新生鳩丸掲示板♯

なるほど。状況が良くわかります。

本番のコースで使う前のテストがいいかげんだったんでしょうか。弱すぎですね。

ありがとうございます。っていうか、ネタ的には既に4月の時点で語られ済みなわけでして、東京新聞がなぜこの時期に？という点はよくわからないのですけれど。まだ先のお話ですし、これからどうなるかわかりませんが……。

>> ○○××容疑者（△△）＝▽▽市□□区＝(いちおう伏字)

>とか思いっきり書かれているわけですが。

　しかし電話番号や地番までは公開されないですよね。

●経済産業省，迷惑メール業者に特商法違反で初の業務停止命令 : IT Pro ニュース

http://itpro.nikkeibp.co.jp/free/NCC/NEWS/20050615/162809/

[quoted]

さらに，エス・ケー・アイが運営するアダルト画像サイトでは，トップ・ページで「規約」以外のボタンや画像をクリックするとすぐに，入会手続き完了の画面を表示する，などの特定商取引法違反があった。

[/quoted]

架空請求？を受けた知人から問題のメールを転送して頂いたことがあるのですが唯のテキストメールでして、リンクをたどるとイキナリ入会完了というものでした。Googlebotさん相手には運営側はどうしたのかしら？

Whoisは善意の公開情報です。愛のない使われ方をしているのをみるにつけ悲しくなります。

> 逮捕された人の情報が Whois で公開されているのはまずいと思いますが、

新聞なんかでたいてい思いっきり報道されるわけですが、それでもまずいでしょうか? リンク先のasahi.comにも

> ○○××容疑者（△△）＝▽▽市□□区＝(いちおう伏字)

とか思いっきり書かれているわけですが。

って新聞とかで報道されること自体まずいという考えですか。

http://www.ne.jp/asahi/minazuki/bakera/html/updatelog

御意。でも #D2000-02-12 とかでリンクできなくて残念な思いをしました【謎】。

おー。なるほど【謎】。

とりあえずトラックバック【違】

http://bakera.jp/hatomaru.aspx/htmlbbs/article/2857

微罪で逮捕して拘束した上、逮捕容疑と違う件について厳しく追及し、自供をえてからその違う件で再逮捕、という筋書きを妄想しました。

素直に【謎】詐欺とかで立件するのは難しかったのでしょうかね。

相手がスライムベホマズンだったら40～60匹に1回の割合でヤンガスが盗みますよ。（落としていく事もあります） 出現場所は王家の山付近＆ライドンの塔近くの高台です。

セキュリティ対策というのはいたちごっこになった時点で絶望的になるというのがセキュリティ技術の基本ですが(無限の市場を意味するために企業はむしろ好みますが)、そういう観点から言ってサニタイジングという行為自体がそもそも誤っているのかもしれません。

この種のサニタイジングフィルタの問題は、データに問題があるという事を判別する事に主眼がおかれている事です。しかし、フィルタを通して出てきた物に確実に問題が含まれていないようにする事は難しいです。あり得るのは、再帰的に問題がなくなるまでフィルタを作用させる事ですが、その動作を正確に把握する事は困難です。それに、そうやって得られた結果が本当に問題を含まないという保証もない。

考えてみれば、問題のないデータをきちんと規定せずに問題のあるデータを完璧に判別する事ができるはずがないわけで、まずは問題のないデータの何たるかをきちんと考えるべきです。そしてそうすれば、問題のあるデータを判定するよりも、問題のないデータを一発で判定するのが素直なアプローチとなるはずです。

つまり、勝手にHTMLのサブセットを作ってDTDを書くなり、付加的なルールを決めるなりして正しいデータを規定し、データを受け取った時にはvalidatorを通して誤っているデータは通さないようにすればよい。

もちろん、特定の仕様に従ってデータを用意する事は一般のユーザには困難ですから、正しいデータの仕様を反映したエディタを用意する事が不可欠ですが。まあ「何をどうしたってvalidなHTMLしか作れないHTMLエディタ」すらほとんど存在していない現状では難しいのでしょうが。

ふと迷い込んで妄想を書いてみました。

作っている側が全ての実装を把握しきれていないんだから、

使う側がフィルタで完璧に100%除去できるわけがない。

現状のHTML＆JavaScriptエンジンと、HTMLは解釈できるが

JavaScriptはエンジンそのものが外されていて根本的に処理

できないHTMLエンジン（ソースプログラムは同一）、という

２つをオプション設定によって使い分けるというアプローチが

最も安全で確実だと思うけど、ブラウザメーカーはなぜそう

いう根本的な対策をしないのか不思議だ。

ブラウザのホゥルの修正も似たような感じですね。

たとえばあえて【謎】Firefoxを例に挙げますが、

http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html

で「javascript:」を検索してみるとなんとなく分かるのではないかと【謎】。

しかも本体はどうにかつぎはぎを繰り返して修正しても拡張機能がちょっと不注意にloadURIを使っただけであっさり再発するとか。

というか、コンピュータを扱う仕事で生計を立てているという意味でのプロだとすると、世のかなりの多くの人が、任意のサーバに入れるんじゃないか、というように思いました。ようは、何のプロだと思っているんだ、ということです（われわれ[誰]はWeb"デザイン"のプロなわけで)。

>これやそれって，例の判決が影響してるのかしらん

　攻撃した人はたぶん国外の人なので、判決はおろか不正アクセス禁止法自体が全く影響していないのではないかと。

　防御側のモチベーションが下がっていて、対策がおろそかになった or 気づいたけど報告しなかった人がいるという可能性はありますが、証明することは出来ないでしょうし、なんとも言えないと思います。

これやそれって，例の判決が影響してるのかしらん

ちょっとテスト

>今振り返ってみると、「過失はない」という価格.comの言い分を丸呑みして、"プログラムに欠陥がなく"とか言ってるのではないでしょうか。

　うーん、どうでしょう。

　少なくとも、原因が SQL インジェクションだったという話は価格.com の公式発表ではないので、別途定めるニュースソースがあるのだろうと思いますけれども。

今振り返ってみると、「過失はない」という価格.comの言い分を丸呑みして、"プログラムに欠陥がなく"とか言ってるのではないでしょうか。

朝日新聞はIT系に関しては情報を垂れ流しにしているだけなのかもしれません。その責任はありますけど、元を正せば業界の標準がひどすぎる、あるいは一般人にはそのような言い訳でも通用してしまう、という知識レベルの問題かと思いました。