新生鳩丸掲示板♯

「念のため」処理を重ねた方が、無条件により安全になるに違いないという思い込みが働いている可能性も見逃せません。

CSRF対策のワンタイムトークンとして「念のため」セッションIDと異なる値を生成したけど暗号学的安全性の検討をしていなかったとか、

http://takagi-hiromitsu.jp/diary/20060409.html

暗号化ライブラリの「問題」に見えたものを(おそらく)「念のため修正」したらちょお脆弱になったとか。

http://www.debian.or.jp/blog/openssl_package_and_its_vulnerability.html

>new Uri する時に、dontEscapeオプションを True にすれば・・・

　昔はそれで良かったのですけれど……。

>あれ？ 実際にやってみたら旧形式だと警告される。。。

　その警告、「警告されるが動作する」のなら警告を無視すれば良いのですが、なんと「警告されて、動作しない」のです。

　true を渡しても無視されます。ひどい。

　というわけで、昔と同じようには行かない罠が。

new Uri する時に、dontEscapeオプションを True にすれば・・・

　↓

あれ？ 実際にやってみたら旧形式だと警告される。。。

　↓

警告で表示されるページを見に行ってもリンク切れ。どうしろと？

http://go.microsoft.com/fwlink/?linkid=14202

　↓

ぐぐったら見覚えのあるページが出てきた：

http://bakera.jp/ebi/topic/364

　↓

あれぇ？！(@_@;　 ←今ココ

>http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/08.html#20080819__code

>> コード署名はあくまで「出自を確認できる」というだけのものですから、信用できない出自のモノはきっぱり無視しましょう。

>いえいえ、そこで「追加オプションの表示-"LLC AJSBIRI" からのソフトウェアはインストールしない-インストールしない」ですよ。これで証明書ストアの「信頼されない発行元」に追加されます。

　いずれも、「信用できない」と判断するのがけっこう難しいような。

　しかしこういう証明書って、認証局側で失効させられないんですかね?

「マルウェアの署名に使われている」というだけでは失効理由にならないのかしら……。

>インフラ化したMS製品はともかく、シェアが低い製品だと効果が見えないぶんリソースを割いて貰えないでしょうね。

>ドキュメント整備好きのエンジニアなんて見かけませんし。

　そうですね。

　ただ、脆弱性発覚時のサポートが良い/悪いというのは製品を選定する際の基準にもなり得るだろうと思います。

　セキュリティアップデートの内容が分かりにくい製品は、顧客に勧めにくいですし……。

　とはいえ、お値段がぜんぜん違ったりすると結局選定されちゃうのですが。

　あと、「ベンダーのWebサイトが使いにくすぎて情報にたどり着けない」というケースもあったりします。

　特に個人サイトで配布しているフリーCGIプログラムみたいな奴だと、セキュリティ情報の場所が分かりにくいことが多いですね。

　そういう場合、JVNで情報公開されると多少は使いやすくなるのではないかと。

# 自社で発見して自主的に修正したものであっても、JVN で情報公開できるはずなのですよね。

# JVN も、ベンダーに対して「JVNでセキュリティ情報を公開しませんか?」という営業をしても良いのではなかろうか……。

インフラ化したMS製品はともかく、シェアが低い製品だと効果が見えないぶんリソースを割いて貰えないでしょうね。

ドキュメント整備好きのエンジニアなんて見かけませんし。

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/08.html#20080819__code

> コード署名はあくまで「出自を確認できる」というだけのものですから、信用できない出自のモノはきっぱり無視しましょう。

いえいえ、そこで「追加オプションの表示-"LLC AJSBIRI" からのソフトウェアはインストールしない-インストールしない」ですよ。これで証明書ストアの「信頼されない発行元」に追加されます。

せっかく「私がにせセキュリティソフト Antivirus XP 2008であることは100%間違いありません」とわざわざ自分から名乗ってくれているのですから、無視してはもったいないです。

>はじめまして。今後よろしくお願いします。

>いきなり本題ですが、ここでExtension Methodの出番ですよ。

　なるほど、Extension Method のこういう使い方も良いかもしれないですね。

# ちなみに個人的には Array.ForEach(array, action) よりも Array.Sort(array) のほうが気持ち悪いと思ったりしています。うっかり array.Sort() と書いてしまうのですよね……。

>EVが保障しようとしているのは、「信頼できる」かどうかではなく、「審査なしで証明書を発行してしまうCAとは違うよ」という意味で、本当に本物だということでは?

　それはその通りだと思います。http://www.cabforum.org/EV_Certificate_Guidelines.pdf にも、Excluded Purposes として以下の 4つが掲げられていて、EV 証明書はこれらを保証するものではないと明記されています。

(1) That the Subject named in the EV Certificate is actively engaged in doing business;

(2) That the Subject named in the EV Certificate complies with applicable laws;

(3) That the Subject named in the EV Certificate is trustworthy, honest, or reputable in its business dealings; or

(4) That it is “safe” to do business with the Subject named in the EV Certificate.

「それなりに信頼」という言い方にしていましたが、テキトー過ぎるというか、社会的な信頼という意味に読めて誤解を招きそうですね。これは書き直しておきます。

EVが保障しようとしているのは、「信頼できる」かどうかではなく、「審査なしで証明書を発行してしまうCAとは違うよ」という意味で、本当に本物だということでは?

>※EV SSL はもう少しがんばって、運営者の組織がそれなりに信頼できるということを保証しようとしていますが……。

はじめまして。今後よろしくお願いします。

いきなり本題ですが、ここでExtension Methodの出番ですよ。

public static class Ext {

public static void ForEach<T>(this IEnumerable<T> iterator, Action<T> action) {

foreach (var i in iterator) {

action(i);

}

}

}

(indentのつけ方が分からないので、読みにくくてすみません)

みたいに定義しておくと

array.ForEach(...);

と似非カリー化っぽくなります。

標準で定義されていないのは何か理由がありそうですが、脳みそが不自由なのでよく分かりません。

教えてエライ人。

>音楽についてはED曲「Vermillion」も良い出来です。アニメは凄いですよ。

>( ；＾ω＾)＜へいわぼけ: 「原作が嫌いです」「原作ファンは見ないでください」　「ぼくらの」の監督、森田宏幸が発狂。

>http://www.heiwaboke.com/2007/06/post_959.html

　情報ありがとうございますー。

　アニメも見たいのですが、DVDって観る時間がなかなかとれないのですよね……。

# マンガだと通勤中とかに読めるので。

>Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

　なるほど、これは興味深いですね。「アドレスバーの鍵アイコンを確認してください」という説明だけだとあっさり騙されかねないですね……。

音楽についてはED曲「Vermillion」も良い出来です。アニメは凄いですよ。

( ；＾ω＾)＜へいわぼけ: 「原作が嫌いです」「原作ファンは見ないでください」　「ぼくらの」の監督、森田宏幸が発狂。

http://www.heiwaboke.com/2007/06/post_959.html

Firefox 3がロケーションバーの色替えや鍵アイコンをやめたのは、暗号化されているだけで「安心」感を与えすぎかねないことと、Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

> まともなサイトがそのような危険な運用をするはずがありませんから

すでに神戸牛の偽ショップなどが登場している模様です。

www.maruyone.com/user_data/about_warning.php

鳩丸掲示板にもspam扱いされたのでhttpを抜いて再投稿してみます。偽ショップであることはいよいよ確実なようです【謎】。

字幕.inとかもそうですけど、矢野さんの癖なんですかねこれ。

>2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

　なるほど。それはしょんぼりですね……。

> 2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。

2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

ヒーローみたいなキンどうやったらてにはいるんですか？教えてください

>事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

うろ覚えですが、Officeさん事件の手法を公開してみます。

・Post(?)リクエストで送信するパラメータにエラーページが指定されている

・そのパラメータにソースコードのcgiを指定したら、データの格納先がわかった

・そのパラメータにデータの格納先を指定したら、個人情報が取得できた

教訓：「遷移先のページをパラメータで渡すな！」ですかのぅ

それにしても、こんなに楽しいネタがあるなら、WAFカンファレンス行きたかったです。