新生鳩丸掲示板♯

OPTIPLEX 755 セーフモードでKB969947を削除後

ビデオドライバ RADEON HD 2400 XT を DELL から

ダウンロードして最新版(と言っても結構古い)

Title: Video: AMD RADEON HD 2400 XT Driver

Version : A07

OEM name : AMD

OEM Version: 8.49WHQLed-080409a-063306C-Dell_XP3264

Computers : OptiPlex: 330, 740, 755, 760

OSes : Windows XP Home Edition,Windows XP Professional

Languages : Brazilian Portuguese, Chinese-S, Chinese-T, English, French, German, Italian, Japanese, Korean, Polish, Russian, Spanish

Created : Monday, October 27, 2008

に更新したら、今のところ(起動後15分ほどです）大丈夫な

ようです。

このブログのおかげで助かりました。ありがとうございました。

うちの DELL Optiplex755もこれに引っかかりましたが

セーフモード＆KB969947削除で解決しました。

ありがとうございます。

EPSON MT8000 (WinXP SP3)

Panasonic CF-W2 (WinXP SP3) では異常ありませんでした。

以上、無用の情報でした。

>KB969947でたどり着きました。

>DELL VOSTRO 220 も死亡でした。

>解決策見つからず。orz

　とりあえずセーフモードでは起動するので、セーフモードで起動してKB969947を削除すればいったん解決はするようです。

　根本解決は今のところ無理なので、MSかDELLが何らかの対処をしてくれるのを待つしかありません。

KB969947でたどり着きました。

DELL VOSTRO 220 も死亡でした。

解決策見つからず。orz

水無月さんのヒントで崖にひっかけてタランチュラ捕れました！

すっごい苦労してたので感謝です！

しばらく来れなくてすいません。何か話題が無くて。後、ミスターＱさんこれからよろしく～。

いろいろ改造したのでテスト。

>そうでなくても、課金する以上はセッション管理の仕組みがあるはずで、ユーザーIDとセッションID、第三者を偽ってアクセスした場合のIDは突き合わせできそうな気がしますが、昔懐かしユーザーIDをURL等に埋め込めば…というパターンだったんでしょうか？

　まあ、そう思いますよね。

　鋭い洞察だと思います。あまりにも核心を突きすぎていて、現状ではちょっとコメントできません……。

興味深く拝見しています。

不正利用の確認については、不正なデータの引き出しがmixi経由でのアクセスで行われたのでしたら、mixiのセッションログと突き合わせれば、他人のIDを使ったかどうかは分かりませんかね？

そうでなくても、課金する以上はセッション管理の仕組みがあるはずで、ユーザーIDとセッションID、第三者を偽ってアクセスした場合のIDは突き合わせできそうな気がしますが、昔懐かしユーザーIDをURL等に埋め込めば…というパターンだったんでしょうか？

11月3日付け読売新聞記事を見ました。

http://www.yomiuri.co.jp/national/news/20091103-OYT1T00155.htm

「クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約４２００人分が第三者によって取得可能な状態になっていたことが２日、明らかになった。」

（中略）

「クレジットカードでゲーム内通貨を購入しようとした利用者４２００人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。」

（誤課金の話がなく、かつ）「購入した」「購入しようとした」の2種類で書かれています。わかりにくいです。

J-CASTの記事には個人情報漏洩の話が見当たらなかったので、とりあえずこの記事を読むしかないのですが…。

↑誰に向けて言って（訊いて）いるのでしょう、ここはmixiサポートフォーラムか何かではないと思うのですが。

＞課金サービスをご利用いただいた一部ユーザー様において、

＞誤課金、

＞ご購入いただいたKコインが追加されない、

＞及びユーザー様のメールアドレス・電話番号が第三者より取得可能な状況であった、

メールアドレスと電話番号の公開はについても「一部ユーザー様において」だったのですか？それとも全員だったのですか？

もし全員なら、不適切な説明だと思うのですが。

報告お疲れ様でした。

しかし、課金システムなんて今更ありふれてて脆弱性を埋め込む余地なんかほとんど無いと思ってました。

バックエンドのサーバシステムは確かに企業秘密でしょうからそんなに表には情報は出てこないかもしれません。

しかし、フロント部分はWeb上にいくらでもあるし、ユーザが入力するカード情報を適切に取り扱う方法（デファクトスタンダード？）は既に確立されてても不思議じゃないのにと思います。

バグ報告してからの修正・テスト・リリースの対応時間を考えると、それほど複雑なバグとは考えにくいので、よっぽどテストしていなかったのか、プログラマの技量が低すぎるのか・・・。

人が創る以上、バグを完全に無くすことは出来ないとはいえ、外部からの指摘でささっと修正して、ちょろっと不具合修正しましたのアナウンスを出して、何事もなかったかのようにシステムを再稼働する・・・、Webってこういう対応が許される（とサンシャイン牧場の中の人が考えている）んだ。

うーむ凄い。自分の世界ではこの対応はちょっと考えられない。勉強になる（いろいろな意味で）。

長文失礼しました。

返信ありがとうございます。

>　ああ、あまりにも自明すぎると思ったので書いていませんでした。

そこら辺を察しないで、脊髄反射で書き込んでました。失礼いたしました。

以上です。お邪魔しました。

>いや、当然報告したんだよね？して無かったら無責任すぎる。

　ああ、あまりにも自明すぎると思ったので書いていませんでした。

　IPAに詳細を届出と同時に、mixiの「このアプリを通報」フォームから問題の概要を送信しています。IPAのほうでは受理済みで、既に運営者にも詳細の通知が届いています。

# このくらいのことは明かしても良いと思うので。

# ちなみに、はてブで JPCERT とか書いている方がいらっしゃいますが、本件はWebサイトの問題なのでJPCERT/CCは関与しません。

>して無かったら無責任すぎる。

どんな人か調べないでコメントしてました。これは無いですね。失礼いたしました。

アイテム課金開始

→何かしらの問題を見つけた

→報告した

→メンテに入った

→現在修正中の様子

こんな所？有料ベータテスト乙です。

いや、当然報告したんだよね？して無かったら無責任すぎる。

なんにせよ、理由は書いた方が良さそうですね…

XHTML5はDTDを使わないので、©などの実体参照も使えないですね。

©のように文字参照にするか、どうしても実体参照を使いたければHTML serializationにするしかないようです。