水無月ばけらのえび日記

それ町7

公開: 2010年5月1日16時20分頃

7巻が出ていたので購入。

• それでも町は廻っている 7 (www.amazon.co.jp)

目次が伊勢崎さんで、おおっと思ったら、その後全く出てこなかったですね……。

野球のルール説明のところが面白かったです。あと、おかめ怖っ。しかし、真田にこういう理由付けをされてしまうのは悲しいなぁ。

• 「それ町7」にコメントを書く

関連する話題: マンガ / 買い物 / それ町

届出状況2010Q1

公開: 2010年1月29日23時15分頃

2010年Q1の届出状況が公開されました: 「ソフトウェア等の脆弱性関連情報に関する届出状況 [2010年第1四半期（1月～3月）]」。 (www.ipa.go.jp)

ウェブサイトの届出が5000件を突破だそうで。昔はごく少数の人だけが利用していたような印象がありましたが、けっこう定着してきた感じがしますね。

携帯サイトに関しては、以下のように注意を喚起しています。

携帯サイトはPCサイトよりもセッション、認証まわりの脆弱性の比率が多いというお話。携帯サイトの認証まわりのひどさについては、最近話題になっていますね。携帯サイトはPCからアクセスできないことが多く、XSS検査文字列を入れるのが面倒なので、XSSが発見されにくいという事情もあるのでしょう。

※「携帯サイトの1/3以上が……」ではなく「携帯サイトの脆弱性の1/3以上が……」であることにも注意。

今後、携帯サイトに関しては根本的な部分が問題になってくるものと思います。携帯サイトの運営者は、いろいろ準備しておいた方が良さそうですね。

• 「届出状況2010Q1」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

サナギさん5,6

公開: 2010年4月27日23時40分頃

4巻に引き続き。

• サナギさん 5 (www.amazon.co.jp)
• サナギさん 6 (www.amazon.co.jp)

「フユちゃんのコトを英語で言ったよ 聞き取れた?」というサナギさんが可愛い!

しかし最後まで勢いが衰えないですね。6巻の「ゼッケン昔話」、そして「アロエ侍」が一番面白かったです。6巻で終わってしまうのは寂しいなぁ。

• 「サナギさん5,6」にコメントを書く

関連する話題: マンガ / 買い物 / サナギさん

咲 -saki- 7

公開: 2010年4月25日22時50分頃

7巻が出たので購入。

• 咲 -saki- 7 (www.amazon.co.jp)

オーラス決着。咲の得意技である嶺上開花(リンシャンカイホウ)は常にツモ和了になるので直撃できないという弱点が、と思っていた時期が私にもありました。この手があったとは。

しかし、7巻は麻雀の勝負が極端に少ないですね。決勝のオーラス一局以外だと、「みっつずつみっつずつ」の妹尾佳織が緑一色(リューイーソー)を和了した描写があるくらいです。

※この時もきっと本人は混一色(ホンイーソー)だと思って和了したのだろうなぁ。

• 「咲 -saki- 7」へのコメント (1件)

関連する話題: マンガ / 買い物 / 咲

サナギさん4

公開: 2010年4月25日22時25分頃

3巻に引き続き。

• サナギさん 4 (www.amazon.co.jp)

フユちゃんとのメールのやりとりが面白かったですね。あと、王子様が暴漢をやっつけるところ、「やっぱり」という感じですが笑ってしまいました。

フユちゃんは頭のいい子なんだろうなぁ。

• 「サナギさん4」へのコメント (1件)

関連する話題: マンガ / 買い物 / サナギさん

サナギさん2,3

公開: 2010年4月25日20時40分頃

1巻が面白かったので引き続き。

• サナギさん 2 (www.amazon.co.jp)
• サナギさん 3 (www.amazon.co.jp)

2巻は爆笑してしまいました。冒頭の「刺身ブラウン」も良かったですが、最強だと思ったのはカレンダーの話。「五月病」が……。

3巻だと「いぬ」あたりが。

なんか読んでいるとサナギさんがどんどん可愛く思えてきますね。

• 「サナギさん2,3」にコメントを書く

関連する話題: マンガ / 買い物 / サナギさん

ポチの告白

公開: 2010年4月25日19時40分頃

少し前にGIGAZINEで紹介されていて (gigazine.net)、面白そうだったので購入。

• ポチの告白 (www.amazon.co.jp)

いやぁ、これは怖いですね。

真面目で実直な人物が、上司や周囲の指示で「染まって行く」様が非常に恐ろしいです。警察・検察・裁判所がグルだから警察官は捕まらない。本来はマスメディアがチェック機能となるべきところ、日本ではそれも機能しないので歯止めが利かない。その中でどんどんエスカレートして行く犯罪……。公私の別がなく上司に逆らえないところも怖いですね。喫煙させられる、子どもの名前をつけられる。逃れられない。

一番恐ろしかったのは、トイレにカッターナイフが置かれているシーンですね。誰も何も言わないけれど、ただ置いてあるという……。

• 「ポチの告白」にコメントを書く

関連する話題: 買い物 / DVD

USBキーボードからの感染

公開: 2010年4月25日1時55分頃

これは目から鱗ですね……「自動起動を無効にしても防げないUSB攻撃、ほとんどのOSが該当 (journal.mycom.co.jp)」。

USBメモリを挿したら自動起動でマルウェアが動作して感染、というパターンは良くありますが、OS側で自動起動を無効にすれば対策できます。が、USBメモリではなくキーボードを挿した場合、自動起動が無効になっていても関係なく、キーボードとして認識されるわけですね。そして、キーを打てばコマンドを実行することができます。

というわけで、悪意あるコマンドを実行するようなキー操作を自動的に送るキーボードデバイスを用意し、それを挿せば感染活動ができるわけですね。しかも、見た目がキーボードである必要はありません。USBメモリのように見えるがキーボードとして認識されるものを作れば良いわけです。

もっとも、専用の物理デバイスが必要になりますので、この仕組みで2次感染、3次感染と拡大して行くのは難しそうではありますね。標的を絞った攻撃には十分使えそうですが。

• 「USBキーボードからの感染」へのコメント (2件)

関連する話題: セキュリティ / コンピュータウィルス

TLDにAレコードが設定される

公開: 2010年4月24日22時55分頃

「http://to./が開けるしくみ (d.hatena.ne.jp)」。

http://to./ にアクセスを試みると、アクセスできてしまうというお話。なんと、TLD(トップレベルドメイン)そのものにAレコードが設定されているのですね。

※http://to/ ではイントラネットのホスト名とみなされてしまいますが、http://to./ としてやればFQDNとして扱われます。ちなみに上記では問題なく解決できるように書かれていますが、実はMicrosoftのDNSキャッシュサーバではこの名前を解決できないようで、SERVFAILが返ってきてしまいます。

こうなってくると、やはり気になるのはCookie Monsterの問題です。domain=.to のCookieが発行できると、.toドメインのサイト全てに影響が出てくる可能性があります。

なんだかいろいろな意味で心配になってきますが、大丈夫なのでしょうか。

• 「TLDにAレコードが設定される」へのコメント (1件)

関連する話題: Web / DNS

サナギさん

公開: 2010年4月24日15時45分頃

面白そうだったので購入。

• サナギさん 1 (www.amazon.co.jp)

表紙の絵がなんか見えそうな感じなのが……この絵柄で見えたとしても何もないと思うのですが、それでも気になるという。

「毒舌系ほのぼの4コマ」と称しているようですが、考えさせられるネタも多いです。しょっぱのな「守ろうよ わたしの好きな 街だから」へのツッコミからして面白かったですね。

絵は幼い感じですし、ダジャレも多いですが、所々に知性を感じるネタが光ります。

※サナギさんは佐名木さんなのかと思いきや、下の名前なんですね。

• 「サナギさん」にコメントを書く

関連する話題: マンガ / 買い物 / サナギさん

Opera mini for iPhoneではオレオレ警告が出ない

公開: 2010年4月24日0時55分頃

Opera mini for iPhoneではオレオレ証明書が警告されない (d.hatena.ne.jp)。https://bakera.jpが役に立ったようで何よりです。

話としては、こういうことですね。

• Opera mini ではオレオレ証明書のサイトにアクセスしようとしても警告が出ず、何事もなかったようにアクセスできてしまう。
• オレオレ証明書のサイトでは鍵マークが出ないという挙動になるのだが、鍵の存在が分かりにくい (しかも、ちゃんとした証明書を使っているサイトでも鍵が出ない事があるというバグがあるのでなおさら分かりにくい)。

なお、そもそもの話として……。

……と、中間者攻撃みたいな状態になっているわけですね。まあ、アプリを入れている時点でOperaを信用している前提になるはずですので、Operaのサーバを信用する前提自体は問題ないのでしょうけれど。

ただ、見ていると、どうもサーバ証明書の内容を確認する機能も無さそうなのですが、困らないのでしょうか。特にSubjectの組織名などは確認したい時もあると思うのですが……。Operaのサーバは証明書を確認しているはずなので、理論上はいちおう出来そうな気もするのですが、どうなのでしょうね。

• 「Opera mini for iPhoneではオレオレ警告が出ない」へのコメント (2件)

関連する話題: セキュリティ / Web / Apple

ハッカージャパン2010年05月号

公開: 2010年4月24日0時55分頃

ハッカージャパン2010年05月号 (www.amazon.co.jp)に、「Webサービスの弱点を発見したらどうする!? はじめての脆弱性報告」と題して、情報セキュリティ早期警戒パートナーシップに関する記事が載っているようで。

読みたいとつぶやいたら、「bakeraさんなら読む必要ないすね。 (twitter.com)」と言われたのでどうしようかなぁと思いつつ、近所の本屋に置いてあったのでちょっとめくってみました。

内容としては、情報セキュリティ早期警戒パートナーシップの簡単な紹介、IPAのインタビュー、届出の流れの説明、といったところですね。インタビューの内容の大部分はパートナーシップガイドラインに書かれている事だったりするのがちょっと残念でした。

※その後にも何かちょっと書いてありますが、良く分かりませんでした。脆弱性ではないものが何故か受理されてしまったという話のようにも思えますが、良く分かりません。

• 「ハッカージャパン2010年05月号」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / Twitter

ハッシュタグが追えなくて

公開: 2010年4月19日16時15分頃

Twitterをテーマにした(?)「素直になれなくて」というドラマが放送されたそうで、#sunanare (twitter.com)を追っていたのですが……あまりにも流量が多くて、読んでいくとすぐに「スクリプトが応答していません」みたいなことを言われてしまうという。

単にTwitterのWeb UIが微妙という話なのだと思いますが、Twitterクライアントでハッシュタグを追えるものってあるのでしょうか。みなさん、流量の多いハッシュタグを追いたいときはどうされているのでしょうね。

• 「ハッシュタグが追えなくて」へのコメント (7件)

関連する話題: Web / Twitter / 与太話

XSS攻撃の実例

公開: 2010年4月17日23時5分頃

「Apache狙いの攻撃発生、パスワード流出の恐れも (www.itmedia.co.jp)」。

XSS脆弱性によるセッションハイジャックですね。その危険性はずっと昔から指摘されていましたが、実際に攻撃された例はほとんど知られていませんでした。

実例が出てきたことで、これからこの手の攻撃が一般化してくるのでしょうか。

• 「XSS攻撃の実例」へのコメント (4件)

関連する話題: Web / セキュリティ

ホスティングサービスで設定ファイルが読まれる話

公開: 2010年4月17日15時30分頃

「WordPressのブログに大量のハッキング被害、不正サイトへ誘導も (www.itmedia.co.jp)」。

最初読んだときはWordPressに問題があるという話のように読めて、よく意味が分からなかったのですが……。

良く読むとNetwork Solutions側で問題を解決したとありますから、ホスティングサービス側の問題だったわけですね。同じホスティングサービスを使用している別のユーザーから設定ファイルが読めた、という話のようです。

そういう話であれば、Movable Typeもmt-config.cgiにDBのユーザーとパスワードがそのまんま書いてあるわけですから、全く同じ事が起きます。WordPress特有の問題というわけでも無さそうですね。

• 「ホスティングサービスで設定ファイルが読まれる話」にコメントを書く

関連する話題: Web / セキュリティ

専用環境と言うけれど

公開: 2010年4月17日14時50分頃

「三輪信雄氏に聞く、Gumblar騒動と本当のセキュリティ (ascii.jp)」。

Webコンテンツを処理するための専用環境を用意。……ってえらく簡単な感じに言われていますが、具体的な作業フローが浮かんでこないのですよね。

その環境にどうやってファイルを持って行くのでしょうか。その環境はWebブラウズもしなければメール受信もしない想定でしょう。となると、ZIPして固めてUSBメモリか何かに入れて持って行くことになるのでしょうか。そうなると、「担当者にZIPファイルを送ってアップロードしてもらう」というのと同じ手間だと思うのですが。

FTPに限定しない一般論として言われているのであれば、エンタープライズCMSのワークフローなどはどう考えるべきなのでしょうか。承認者全員に専用環境を用意する必要がありそうですが。

いくら考えても、Web製作の現場で受け入れられそうなやり方が思いつきません……。orz

• 「専用環境と言うけれど」にコメントを書く

関連する話題: Web / セキュリティ

週刊ダイヤモンドの表紙が大変だ

公開: 2010年4月12日23時0分頃

会社で書架の前を通り過ぎようとしたとき、そこにあってはならないものを見たような気がして、思わず二度見してしまいました。そこにあるはずなのは週刊ダイヤモンドだったはずなのですが……。

• 週刊 ダイヤモンド 2010年 4/17号 (www.amazon.co.jp)

いや、たしかに週刊ダイヤモンドでした。なんと、もしドラ (www.amazon.co.jp)特集でしたか。

※誌面には3人並んだ立ち絵のイラストが出ていますが、これ本編にないですよね。書き下ろしなのでしょうか。

• 「週刊ダイヤモンドの表紙が大変だ」にコメントを書く

関連する話題: Web / セキュリティ

WEBインベンターがCookieを使うようになった

公開: 2010年4月11日21時50分頃

「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。

パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。

• サンプルのログイン画面にアクセス: http://wb-i.kir.jp/sample/SPF910/setup.cgi (wb-i.kir.jp)
• パスワードに「1234」を入力して「認証」を押す。
• Cookieが使われるようになったらしいので、ブラウザのアドレスバーに javascript:document.cookie と入力してCookieの値を表示。

すると、こうなります。

……。

ちなみに、表側の方もCookieを使うようになったようです。

• サンプルの会員登録画面にアクセス: http://wb-i.kir.jp/sample/SPF910/entry.cgi?mode=add0&order= (wb-i.kir.jp)
• 適当な値 (たとえば名前=お名前、パスワード=PASSWORD) を入力して「会員登録[確認]」を押す。
• ブラウザのアドレスバーに javascript:document.cookie と入力してCookieの値を表示。

すると、こうなります。

※"%82%A8%96%BC%91O" は、Shift_JISの「お名前」。

ユーザが会員登録時に入力したパスワードや、名前などの個人情報のデータなども、全てそのままCookieに格納しているようですね。Cookieを使うようになったというのは間違いではないようですが、ちょっと普通はしない使い方ではあります。

これだけで直ちに脆弱性と言えるかは微妙なところです。ただ、万が一、どこかにXSS脆弱性があったりすると、生のパスワードや個人情報などがそのまんま漏れてしまうことになります。そうなると、通常のXSS脆弱性よりも被害が大きくはなりますね。

※2011-01-12追記: そして、実際にXSS脆弱性があってパスワードが漏れる状態でした。いちおう修正されたようです……WEBインベンター、XSSを修正か。

• 「WEBインベンターがCookieを使うようになった」へのコメント (1件)

関連する話題: Web / セキュリティ / WEBインベンター

企業のリンクポリシーが無茶な要求をする理由

公開: 2010年4月7日20時5分頃

「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。

またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。

• リンクを張る場合は連絡してください。
• リンクはトップページへお願いします。個別記事へのリンクはお断りします。

個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。

しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。

• リンク元のサイトとの関係性を誤解されたくない。
• CI (Corporate Identity, ロゴやシンボルマークなど) を勝手に使わないでほしい。

※あと、フレーム内リンクに関する訴訟の話を聞いたので (Total Newsの訴訟) フレーム内リンク禁止の規定を追加した、とか他にも色々ありますが、ここでは割愛。

前者の話はまだ分かるとしても、後者のCIの話については、ぴんと来ない方もいらっしゃるでしょう。

そもそも、企業サイトへのリンクとはどんなものでしょうか?

そう問われると、多くの方は、「ブログで製品を紹介しつつ、その製品ページへリンクする」とか、「ブログでコンテンツを引用しつつ批評し、引用元にリンクする」とか、そういったものを想像するのではないかと思います。

しかし考えてみてください。そもそも、20世紀には「ブログ」というものが存在していませんでした。トップページにはアクセスカウンターが付いていて、URLには /~ が含まれていて、ベッコアメが全盛だった、そんな時代です。そして、必ずと言って良いほどあったのが、「リンク集」というコンテンツ。どのサイトに行っても「リンク集」というページがあって、バナー画像が並んでいたものです。項目は多いほど良いと思われていたのか、関連サイトはもちろん、Yahoo! Japanや作者お気に入りのサイトなど、何でもかんでも列挙されていました。

これは、企業としては警戒するべきポイントになります。

ブログ記事での紹介と違って、リンク集には脈絡が無い場合がほとんどです。コメントがつけられていたとしても、「いつもお世話になっています」というような曖昧なものだったりすると、取引関係があると誤解されるおそれがあります。また、他の企業と並べて掲載されることもあり、そうすると前後の企業との関係性を誤解される可能性もあります。

また、リンク集にはバナーがつきもので、中にはロゴを勝手に使うような人もいました。会社と無関係な個人に、勝手にロゴを使われるのは困ります。子会社や販社のサイトであればロゴを使っても良いのですが、その場合、ロゴがCI規定に従って正しく使われているかどうかチェックする必要があります。

こういう状況で策定されたのが、無断リンク禁止のポリシーです。このポリシーによって、企業は以下のようなことを要求しました。

• リンク集での紹介のされ方、ロゴの使われ方などをチェックしたいので、リンク集に掲載するときには事前に連絡して欲しい。
• リンク集に掲載するときは、配下のページではなく、トップページにリンクするようにして欲しい。

こうして見ると、それほど無茶な要求でもないと思いませんか。リンク集に掲載するのは1回だけでしょうから、連絡もそのときの1回だけで良いわけですし、リンク集からリンクするときは、普通トップページにリンクするでしょう。当時はこれでちゃんと目的が果たせたのです。

しかし今や、そんな「リンク集」はほとんどみかけなくなりました。「リンク」という言葉からは、「ブログ等で何かを紹介したり批評したりする目的で、企業の個別ページを紹介するもの」が連想されるようになりました。

改めてまとめると、こういうことです。

• 企業は、個人サイトの「リンク集」を想定してリンクポリシーを策定した。ここで言う「リンク」とは、「リンク集に掲載する、企業のトップページへのリンク」を想定したものだった。
• しかし現在、個人サイトの「リンク集」はほとんど消滅。「リンク」の意味合いは異なるものになっている。

無断リンク禁止のポリシーは、今や完全に時代遅れのものとなりました。そのようなポリシーは、ただちに見直すべきです。実際、リンクポリシーを見直した企業もたくさんあります。

しかし残念なことに、時代遅れのポリシーを掲載し続けてしまっている企業があることも事実です。それは、ポリシーが適切だと思っているというよりも、見直しの機会がなかったとか、今まで問題が起きていないからとか、そういった消極的な理由であることが多いようです。

さらに残念なのは、その時代遅れのポリシーをコピーして増殖させる人がいることで……。

中には、「どうせ読まれないからこのままで良いのだ」と思われている方もいるようですが、企業サイトの一部として掲載する以上、そこに掲載された文言は企業コミュニケーションの一部になります。リンクポリシーを制定した当時の意図を理解した上で、積極的に見直しをしていっていただきたいと切に願います。

• 「企業のリンクポリシーが無茶な要求をする理由」へのコメント (8件)

関連する話題: Web

子ども手当のあれこれ

更新: 2010年4月8日1時45分頃

子ども手当に関して、いろいろなデマ情報が飛び交っているようですね。見た瞬間に「これはありえない」と思えるようなものもリツイートされてくるのですが、笑い話としてリツイートしているのか、本気で信じているのか、判断に苦しみます……。

とりあえず、厚生労働省のサイトに「厚生労働省：子ども手当について (www.mhlw.go.jp)」というコンテンツがあります。受給の要件なども書かれているので、「そんなアホな!?」と思ったら、リツイートする前に一読してみると良いのではないかと思います。

そんなあれこれに対応するためなのか、新たに「子ども手当について 一問一答」というドキュメントが追加されたようです。たとえば、以下のような項目について回答されています。

• 児童養護施設に入所している子どもにも子ども手当は支給されますか。
• 子ども手当は在日外国人の子どもが海外に居住する場合にも支給されるのですか。
• なぜ、平成２２年度の子ども手当から子どもの日本国内居住要件を設けないのですか。

さらに読んでいくと、こんなピンポイントな質問も。

というわけで内容はまともなのですが、しかし……何なのでしょうね、このフォントは。同じところに掲載されている他のPDFは普通にゴシックや明朝体が使われているのですが、この一問一答だけは何故かポップ体のフォントが使われています。それも見出しだけならともかく、本文も全てポップ体の太字なので、読みにくいこと読みにくいこと。

いったい、どういう意図でポップ体を選択したのか。その意味は私には一つしか考えられませんでした。すなわち、これは……ちよちゃんの台詞だということです! つまり我々は、この文章をちよちゃんの台詞とみなして読めば良いわけですね。

※初期のあずまんが大王 (www.amazon.co.jp)では、ちよちゃん (美浜ちよ) の台詞だけがポップ体の写植になっていました。ちなみに新装版 (www.amazon.co.jp)では他の人と同じフォントになっています。

まあ、それ以前に、PDF形式になっていること自体どうなのかという疑問もありますけれども。もう少し読みやすくならないものでしょうかね……。

※2010-04-08追記: HTML版も用意されたようです……「子ども手当について　一問一答 (www.mhlw.go.jp)」(Argrathさん情報ありがとうございます)。元のPDFよりだいぶ読みやすくなっていると思います。

• 「子ども手当のあれこれ」へのコメント (2件)

関連する話題: 法律 / 思ったこと

URLを知られたらアウトな管理画面

更新: 2010年4月3日23時20分頃

メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。

• 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)
• ＰＣゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)
• メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)

Internet Watch の記事には追記がありますね。

ほう、最新版を使用していなかったのが悪い……ということなのでしょうか?

その「WEBインベンター」のサイトを見ると、ショッピングカートCGIの紹介ページ (wb-i.net)があり、サンプルが公開されています。たとえば、Contents-Mall (148,000円) のサンプルは以下のURLで見られます。

• http://wb-i.kir.jp/sample/Contents_Mall/ (wb-i.kir.jp)

左メニューの下の方に「管理者用」という項目があり、クリックするとログイン画面にたどり着きます。

これはサンプルなので、誰でもログインできるようにログイン画面にパスワードが書いてあります。パスワードは「1234」なので、パスワードを入力して「認証」ボタンを押します。すると管理用のメニューが出るので、適当に「会員管理」あたりを選んで右クリックし、別ウィンドウ (あるいは別タブ) で表示してみます。アドレスバーのURLはこうなります。

• http://wb-i.kir.jp/sample/Contents_Mall/member.cgi?pass=1234 (wb-i.kir.jp)

URLの末尾に燦然と輝くpass=1234の文字。その後、適当に会員の情報を見て行くとURLは次々変わりますが、末尾には常に pass=1234 がついてまわります。また、pass=1234の部分を削ってアクセスしてみると、パスワード入力を求められる画面になります。

つまり、URLにパスワードをつけて引き回しているわけです。何らかの事情でどこかのURLを知られると、それだけで管理画面の全ての機能にアクセスされてしまいます。……これ、パスワードによる認証というより、秘密のURLによる管理に近いですね。

通常、URLは秘密情報としては扱われません。ブラウザはURLにパスワードが含まれているなんてことは知らないわけですから、普段どおりにRefererを送りますし、履歴にも残します。行動履歴を取るようなツールバーを入れていれば、パスワード入りのURLが外部に送出されることにもなります。利用者にしても同じです。「この管理画面を使うときには、絶対にURLを漏らしてはならない」と言い渡されているのならともかく、そうでなければURLを慎重に取り扱うようなことはしないでしょう。ブックマークするかもしれませんし、メールで誰かに送るかもしれません。

「どうして漏れたのか?」という疑問の答えは、ほとんど明白だと思います。

そして、ベンダー(?)のWEBインベンターは、この事件を受けてこんな文書を出しています。

えっ、meta要素の追加? そこですか? そこなんですか?

確かに、上記のようなmeta要素を入れれば、行儀の良い検索エンジンはインデックスしないようにしてくれるでしょう。ただ、それは検索エンジンにそういう動作が期待されるというだけです。行儀の悪い検索エンジンもあるかもしれませんし、そもそも、人間はmetaになんか従ってくれませんから、URLが人に知られれば管理画面にアクセスされてしまいます。

検索エンジンにインデックスされるということは、問題の本質ではないでしょう。問題は「URLが漏れると管理画面の全ての機能にアクセスされてしまう」という点です。ここを解決しない限り、安心して使うことは難しいのではないかと思うのですが……。

※ここから追記:

それから、読売の記事で言及されているCSVファイルなのですが、現在は魚拓からも削除されているようです。そのURLは、"http://www.messe-sanoh.co.jp/cgi/shopweb/csv_lock/order_user.csv"というものだったようで。パスワードすら含まれていないうえに、他の秘密情報も含まれておらず、かなり推測しやすそうですね……。

※ここまで追記

悩ましいのは、このアプリケーションを採用している企業がメッセサンオーだけではないという点です。利用者が指示どおりの対応をしたとして、それで大丈夫なのかというと……。この辺、どうアクションすれば良いのでしょうかね。

※続き: WEBインベンターがCookieを使うようになった

• 「URLを知られたらアウトな管理画面」へのコメント (6件)

関連する話題: Web / セキュリティ / WEBインベンター

次期Firefoxでは:visited疑似クラスのスタイルが制限される

公開: 2010年4月3日16時50分頃

「visited疑似クラスのビーコンを拾うサービスが登場」という話がありましたが、Firefoxでの対応方針が決まったようで……「CSS によるブラウザ履歴の漏えいを防ぐ取り組み - Mozilla Developer Street (modest) (dev.mozilla.jp)」。

というわけで、:visited の挙動が色の変更のみに制限されるようですね。

セキュリティ的には歓迎なのですが、影響は結構ありそうです。background-image を使ってリンクにアロー (三角画像) を表示しているスタイルは多くのサイトで見かけます (このサイトも例外ではありません) が、:visited のときにアローの色が変わらなくなります。まあ、アローの場合は色が変わらなくてもさほど問題ないと言えば問題ないと思いますが……。

※たとえばPanasonicのサイト (panasonic.co.jp)のように、そもそもアローの色は変えていないサイトもあります。これはこれで、それほど違和感ないと思います。

ただ、本当に背景画像を敷いているような場合、テキストの色が変わったのに背景画像が変わらないと、読めなくなるケースもありそうですね。

• 「次期Firefoxでは:visited疑似クラスのスタイルが制限される」へのコメント (11件)

関連する話題: Web / セキュリティ / UA / CSS