水無月ばけらのえび日記

かび

読み終わったのでメモ。

• かび (www.amazon.co.jp)

非常に気持ちの悪い作品。……といっても悪い意味ではなくて、題名からして分かるように、そう意図されているのだと思います。

途中はスリル&サスペンスの連続で非常に面白いのですが、最後になって、それらが次々に、一気に功を奏してしまうのですね。そしてその瞬間、うっかり応援してしまっていた自分に気づいてしまい、物凄く悪い後味が残るという……。おそらく計算されているのだと思いますが、なかなか他にない感覚だと思います。

• 「かび」にコメントを書く

関連する話題: 本 / 買い物

IE8β2、保護モード有効だとカナ入力できない罠

金床さんにオススメされたりしたので IE8β2 をインストールしてみました。噂のXSSフィルターも入っていますね。

しばらく使ってみたのですが、なんとサイト上のフォームで日本語入力が一切できないことが判明。私は普段 ATOK でカナ入力なのですが、何故かカナ入力モード+カナロック無効の状態になってしまって、全角のアルファベットしか入力できません。入力モードを変更しようにも、メニューが無効になっていて変更できません。どうあがいても日本語入力できない状態です。

ブラウザ右上の検索フォームやアドレスバー部分には普通に入力できるのですが、Webページ内のフォームは全滅です。

まあ何となく原因が想像できたので、セキュリティ設定を開いて「保護モード」をオフにしてみたところ、カナ入力で日本語入力できるようになりました。

さすがに「日本語入力できない」という状態は致命的で、これをブラウザとして使うのはちょっと無理です。保護モードをオフにしてしまい、「保護モードがオフです」という警告を全力で無視して使うという手もありますが、どうするかなぁ。

※IE7では保護モードオンでもカナ入力できていたのですが……。もっとも、IME を一度オフにしないとカナロックされないことがあったりして、怪しい感じではありました。

• 「IE8β2、保護モード有効だとカナ入力できない罠」へのコメント (2件)

関連する話題: Microsoft / Internet Explorer / ATOK

JRは健康増進法についてどう考えているのか

水道橋に向かう用事があったので浜松町から京浜東北線に乗り、東京駅で中央線に乗り換え。

浜松町の北口改札から入るとホームの端に出るので、そのまま先頭車両に乗りました。車両はかなり混雑していて、東京駅についたところで押し出されるようにして降りたのですが……。

じゃじゃーん! 喫煙所のまっただ中に放り出されましたよ!

どうしてこんな目に遭わなければならないのでしょうか……。

※私鉄各社では健康増進法の施行と同時にホームから喫煙所が無くなったので、こんな酷いことにはならないのですが。

• 「JRは健康増進法についてどう考えているのか」へのコメント (2件)

関連する話題: たばこ

よつばと! 8

出ましたよ!

• よつばと! 8 (www.amazon.co.jp)

冒頭のシーン、机の上にさりげなく「おとうさんスイッチ」が置かれているのが可愛い! よつばととーちゃんがこれで遊んでいる光景が浮かんできますね。

全体的に、背景の絵の描き込みが物凄いです。見ているだけで飽きませんし、絵の外側の部分までちゃんと「世界」がつながっていて、どこまでも広がっているような感じがします。凄いなぁ。

※55話の扉の景色は見たことがある気がするなぁ。

• 「よつばと! 8」にコメントを書く

関連する話題: マンガ / 買い物 / よつばと! / あずまきよひこ

ロックマン2: エアーマンが倒せ……あれ?

ネット界隈(?)では有名な「エアーマンが倒せない (www.amazon.co.jp)」という歌があります。歌は面白いと思うものの、実はロックマンシリーズは未プレイだったので、いまいち実感がわかない状態が続いていました。

が、今日ついに、バーチャルコンソールで「ロックマン2 Dr.ワイリーの謎」が配信開始! これでエアーマンと戦える!!

というわけで早速ダウンロードしてゲーム開始。いきなりステージ選択画面になりますが、迷わず「AIRMAN」を選択。

……初めてで操作もよく分からないのに、いきなり空中ステージですか。ジャンプの感覚が分からなかったり、空中で敵に当たったりで2回ほどゲームオーバーになりましたが、その後はスムーズに進み、意外にあっさりエアーマンと対決。

いきなり大量の竜巻攻撃。うわ、この竜巻が「何回やっても避けれない」のは分かるなぁ……と思いつつ、強引に接近してショットを連打したら……。あれ、あっさり撃破しましたよ?

※こちらも瀕死にはなっていましたが、まさか初見で勝ってまうとは。これはこれで寂しいような、何とも複雑な気持ちです。

• 「ロックマン2: エアーマンが倒せ……あれ?」へのコメント (3件)

関連する話題: ゲーム / バーチャルコンソール

標識の新ジョーシキ

bAアナログゲーム部の創設者であり、ワードバスケットの良きライバルでもある青山さんが本を出されたそうで。

• 標識の新ジョーシキ (www.amazon.co.jp)

「道路標識の新解釈 (aym.pekori.to)」の書籍化っぽい。

※……って、このサイト見たことありますけど、青山さんのサイトだって気づいてなかったですよ……。orz

• 「標識の新ジョーシキ」にコメントを書く

関連する話題: 本 / BA

Railsの脆弱性: XML実体爆発攻撃

「REXMLのDoS脆弱性 (www.ruby-lang.org)」。

XML entity explosion attackというのは、実体宣言の中で別の実体を参照することを繰り返して実体参照の処理負荷を高める手法のようですね。掲げられているサンプルコードは短いですが、実体参照を展開するとデータは30メガバイトにもなります。展開の処理方法によっては、メモリを食い尽くしてしまうのでしょう。

外部からXMLデータのPOSTを受け付けるようなサイトは注意……と言いたいところですが、XMLデータのPOSTを受け付けないはずの手元のアプリケーションで試してみたところ、CPU負荷100%になって死んでしまいました。どうも、Railsはかなり上位のところでリクエストの処理を行ってくれているようで、XMLデータがPOSTされたら無条件に処理してしまうようです。上記のリリースでは「ユーザから与えられたXMLを解析するようなアプリケーション」と言ってしまっていますが、XML処理の有無にかかわらず、Railsで構築されたアプリケーションはほとんど全て影響を受けるように思います。「XMLを扱ってないから関係ないもんねー」などと思ってしまわないように注意しましょう。

……ところで、このサイトで使用している .NET ではどうなのだろうと思い、以下のようなコードでサンプルのXMLを処理してみました。

    DateTime start = DateTime.Now;
    XmlDocument xd = new XmlDocument();
    xd.XmlResolver = null;
    xd.Load("dos.xml");
    Console.WriteLine(xd.DocumentElement.InnerText.Length);
    Console.WriteLine(DateTime.Now - start);

結果は、

というわけで、約5秒で正常に処理できました。この程度なら特に問題なさそうです。

しかし考えてみると、外部から突っ込まれてくるXMLを処理するのは結構怖いですね。外部実体の宣言が含まれていることもあり得るわけで……。

……なんてのがあると、XMLパーサの設定によってはあっさり読みに行ってしまう可能性があります。この辺も気をつけないといけないですね。

※上記の C# のコードでは XmlResolver = null としているので外部実体は読みに行きませんが、これを null にしていないと、平気な顔で外部のサーバにHTTPアクセスしに行ってしまいます。Railsの場合は外部実体は読みに行かないようです。

• 「Railsの脆弱性: XML実体爆発攻撃」へのコメント (1件)

関連する話題: セキュリティ / Ruby / XML / .NET

System.Uriに%2fが入らない

こういうコードを実行すると、

    Uri u = new Uri("http://example.com/?%2f%252f");
    Console.WriteLine(u);

結果はこうなります。

つまり、こう変換されています。

• / → /
• %2f → /
• %252f → %252f

……私は%2fという文字列を入れたいのですが、いったいどうすれば……。

OriginalString には残っているのですが、MakeRelativeUri に渡したりすると消え去りますし……。

• 「System.Uriに%2fが入らない」へのコメント (5件)

関連する話題: C# / .NET

対策としての入力値チェックは……

まっちゃ445の懇親会で、大垣さんと徳丸さんとのやりとりが話題になっていました。

• ホワイトリストはどう作る? (blog.ohgaki.net)
• ホワイトリスト方式の優位は神話 (www.tokumaru.org)
• プログラミングではホワイトリスティングが基本 (blog.ohgaki.net)
• プログラミングではホワイトリスティングが基本ではない (www.tokumaru.org)
• 今こそXSS対策についてまとめよう (www.tokumaru.org)

……なんというか、何について議論されているのかがよく分からない感じがしますね。

徳丸さんは以下のように述べられていますが、

これは「ホワイトリストかブラックリストか」という以前の話で、そもそも入力値チェックをXSSの「対策」とすること自体が不適切なのだ、と言われているのだと思います。これはその通りだと思います。

たとえば、このサイトには掲示板があり、コメントを書くことができます。そこで入力されるコメントに対して、どういう入力値チェックを行うことができるでしょうか。ちなみに、このサイトではHTMLの書き方やXSS脆弱性の攻撃パターンについて議論されることがありますから、<script> などが含まれていたらエラーにする、という処理をされては困ります。

結論としては何でも書けて良いわけで、あえて言うなら制御文字を取り除いたり、長さチェックをしたりするくらいでしょう。もちろん、これらはXSS対策ではなく、「アプリケーションの仕様」によるチェックに過ぎません。

……というわけで、このようなケースでは、そもそも「入力値チェックで脆弱性を防ぐ」なんてことは一切できないのですね。では脆弱になるのかといえば、そんなことはありません。単に、入力された内容を#PCDATAの内容として問題ないように、< を &lt; にしたりして出力すれば良いだけです。

※もちろん、#PCDATA でないところに出力する場合は別な処理が必要になることがあります。

入力値チェックをしなくても、XSSは防げるのです。必要なのは、HTMLを正しく表示することだけです。

しかし、入力値チェックでXSSを防がなければならないようなケースも存在します。それは、入力されたHTMLを文字列として表示するのではなく、マークアップとして有効にしようとしているようなケースです。その場合、<em> は OK だが <em onclick="……"> は NG とする……といった複雑なチェックが必要になってきます。これは脆弱性対策のための入力値チェックだと言えるでしょう。

※もっとも、この場合にも、どのタグを許可するのかは仕様で定められるでしょうから、アプリケーションの仕様に従ったチェックをするだけであるとも言えます。

……と、ここまでが通常の前提の話。最近ではこれに加えて、「アプリケーションがちゃんと作られている自信がないから、予防的対策として……」という微妙な話があったりします。この場合、アプリケーションやWAFによって入力値チェックが行われますが、あくまで予備的なものです。本質的な部分の話ではないということに注意する必要があるでしょう。

※こういう対策をするべきのなのかどうか……という議論もあるでしょうが、まあここではその議論は置いておくとしましょう。

まとめると、XSSと入力値チェックとの関係には、以下の3つのケースがあるのではないかと思うのです。

• 通常のケース: 基本的に、XSS脆弱性を防ぐために入力値チェックは必要ない。
• 特殊なケース: タグをマークアップとして有効にするようなケースでは、入力値チェックをしなければならないことがある。
• 予防的対策: 本質的でない部分で、予防的対策として入力値チェックが行われることもある。

最初のケースについてはそもそもチェックが不要なのですから、ホワイトリストもブラックリストも関係ありません。ホワイトリストかブラックリストか、という話は後二者に関連してくる話ですが、特殊ケースにおけるチェックと、予防的対策におけるチェックではまた事情が異なってくると思います。

このあたりがもう少し整理されると、議論が分かりやすくなったりするのかもしれません。

• 「対策としての入力値チェックは……」へのコメント (1件)

関連する話題: セキュリティ / まっちゃ445勉強会

第01回まっちゃ445勉強会: ライトニングトーク

ついカッとなって第01回まっちゃ445勉強会 (sites.google.com)に参加してみました。

まずは午前中のライトニングトークについて、ぱらぱらとメモ。ただし、ディスカッションの内容は非公開ということになっていますので、質疑応答の内容は記載していません。

続くかも?

• 「第01回まっちゃ445勉強会: ライトニングトーク」にコメントを書く

関連する話題: セキュリティ / まっちゃ445勉強会

そういえばエンジニア募集中らしい

そういえば、@typeに「株式会社 ビジネス・アーキテクツの転職 求人情報 | システム開発（オープン・Web系） (type.jp)」って載ってますね。私もちょこっと写真に出ていたり。

……って書いてあるのに、URLは出ないのですね。せっかくなので、ここでメモしておきます。

• パナソニック『f1.panasonic.com』がMovable Typeを使う理由 (www.sixapart.jp)
• サッポロビールにおけるテンプレート活用事例 (www.adobe.com)

※Six Apartのサイトでは紹介されていませんが、MTに関してはもっと凄い事例もあったり……。

• 「そういえばエンジニア募集中らしい」にコメントを書く

関連する話題: BA / Movable Type

クリップボード改竄の攻撃、実害発生か

「正規サイトに不正Flash広告掲載か：URLをコピペしたら悪質サイトに――乗っ取り被害が続出 (www.itmedia.co.jp)」。

クリップボード周りがゆるいという話は、確かに古くから知られていますね。「Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する (java-house.jp)」は2001年の話、「FirefoxでWindowsのクリップボードに値を設定する方法 (d.hatena.ne.jp)」は2006年の話です。※後者は data: スキームを使う話ですが、もちろん外部の SWF ファイルでも OK。

IE7 では「スクリプトによる貼り付け処理」のデフォルト値が「ダイアログ表示」になるという改善が行われましたが、Flash は……。Adobe もそろそろ何か考えてほしいところですね。

※実際に被害が出ないと対策が進まないというのも、どうかとは思いますが。

• 「クリップボード改竄の攻撃、実害発生か」にコメントを書く

関連する話題: セキュリティ / Flash

PHPマニュアルのサンプルコードの脆弱性

• PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 (www.tokumaru.org)
• [php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 (www.tokumaru.org)

マニュアルに書かれているサンプルコードが脆弱で、そのまま実装するとリモートから任意のPHPコマンドが実行されかねないというお話。「プログラミング解説書籍の脆弱性をどうするか (takagi-hiromitsu.jp)」などというお話もありましたが、リファレンスマニュアルが……というのは、残念ながらPHPらしい話ではあると思います。

確かに「情報セキュリティ早期警戒パートナーシップ」の取扱対象ではなさそうですね。この場合、情報を公表しても攻撃対象は特定されませんし、速やかに情報公開してしまうのが正解のように思います。

• 「PHPマニュアルのサンプルコードの脆弱性」にコメントを書く

関連する話題: セキュリティ / PHP / 情報セキュリティ早期警戒パートナーシップ / 書籍の脆弱性

KDDIの他人のメールが見えた件、修正完了

• KDDIがWebメールサービスを再開、不具合の原因も判明 (slashdot.jp)
• 「au one net」WEBメールのサービス再開について〈別紙〉 (www.kddi.com)

メール文面だけでなくアドレス帳まで見えたらしいですね。とすると、他人のセッションを (意図せずに) 乗っ取ってしまったように思えますが、どうなのでしょう。原因の報告を見ると……。

「複数のシステムを制御するパラメータ」というのがよく分かりませんが、Webサーバが多重化されていて、バックエンドでセッション情報を共有する仕組みが何かまずかったとか?

そういう構成のアプリは手元にもあるので気をつけないと、と思いつつ、何をどう気をつければ良いのかさっぱり分からなかったり。:-)

• 「KDDIの他人のメールが見えた件、修正完了」にコメントを書く

関連する話題: セキュリティ

セキュリティアップデートの報告は内容が分かるようにしてほしい

Movable Type をカスタマイズするというお仕事の最中、ぴしっと脆弱性を発見。

しかし慌てません。Movable Type には8月7日にセキュリティアップデートが出ている (www.sixapart.jp)のですが、開発環境ではこれが適用されていない状態だったのです。そこで、「この脆弱性はアップデートで直るはずなのでアップデートできるかどうか確認する必要がある」というメールを書いたりしました。

が……。その後、なんと最新版でも修正されていないことが判明。最近出たセキュリティアップデートは、どうやら別件だったようなのです。

「どうやら」というのは、そのセキュリティアップデートの内容がハッキリ書かれていないからなのですね。単にセキュリティアップデートが出たということくらいしか書かれていないわけでして、どのくらい危険なのかとか、アップデート以外の回避策があるのかとか、そういう知りたい情報が無いのが困るなぁ、と前から思っていたのでした。

で、「とある脆弱性が直っているのかどうか」という情報もないもので、てっきり直っているものと思ってしまったという……。面倒だからなのか、「攻撃者に情報を与えるので良くない」というポリシーなのか知りませんが、もう少し詳しく情報を公開してほしいと思うわけです。

※考えてみると、Microsoftはこういうところを凄く頑張っていますよね。逆に、そういう姿勢に慣れすぎてしまっているのかも。

※2008-10-17: 情報が公開されたので、非公開にしていたソフトウェア名を公開しました。

• 「セキュリティアップデートの報告は内容が分かるようにしてほしい」へのコメント (2件)

関連する話題: セキュリティ / Movable Type / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

受理スピードアップ?

とある地方公共団体のサイトに脆弱性があったので届け出たら、なんと数時間でもう取り扱い開始に。

届出の受理が遅いなどという話がありましたが、最近はかなり素早くなっているのではないでしょうか。

※もっとも、受理速度にはまだだいぶばらつきがあるような気もしますが。

• 「受理スピードアップ?」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

ぼくらの6,7,8

引き続き購入。

• ぼくらの 6 (www.amazon.co.jp)
• ぼくらの 7 (www.amazon.co.jp)
• ぼくらの 8 (www.amazon.co.jp)

子ども達の運命を大人たちが知ることになったわけですが、なんでこんなにあっさりと運命を受け入れられてしまうのでしょうか。

本人達の場合、運命を知らないまま2戦してしまっていて、運命を知ったときは既に仲間が死んでおり、他にも大勢の人を死なせてしまっているという状況だったわけです。この状況で運命を受け入れてしまうのは、分からないでもないのですが……。

しかし周囲の大人は、もっとなりふり構わずに運命に抗おうとしても良いのではないかと思ったり。まあ、出てきている大人は軍人だったりニュースキャスターだったりして、一般の感覚とは違うのかもしれませんが。

9巻は9月発売のようなので、期待しておきます。

• 「ぼくらの6,7,8」にコメントを書く

関連する話題: マンガ / 買い物

ぼくらの4,5

引き続き購入。

• ぼくらの 4 (www.amazon.co.jp)
• ぼくらの 5 (www.amazon.co.jp)

胎児が契約者って……意思表示できないと思うのですが、契約の仕組みってどうなっているのでしょうか。母体の意思表示を本人の意思表示とみなす仕組みとか? だとすると、それは操縦時にも適用されるのかしら。

5巻ではマキの椅子が動かない事件が発生しましたが、あらためて1巻 (www.amazon.co.jp)の椅子選択シーンを見ると、マキの本来の椅子はベビーベッドではなかったということのようですね。そして、その椅子には別の人が座っているわけで……。

• 「ぼくらの4,5」にコメントを書く

関連する話題: マンガ / 買い物

Firefoxではembedのsrcに書かれたスクリプトが動作する

更新: 2008年9月20日

Yahoo!ブログ (blogs.yahoo.co.jp)に演劇ライフのブログパーツ (engekilife.com)が貼れそうかどうか調べていたのですが、その過程でどうでも良いことを発見。

以下のように、img要素のsrc属性に javascript: で始まる値が吐かれてしまうというXSSの例がよくあります。

これは IE6 で見るとスクリプトが実行されますが、Firefoxでは何も起きないというのが通説です。これを実行する意味は無いと思いますし、これで良いと思います。

が、驚いたことに、こういう出力がなされると……

なんとFirefoxではこれが実行されるという。互換性の都合で対応しているだけの要素だからかと思いきや、

object要素でも一緒でした。嫌なパターンですね……。

※もっとも、objectやembedで任意のデータを埋め込める時点でいろいろできてしまうはずなので、この形でのスクリプト実行が問題になることは少なかろうと思いますが。

※2008-09-20追記: 脆弱性が修正されたようなので、本文を少し修正しました。

• 「Firefoxではembedのsrcに書かれたスクリプトが動作する」へのコメント (3件)

関連する話題: Firefox / セキュリティ

ぼくらの2,3

1巻に引き続き購入。

• ぼくらの 2 (www.amazon.co.jp)
• ぼくらの 3 (www.amazon.co.jp)

……うーむ、まったく救われない話ですね。この救いのなさはドラッグオンドラグーン (www.amazon.co.jp)に匹敵するのでは……。

• 「ぼくらの2,3」にコメントを書く

関連する話題: マンガ / 買い物

ラムダ式のメモ

C#3.0 からラムダ式が使えるようになったわけですが、初めて使ってみたのでメモ。

こんな感じで配列の全要素に対して Foo() メソッドが実行できたりします。ArrayのForEachはstaticメソッドなので面倒なことになっていますが、Listならばこんな感じ。

こんなのも書けます。

• 「ラムダ式のメモ」へのコメント (4件)

関連する話題: C# / プログラミング

ぼくらの

購入。

• ぼくらの 1 (www.amazon.co.jp)

どこかのムービーで使われていたアンインストール (www.amazon.co.jp)という曲が気になっていたのですが、これは「ぼくらの (www.amazon.co.jp)」というアニメの主題歌だそうで……ということで、原作であるマンガの方を購入してみました。

• 「ぼくらの」へのコメント (2件)

関連する話題: マンガ / 買い物 / アニメ

脆弱すぎる

「誰だって数十分も探せば……」というフレーズをどこかで聞きましたが、26分で5件というのはいくら何でも脆弱すぎると思いました。

しかも、1件ごとに届出のメールを送っていたので、メールを書いたり暗号化したりする時間を考慮すると2～3分ごとに発見されているという。

※5件で打ち止めとはとうてい思えない状況なので、相談メールを送ってしまったり。

• 「脆弱すぎる」にコメントを書く

関連する話題: セキュリティ / 26分で5件届出の伝説

SSL/TLSと信用

「Firefox 3のSSL対応方針、どう思う？ (slashdot.jp)」

「信用」という言葉は誤解と混乱の元かもしれません。「信用できないサイト」と言われると、信用できない人が運営しているサイトであるというように言われている感じがしますが、SSL/TLSはそういう意味での「信用」とは無関係です。

証明書の警告が出ている状態というのは、「アクセスしようとしているサイトが本物かどうか確認できない」という状態です。https://example.com/ にアクセスしようとしたとき、通信相手が本当に example.com なのか、それとも example.com に成りすまそうとした誰かなのかを確認できなかったという話です。example.com の本来の運営者が信用できるかどうかは全く問題にしていません。「本物かどうか」ということと、「安心して利用できるかどうか」ということは別の話です。

※EV SSL の場合はもう少しがんばって、運営者の組織がちゃんと実在するということを保証しようとしていますが、それだけです。

で、もう一つ混乱を招きそうだと思うのが、「証明書のエラーが出ていても暗号化はされている」という話。

証明書のエラーを無視して通信すると、偽の相手と通信している可能性が否定できません。その場合、偽の相手と鍵を交換して、偽の相手に暗号文を送って、偽の相手に復号されることになります。これでは暗号化の努力には何の意味もありません。このような状態を「暗号化はされている」と言っても良いのかどうか……。

「電子証明書を確認してなりすましや中間者攻撃を防ぐ」ということをSSL/TLSの暗号化通信の機能の一部と考えれば、証明書が確認できない状態は、本来想定している手順での暗号化通信が行えていないという事になるでしょう。これで「暗号化はされている」というのは語弊がありすぎるように思います。あえて言うなら、「ブラウザは暗号化の努力をしている」(が、努力が無駄になっている可能性がある) という程度でしょうか。

ついでにもう一つ、Firefox の警告は自己署名を完全に否定しているわけではないはずです。自己署名証明書を安全に運用したいのであれば、何らかの安全な方法で証明書を相手に渡しておくなど、それなりの運用をすれば良いのです。

しかし、サイト上でいきなり証明書を受け入れさせる、などというやり方は非常に危険です。だから強く警告されます。まともなサイトがそのような危険な運用をするはずがありませんから (太字で断言)、危険な運用を勧めているのは攻撃者の偽サイトである可能性が高いと判断されるのでして。

• 「SSL/TLSと信用」へのコメント (4件)

関連する話題: セキュリティ / SSL/TLS

「理科少年」が仕事を変える、会社を救う

読み終わったのでメモ。

• 「理科少年」が仕事を変える、会社を救う (www.amazon.co.jp)

• 「「理科少年」が仕事を変える、会社を救う」にコメントを書く

関連する話題: 本

予告.inがXSSでやられた

ヤラレチャッタ。

• 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)
• 「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)
• 予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)

XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。

そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。

※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全体的に凄すぎます。このHTMLで安全に作れという方が無理です。

罠のリンクを踏み、その URL に含まれているスクリプトがターゲットのサイトで発動というのが XSS のよくあるパターンですが、今回はそうではなくて、サイト自体にiframeが埋め込まれてしまった形です。このタイプは罠を踏む必要がなく、ブックマークからアクセスしても発動しますので、用心していても回避できないですね。

※よく考えると、このタイプを「クロスサイト」と呼ぶのは適切ではないような気もしてきましたが、まあそこは気にしない方向で。

で、iframeで呼ばれた悪意あるサイトに攻撃のスクリプトが書かれていると。

これは、どちらかというとCSRFに類似した問題が2ch側にあるという話ですかね……(ログインしていないのでCSRFではない)。このあたりは、2006年 ウェブアプリケーション開発者向けセキュリティ実装講座 (www.ipa.go.jp)の高木さんの講演 (「CSRF」と「Session Fixation」 の諸問題について) で議論されているのですが、そこでは以下のように述べられています (スライドの18ページ)。

2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。

• 「予告.inがXSSでやられた」へのコメント (3件)

関連する話題: Web / セキュリティ / クロスサイトスクリプティング脆弱性 / CSRF / CSRFではない

取扱終了は必ずしも平和裏な解決とは限らない

「ビジネスパーソンの迷惑メール対処術 ウェブサイトの脆弱性 補修完了までに90日！？ (www.nikkeibp.co.jp)」

このへんは微妙ですね。取扱終了というのは文字通り取扱を終了したという意味しかありませんので、必ずしも安全になったとは言えません。

まず、「取扱終了」には、単に「Webサイト運営者が脆弱性ではなかったと主張した」というだけのものも含まれています。

SQLインジェクションやディレクトリ・トラバーサルなどは、実際に攻撃可能であることを示してしまうとマズイため、脆弱性の存在が推察されるというレベルで届出を行うことになります。そのような場合、Webサイト運営者が「脆弱じゃない」と主張したら受け入れるしかありません。

※もっとも、Webサイト運営者が「脆弱じゃない」と主張する理由が明らかに間違っているというケースもあり、そういう場合は「やはり脆弱なのでは?」と返せます。

XSSなどでは、運営者が修正して完了したとされたものでさえ直っていないケースがままあります。SQLインジェクションやディレクトリ・トラバーサルについても、「運営者は大丈夫だと考えているが実際は……」というケースがそれなりにあるだろうと思います。届出者にはそれを確認する合法な手段がないので、どうすることもできないのが現状です。

さらに、こういうパターンもあります。

これはもう「お疲れ様でした」としか言いようがありません。こういうのも取扱終了になります。

逆に、「取扱中」というのも文字通りの意味しかありません。Webサイトが修正されていても、IPAに対して修正完了の報告がない場合は取扱中のままになります。某A社はとっくにサイトリニューアルしているのに修正報告は届出の3年後、なんていう物凄いプレイを見せてくれましたし……。

• 「取扱終了は必ずしも平和裏な解決とは限らない」にコメントを書く

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション

厚切りベーコン

• BEST SOFTWARE WRITING (www.amazon.co.jp)

海外の方が Ruby を超オススメする厚切りベーコン! 厚切りベーコン!

……「厚切りベーコン」が頭にこびりついて、他に何が書いてあったか思い出せません。頭の中で「Ruby といえば厚切りベーコン」という嫌な結びつきが……。

• 「厚切りベーコン」にコメントを書く

関連する話題: Ruby / 本

IE7でコンテント・ネゴシエーションが残念なことになる件

Accept-Language によるコンテント・ネゴシエーションが IE7 でうまく動作しないらしいというお話があり、いろいろ調査。

問題を簡潔にまとめると、「IE7で複数の言語を設定している場合に、その設定の順位が無視されているように見える」という感じ。たとえば、コンテンツ側で日本語と英語を用意しているとき、以下のような動作になります。

• 言語設定何も無し……英語コンテンツが返ってくる
• 英語のみ設定……英語コンテンツが返ってくる
• 日本語のみ設定……日本語コンテンツが返ってくる
• 英語、日本語の順で2言語を設定……英語コンテンツが返ってくる
• 日本語、英語の順で2言語を設定……英語コンテンツが返ってくる (順番が無視されている!)

日本語、英語の順で設定したら日本語を返してほしいのに、何故か英語が返って来るという。

この原因は、「IEBlog : Accept-Language Header for Internet Explorer 7 (blogs.msdn.com)」に書かれている Accept-Language の仕様変更です。IE6 までは言語設定に「日本語 [ja]」という選択肢があったのですが、IE7 ではしれっと「日本語 [ja-JP]」になっており、他の言語についても同様ということですね。

恐ろしいことに「日本語 [ja]」という選択肢はなくなっているので、Accept-Language: ja を送りたい場合は "ja" と手入力しなければなりません。普通の人は手入力しないと思いますから ja-JP の方しか送られないわけです。

で、Accept-Language を受け取る Apache の側ではこんな感じになっています。

• Accept-Language: ja-JP を受け取ったら、ja も候補となる。ただしプライオリティはとても低い (他に優先して返されるものがない場合のみ、ja が返される)
• ja-JP と en-US を受け取った場合、ja と en も候補となる。ただしその場合、ja と en のプライオリティは同一となり、qvalue や Accept-Languageフィールド内での出現順などは全て無視される。
• 結果、ja と en の優先順位が判断できずに LanguagePriority の設定で優先度が高いものを返す

このおかげで、Accept-Language に ja-JP と en-US があり、コンテンツ側で ja と en が用意されているという状況では、qvalueにかかわらず ja と en のプライオリティは全く同一になってしまいます。結果として、言語の順番が無視されているように見えるわけです。

間違いではない気もしますが直感に反する動作ですね。mod_negotiation を修正してほしい感じがしますが……。

• 「IE7でコンテント・ネゴシエーションが残念なことになる件」にコメントを書く

関連する話題: Web / Internet Explorer / Apache