト運営者の対応状況をメール、および電話で何度も確認しました。ですが、ウェブサイト運営者より「本件については問題ない」との返答があるのみで、対応していただけませんでしたので、取扱い終了とさせていただきます。
いやはや、いつもご苦労様です、としか言いようがないですけれども。本当にお疲れ様でした。
関連する話題: IPA / JPCERT/CC / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / Microsoft Word / RFC
2005年8月25日(木曜日)
FPROG終了
FPROG に「フォーラム閉鎖のお知らせ (2005-08-25) (forum.nifty.com)」という文章が。
プログラマーズフォーラム(FPROG)は、諸般の都合により、2005年9月末日をもちまして、@nifty での活動を終了することとなりました。
ついに終了ですか。「諸般の都合」って……もうニフティ会員ではないので運営会議室が読めず、「都合」の内容がさっぱり分からないという。昔は会員でなくても会員専用会議室の発言を読むことができたのですが、私が報告した結果、直ってしまったので何ともならないですね。ちょっと複雑な気分です。
※他の方法が全くないわけでもないのですが、面倒な上に明らかに犯罪ですし、やりません。
まあ、単に人が来ないという話ですかね。Web フォーラム化してからはちょっと閑散としていたので、仕方ないのかもしれません。
関連する話題: ニフティ
2005年8月23日(火曜日)
消しても履歴が残る
「奥平事務所 - 悪徳商法?マニアックス - livedoor Wiki(ウィキ) (wiki.livedoor.jp)」の項目がライブドアのスタッフによって削除されたようです。
このページは、規約 第5条 (禁止行為)「利用者以外の自然人・法人・団体・組織等の第3者の名誉や社会的信用を毀損したり、不快感や精神的な損害を与える行為」にあたる為、削除いたしました。今後注意をお願いいたします。(livedoor スタッフ)
しかし削除前の履歴は普通に見られるようなのですが……。
関連する話題: Web
2005年8月21日(日曜日)
プログラムの言語
「携帯でPCサイト閲覧 機能、料金…知恵絞るソフト会社 (www.be.asahi.com)」。のっけからこんな事が書いてありますが……。
パソコン向けのインターネットサイトを携帯電話で見ようとすると、プログラムの言語が違うため正確に表示されない。
「プログラムの言語が違うため」だそうで……。
2005年8月18日(木曜日)
国民新党
「国民新党(国民)ホームページ (www.kokumin.biz)」。
不覚にも笑ってしまいました。……内容以前に、ドメインが .biz という時点で。
※whois.biz に訊いてみると、持ち主は PISE Co.,Ltd. になっていますが……なんだかよく分からないですね。
どうでも良いですが、脊髄反射的に
<ul>
<li><a href="http://www.kokumin.biz/" target="foo">国民新党</a></li>
<li><a href="http://rryu.sakura.ne.jp/gomennasai.gif" target="page">ごめんなさい</a></li>
</ul>
とか思いついてしまう構成ですね。
関連する話題: 政治
2005年8月12日(金曜日)
p話
久しぶりに HTML の話で盛り上がったり。
「文章でないもの、たとえば検索フォームやナビゲーションを p要素としてマーク付けするのはおかしい」という主張は一見すると W3C マニアっぽい印象がありますが、実は HTML4.01 の例文ではことごとく p要素が使われているという。
関連する話題: HTML
ACCS 事件の新解釈?
更新: 2005年8月14日
「ネットワーク運用におけるセキュリティ:まずはセキュリティの基本的な考え方から理解する (www.itmedia.co.jp)」という記事が出ていますが……。
●コンピュータソフトウェア著作権協会(ACCS)
ACCSからの情報漏えいは、一般にはあまり知られていないかもしれないが、いくつかの点で非常に興味深い事件といえる。
この事件は、大学の研究者がACCSのWebサイトに存在するセキュリティホールを発見したことが発端だった。この研究者は、ACCSに対してセキュリティホールの存在を連絡したが、ACCSのWebサイト運用の委託者との行き違いもあり、対策は行われなかった。このため、彼はあるセミナーで、脆弱なWebサイトの事例としてACCSを紹介したのだが、この際に具体的なアクセス方法まで公開してしまった。こうして攻撃方法が第三者に公開されたことにより、ACCSのWebから個人情報が引き出され、公開されたことで事件となった。
これってそんな事件でしたっけ? 私の認識とはだいぶ食い違っていますけれど……。
私の認識ではこんな感じ。
- office さんが ACCS に脆弱性を通知したのは、プレゼンの後。ACCS はプレゼンの時点では脆弱性の存在を認識していなかった (ただし、ファーストサーバは以前から脆弱性の存在を認識していた)。
- セミナーで公開された攻撃方法を第三者が実践して個人情報が引き出された、という事実は確認されていない。アクセス記録が残っていた者のうち、少なくとも警察が捕捉した 3名に関しては csvmail.cgi のソースを表示しただけで、個人情報は引き出していないということになっている (他の4名については、どうであったか不明。また、OSコマンドインジェクションによってアクセス形跡ごと消されたものがあった可能性も否定できない)。
- その後「公開された」のは個人情報のファイルそのものではなく、セミナー当日に使用されたプレゼン資料 (exploit 結果を解説する部分のキャプチャから個人情報が読み取れた)。
個人的には、ACCS が脆弱性に気づかなかったことにはやむを得ない面があると思いますが、別の意味で教訓にすべき点があると思います。ほとんど誰も指摘していませんが、ASK ACCS ではあれだけの個人情報を必須項目にしていたにもかかわらず、SSL を使用していませんでした。これについては弁解の余地がないと思います。
結果的にパケット盗聴による漏洩は起きなかったのですが、「情報モラル」を提唱する組織としては個人情報に対する姿勢が甘すぎたと思いますし、この点はもっと厳しく問われても良かったのではないかと思います。
※いや、実は漏洩していて発覚していないだけという可能性も否定できませんが。
※2005-08-14 追記: 該当記事から、引用部分が丸ごと削除されているようです (こじまさん情報ありがとうございます)。「事実と違うだろ」ということで削除したのでしょうか。
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / SSL/TLS / ファーストサーバ
2005年8月10日(水曜日)
秀丸メール
「メールソフト「鶴亀メール」が「秀丸メール」に名称変更、商標権侵害により (internet.watch.impress.co.jp)」。話の経緯はサポートフォーラムの「大変なことになりました。商標権侵害 (www.maruo.co.jp)」というスレッドに出ています。まあ普通に考えて、「秀丸」ブランドを有効に使った方が良いと思いますが……。
というわけで手元の鶴亀メール 4.17 を秀丸メール 4.50 にアップデートしましたが、さりげなく X-Mailer の値も変更されています。X-Mailer: HidemaruMail 4.50 (WinNT,502) などとつくようになりました (末尾の OS の表記は非表示にもできます)。X-Mailer を見て何か処理するシステムを使っている方は要注意かもしれません。
※ちなみに、こんな文章も出ていますね。「商標権者への中傷/いやがらせについての警告 (hide.maruo.co.jp)」。
関連する話題: 出来事
2005年8月7日(日曜日)
0/0
0/0 は最近 0 なのかという話で盛り上がっているらしいがそもそも最近のクイズ番組のレベルから考えるとがんばっている方ではないかと思うわけで (phinloda.cocolog-nifty.com)……ってかなり前の IQサプリでしたっけ。
x = 0/0 として、分母の 0 をはずすために両辺に 0 を掛けると 0 = 0 となるので、x の値がいくつであっても式は常に成立し、解は不定……という話で良いのでしたっけ? x = 1/0 などの場合は同様にして 1 = 0 で不能 (解なし)。
関連する話題: 数学
脆弱性を通知された側の対応
セキュリティ専門家の間には次のような神話があるそうだ。「ソフトウェアベンダーには、セキュリティの脆弱性を迅速に修復しようとしない、無頓着でのろまな連中しかいない。彼らは、高潔なセキュリティ専門家から『脆弱性を公開するぞ』と脅されて、初めて対策を講じる」
以上、セキュリティ専門家のほうが問題な時もある より
驚くほど素早く修正して、丁寧なお礼の言葉まで述べてくれるケースも確かにありますね。IPA 経由でもお礼を言ってくれる人がたまにいたりして、そういうときは届け出た甲斐があったと思うわけですが。
しかし逆に、完全に放置されるケースも少なからずあるというのは紛れもない事実だと思うわけでして……。
関連する話題: セキュリティ
2005年8月6日(土曜日)
2005年8月2日(火曜日)
信頼済みサイトゾーンを使わせない……?
高木さんのところに「Google、読売新聞社、Mapion、Yahoo! JAPAN、ソフトバンク!BB、早稲田大学図書館、三洋電機、NEC、Oracle、マイクロソフトらがスパイウェア感染を招き金融被害をもたらしている可能性 (takagi-hiromitsu.jp)」というお話が出ています。Windows Server 2003 (www.amazon.co.jp)
確かに、Windows Server 2003 ではデフォルトで「セキュリティ強化の構成」が有効になっていますので、デフォルト状態では ActiveX コントロールは無効であり、Google ツールバーなどはインストールできません。
では ActiveX を有効にしたい場合にはどうすれば良いかというと、Windows Server 2003 のドキュメントではこのように指示されています。
Internet Explorer セキュリティ強化の構成をサーバー上で有効にすると、すべてのインターネット サイトに対するセキュリティ設定が [高] に設定されます。信頼する Web サイトの機能を利用できるようにするには、そのページを Internet Explorer で信頼済みサイト ゾーンに追加します。
- 追加するサイトに移動します。
- 追加するサイトを既に表示している場合は、手順 2 に進みます。
- 追加するサイトの URL がわかっている場合は、Internet Explorer を開き、アドレス バーにサイトの URL を入力し、サイトが表示されるまで待ちます。
- [ファイル] メニューで、[このサイトを追加]、[信頼済みサイト ゾーン] の順にクリックします。
- [信頼済みサイト] ダイアログ ボックスで、[追加] をクリックしてサイトを一覧に移動します。次に [閉じる] をクリックします。
- ページを更新して、その新しいゾーンからサイトを表示します。
- ブラウザのステータス バーを見て、そのサイトが信頼済みサイト ゾーンのサイトであることを確認します。
Google ツールバーをインストールするときもこのやり方で十分なはずです。Google 側は上記に加えて信頼すべきドメイン (おそらくは toolbar.google.com) を指示する必要があるでしょうが、それだけです。指示は決して難しくありません。また、その指示によってユーザが他のサイトで被害を受けるということも起きません。それで何も問題はないと思いますが、担当者があえて信頼済みサイトゾーンを使わせず、インターネットゾーンのセキュリティレベルを下げさせようとしているのは何故なのかはよく分かりません。単に Windows Server 2003 のドキュメントを読んでいないだけなのかもしれませんが、何か他に積極的な理由があるのでしょうか?
Windows Server 2003 以外の OS で IE を ActiveX 無効にしているケースというのも、たいていは「信頼済みサイトゾーンのレベルを中にしておき、ActiveX を使いたいときは信頼済みに登録する」という運用をしているのではないかと思います (私もそうです)。その場合は、セキュリティレベルを下げる指示をされても単に無視するだけになります。セキュリティレベルを下げる指示は「指示が必要な人には無視されて、指示が不要な人に危険な設定をさせる可能性がある」というものになっていて、百害あって一利無しなのではないかと思いますが……。
※なお、Windows Server 2003 以外の OS では、信頼済みサイトゾーンのデフォルトのセキュリティレベルが低すぎるという問題がありますので注意が必要です。そのため、「信頼済みサイト」ゾーンを使う前に一度「中」レベルでリセットしてやる必要があります。
※余談ですが、Windows Server 2003 では *.update.microsoft.com をはじめとするいくつかの Microsoft のサイトが最初から信頼済みに登録されています。ずるいような気もしますが、そうしないと Windows Update が動作しないからでしょう。
関連する話題: セキュリティ / Windows Server 2003
- 前(古い): 2005年7月のえび日記
- 次(新しい): 2005年9月のえび日記
