新生鳩丸掲示板♯

高木さんの言う「適切にプログラムを記述す」るというのは、データや命令等について、情報としてのメタレベルを適切に判断し、それらをそれぞれのメタレベルに合わせて適切に扱う、ということではないでしょうか。

それが正しくできていれば、「悪意ある入力」というものは基本的にはその意図どおりの効力を持った状態では存在できなくなります。入力データに命令を紛れ込ませることはできなくなるからです。そうであれば、「消毒」としてのサニタイズは必要ないはずです。

その感覚でいうと、

> 問題が起きる文字列をエスケープして処理する

というのはサニタイズには該当しないのではないかと思います。

>例えば"このサイトのURLを携帯に送信する"というフォームがあって、パラメータを改竄するとそのサイトのURLじゃないものを送信できるようになっていた場合、脆弱性になりますか？なるとしたらどういう分類になりますか？

　任意の内容を任意のメールアドレスに送れるのであれば、「メールの第三者中継」が可能ということになります。IPA に届け出ると脆弱性として処理されるはずです。

# しかし、改めて vuln2005q1.pdf をみたら、第三者中継って3件しか処理されてないんですね。意外に脆弱性と思われていないのかも。

やあ、それは任意のメールアドレスに任意の文章やデータを送れる上に送信者が自分の情報をけっこう秘匿できますね。スパムやフィッシングメールの送信に使うもよし、ウイルスを送りつけるもよし。特定の人物に嫌がらせのメールを延々と送りつけてもそのWEBアプリまでしかとりあえずはたどれません。

OPENなsmtpサーバより性質が悪い。

黒い夢が広がっちゃうなあ。

そのまま「任意の内容を送信できる脆弱性」と呼ぶしかないのでは。

送信内容が固定でなければ脆弱性は残ったまま。

パラメータ改竄の話なのですが、どこまでできれば脆弱性と呼べるのでしょうか？

例えば"このサイトのURLを携帯に送信する"というフォームがあって、パラメータを改竄するとそのサイトのURLじゃないものを送信できるようになっていた場合、脆弱性になりますか？なるとしたらどういう分類になりますか？

教えて君になっていてごめんなさい；

>記事のタイトルでは改定なのに、本文が改訂なのが微妙に気になります【謎】。

　意味的にはどちらでも通じるのですが、改訂に統一しておきました。

記事のタイトルでは改定なのに、本文が改訂なのが微妙に気になります【謎】。

>実は１台のマシンにＩＩＳとＳＱＬ　Ｓｅｒｖｅｒあたりをぶちこんで、ＭＤか何かでデータ移動して手動で配置しとった、とかかも？と邪推しちゃうわけですが。

　いちおう、

http://www.itmedia.co.jp/enterprise/articles/0505/16/news083.html

　によると「約60台のサーバ群からなるシステム」だったようです。

　何かしら CMS のようなものがあるのだろうと思うのですが、逆に「外部から FTP でファイルを転送しない」= FTP によるアクセス制御機能が無い、ということで訴追できない可能性は有るのかもしれません。

実は１台のマシンにＩＩＳとＳＱＬ　Ｓｅｒｖｅｒあたりをぶちこんで、ＭＤか何かでデータ移動して手動で配置しとった、とかかも？と邪推しちゃうわけですが。

Ｗｅｂページからアップロードにしろ、これだったにしろ、素敵な管理体制ですねぇ。

>まさか、ディレクトリのファイル一覧からクリックして辿りつけるところにデータが置いてあったなんてことはないでしょうね。

　さすがにそれは無いと思いたいですけれど……。

　報道によると SQL インジェクションらしいですが、詳細が公開されていないのでなんともいえないですね。

>ftpを使ってなくてブラウザでアップロードしてたんじゃないですか【投げやり】。

　あー、なるほど、それはあるかもしれません。

　さすがにあの規模になると、手でつくったコンテンツを FTP で転送なんてことはしていないでしょうから、FTPのポートが開いていなかった可能性は高いと思います。

まさか、ディレクトリのファイル一覧からクリックして辿りつけるところにデータが置いてあったなんてことはないでしょうね。

ftpを使ってなくてブラウザでアップロードしてたんじゃないですか【投げやり】。

ちなみに，件のきっかけとなったラルフ･シューマッハは昨年も同じサーキットでクラッシュしているんですよね･･･。(昨年はウィリアムズ BMW。)

そして，そのウィリアムズ BMW が履いていたタイヤもやはりミシュラン。

しかし，出てくる議論はと言えばタイヤのせいだ，あるいはレギュレーションが悪いだのいったことばかり。

ラルフ･シューマッハのドライビングスタイルから今回の一件を分析した話はほとんど聞かない。

ナンでだろう。。。

# 終わってからかなり経っている話で，時期を逸したコメントかと思いますが，まぁ気にせず書きます。

えっと，この問題はミシュラン自身に大きな原因があったことは事実なんですが･･･。

アメリカ GP のコースはインディのコースを一部流用していることもあり，最終コーナーをほぼ全開で抜けるわけですが，今年のタイヤがそのコーナー(だけではないですが)でかかる負担に耐えられなかった･･･そんな感じでしょうか。つまりはココのコースでは想定外の負荷がタイヤに掛かることが分かった，という感じ。。。

でも，被害が出たのは Toyota だけなんですよねー。

他のミシュランユーザーは影響なかった。でも，結果はなぜか一致結束して DNS (Did Not Start の略。Domain Name Service ではナイ)。

だからと言って FIA が無罪かというとそうとも思わず，これまでの高飛車的な F1 運営も伏線にあるわけで。これは明らかに政治的な意図が大きく関係しているのですが，それはまたその筋のところを参照すると面白そう。

僕の中での結論としては，「レギュレーションをイレギュラーに変えろというミシュランは悪い。だから，レギュレーションを固守した FIA はココに限っていうと正しい。しかし，FIA が固守 / 制定したレギュレーション自体には大きな欠陥 / 問題がある」という感じ。

これが起こったのが日本 GP でなくてよかった and 高額払って観戦に来たアメリカ人がかわいそう。

http://takagi-hiromitsu.jp/diary/20050701.html#p01

> 施行令などで指定された METAタグなどを記述しなくてはならないと、改正国立国会図書館法で規定すればよい。それを無視する行為は違法ということになり、

著作権やプライバシーを侵害している恐怖れのあるコンテンツには、タイトルの先頭に「未承諾出版※」と付けてください、というのを思いつきました【謎】。

> それに対して国会図書館はどうだろうか。最初から信頼はある。

とりあえず役人に任せてたらマジでそういう法律を作りかねないと思う程度には信頼【謎】しています【謎】。

>Windwos?

　wind-w-os で、風の名を冠した W な OS です。ウィンドゥウォスと発音します。

　……って意味分からないし。

　ともあれ直しましたです。ご指摘ありがとうございます。実は昔の日記にも同じ typo があったので、一緒に直しました。

Windwos?

自宅マシンにて単体のXPSP2(professional edition)ユーザです。インターネットオプションのセキュリティタブにてイントラネットを選択、サイト（S）ボタンを押下すると以下のようなチェックボックスが表示されます。既定値では全てオンです。

□ほかのゾーンになりローカル（イントラネット）のサイトをすべて含める

□プロキシサーバーを使用しないサイトをすべて含める

□すべてのネットワークパス（UNC）を含める

企業ユースでない私の自宅マシンではこれらを全てオフにしていますが全く問題なく使えております。また、これらのチェックボックスの下に詳細設定ボタンがあります。イントラネットゾーンへのサイトの追加ができる画面が表示されます。hcp://system などは特に追加していないのですが問題なく使えています。「ヘルプとサポートセンター」をほとんど使っていないからなのでしょうか。･･･色々と試しましたが、上の３つのチェックボックスをオフにしている状況では自動的にイントラネットゾーンとみなされるアドレスを見つけることが出来ませんでした。XPSP2でも「イントラネットゾーンが登録制」という運用が可能かも知れません。

ところで。今、密かに裏技的に今考えているのは、本来のイントラネットゾーンをSSL抜きのMy信頼済みサイトゾーン、本来の信頼済みサイトゾーンをSSL付きのMy信頼済みサイトゾーンとして使ってみようかなというアイデアです。両者のセキュリティー設定を適切に調整すると面白いのかなと。勉強不足なのでまだ実現していません。以前からSSL付き（抜き）の信頼済みサイトゾーンでのセキュリティー設定のありかたについて考えていますがいかんせん能力不足です。SSL抜きでなら少なくとも「中」は保持すべき微調整必要と考えられますけれど。

ちなみに、その情報はここで見られます。

Internet Explorer セキュリティ強化の構成

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/910d7a79-fd6f-447e-9bb1-bc9e57d54ec4.mspx

http://www.w3.org/TR/CSS21

CSS2.1、今まで勧告候補(Candient Recommendation)だったのが、6月13日にその前の段階である最終草案(Working Druft in Last Call)に手戻りしたみたいですね。

昨今のブラウザ事情の劇的変化で、実装に大きな変更点や問題が出たんでしょうかね。晴れて正式の勧告になるまであと何年かかるか【謎】、CSS3の行方ともども非常に気になるところです。