新生鳩丸掲示板♯

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/08.html#20080819__code

> コード署名はあくまで「出自を確認できる」というだけのものですから、信用できない出自のモノはきっぱり無視しましょう。

いえいえ、そこで「追加オプションの表示-"LLC AJSBIRI" からのソフトウェアはインストールしない-インストールしない」ですよ。これで証明書ストアの「信頼されない発行元」に追加されます。

せっかく「私がにせセキュリティソフト Antivirus XP 2008であることは100%間違いありません」とわざわざ自分から名乗ってくれているのですから、無視してはもったいないです。

>はじめまして。今後よろしくお願いします。

>いきなり本題ですが、ここでExtension Methodの出番ですよ。

　なるほど、Extension Method のこういう使い方も良いかもしれないですね。

# ちなみに個人的には Array.ForEach(array, action) よりも Array.Sort(array) のほうが気持ち悪いと思ったりしています。うっかり array.Sort() と書いてしまうのですよね……。

>EVが保障しようとしているのは、「信頼できる」かどうかではなく、「審査なしで証明書を発行してしまうCAとは違うよ」という意味で、本当に本物だということでは?

　それはその通りだと思います。http://www.cabforum.org/EV_Certificate_Guidelines.pdf にも、Excluded Purposes として以下の 4つが掲げられていて、EV 証明書はこれらを保証するものではないと明記されています。

(1) That the Subject named in the EV Certificate is actively engaged in doing business;

(2) That the Subject named in the EV Certificate complies with applicable laws;

(3) That the Subject named in the EV Certificate is trustworthy, honest, or reputable in its business dealings; or

(4) That it is “safe” to do business with the Subject named in the EV Certificate.

「それなりに信頼」という言い方にしていましたが、テキトー過ぎるというか、社会的な信頼という意味に読めて誤解を招きそうですね。これは書き直しておきます。

EVが保障しようとしているのは、「信頼できる」かどうかではなく、「審査なしで証明書を発行してしまうCAとは違うよ」という意味で、本当に本物だということでは?

>※EV SSL はもう少しがんばって、運営者の組織がそれなりに信頼できるということを保証しようとしていますが……。

はじめまして。今後よろしくお願いします。

いきなり本題ですが、ここでExtension Methodの出番ですよ。

public static class Ext {

public static void ForEach<T>(this IEnumerable<T> iterator, Action<T> action) {

foreach (var i in iterator) {

action(i);

}

}

}

(indentのつけ方が分からないので、読みにくくてすみません)

みたいに定義しておくと

array.ForEach(...);

と似非カリー化っぽくなります。

標準で定義されていないのは何か理由がありそうですが、脳みそが不自由なのでよく分かりません。

教えてエライ人。

>音楽についてはED曲「Vermillion」も良い出来です。アニメは凄いですよ。

>( ；＾ω＾)＜へいわぼけ: 「原作が嫌いです」「原作ファンは見ないでください」　「ぼくらの」の監督、森田宏幸が発狂。

>http://www.heiwaboke.com/2007/06/post_959.html

　情報ありがとうございますー。

　アニメも見たいのですが、DVDって観る時間がなかなかとれないのですよね……。

# マンガだと通勤中とかに読めるので。

>Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

　なるほど、これは興味深いですね。「アドレスバーの鍵アイコンを確認してください」という説明だけだとあっさり騙されかねないですね……。

音楽についてはED曲「Vermillion」も良い出来です。アニメは凄いですよ。

( ；＾ω＾)＜へいわぼけ: 「原作が嫌いです」「原作ファンは見ないでください」　「ぼくらの」の監督、森田宏幸が発狂。

http://www.heiwaboke.com/2007/06/post_959.html

Firefox 3がロケーションバーの色替えや鍵アイコンをやめたのは、暗号化されているだけで「安心」感を与えすぎかねないことと、Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

> まともなサイトがそのような危険な運用をするはずがありませんから

すでに神戸牛の偽ショップなどが登場している模様です。

www.maruyone.com/user_data/about_warning.php

鳩丸掲示板にもspam扱いされたのでhttpを抜いて再投稿してみます。偽ショップであることはいよいよ確実なようです【謎】。

字幕.inとかもそうですけど、矢野さんの癖なんですかねこれ。

>2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

　なるほど。それはしょんぼりですね……。

> 2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。

2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

ヒーローみたいなキンどうやったらてにはいるんですか？教えてください

>事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

うろ覚えですが、Officeさん事件の手法を公開してみます。

・Post(?)リクエストで送信するパラメータにエラーページが指定されている

・そのパラメータにソースコードのcgiを指定したら、データの格納先がわかった

・そのパラメータにデータの格納先を指定したら、個人情報が取得できた

教訓：「遷移先のページをパラメータで渡すな！」ですかのぅ

それにしても、こんなに楽しいネタがあるなら、WAFカンファレンス行きたかったです。

>>https://日本クロストラスト.jp/

>新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。

未対応ですね。

Perlメモの正規表現を使っているので……。

http://www.din.or.jp/~ohzaki/perl.htm#httpURL

日本語ドメイン対応の URL の正規表現ってどこかにあったりするのでしょうか。

ゼロから考えるとけっこう面倒そうな気もしており。

>https://日本クロストラスト.jp/

新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。

>今のところ実物を見たことがありません。

当の業者がサンプルページを公開していることに気付きました。

https://日本クロストラスト.jp/

英字ドメインのほうはなぜかEVではなかったので発見が遅れました。

https://crosstrust.co.jp/

> 棚卸しと総点検を行っていれば

そんなお金はありません。< お

限りある予算の中でやり繰りする。ここは分配を失敗したのでしょうね。

今回は、IT周りの脆弱性でしたが、次は地震・火事・盗難かも。

鳥やサボテンに相談してしまうのも無理ないです。

>　この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。

http://www.ipa.go.jp/security/rfc/RFC4630JA.html

とかのお話でしょうか。

> 文字列が国際的な表現（internal representation）から可視表現（visual representation）にマップされるとき、

とりあえずIPAの中の人【誰】にはinternalとinternationalの区別が付かないことはわかりました【謎】。

>日本の法人は日本語のOrganizationでEV SSLの証明書を取得できるようにしてほしいですね。

　ですねー。

>というか、そういうサービスはすでに存在するようなのですが、

>http://crosstrust.co.jp/company/press_release/p20070530

>今のところ実物を見たことがありません。

　この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。

　その辺はクリアされているってことなのでしょうか……。