新生鳩丸掲示板♯

テスト投稿です。

アカウントがないわけではなく、パスワードはMac様しか覚えていないので、会社からは更新できないというだけです(謎)。

>　いや、りゅうさんに言ったのですが Trac のアカウントがないと仰るもので。

なんと。タイムライン

http://www.fprog.org/projects/MacFaceForWin/timeline

に出てくるrryuさん【誰】は他人のそら似でしたか。

ていうか問題の間違ったリンクはrryuさん【誰】自身が追加してるように見えるのですが

http://www.fprog.org/projects/MacFaceForWin/wiki/Faces?action=diff&version=6

本気で誰ですかこの人【ダウト】。

>よくわかりませんがtracのアカウントがあったので修正しておきました。

　ありがとうございます。

　いや、りゅうさんに言ったのですが Trac のアカウントがないと仰るもので……。

> ※なお、顔パターン一覧 (www.fprog.org) の「ききき りん」のリンクは間違っています。URL はすべて小文字が正解です。

よくわかりませんがtracのアカウントがあったので修正しておきました。

>スピーカ側よりも、ヘッドフォン端子がヘタってくると「プラグを抜いてもプラグが差さっているままと誤認識する」場合があるので、そっちの可能性の方が高いかと。(特に抜き差しをひんぱんにするのならありがち)

　なるほど。確かに抜き差しは頻繁にしますので、そっちかもしれないですね。

スピーカ側よりも、ヘッドフォン端子がヘタってくると「プラグを抜いてもプラグが差さっているままと誤認識する」場合があるので、そっちの可能性の方が高いかと。(特に抜き差しをひんぱんにするのならありがち)

>「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。

　なるほど、そんな受け止め方もあるのですね。中身を読んでお分かりいただけていると思いますが、ここで「現役」といっているのは、問題が終息していないということです。

　多くの場合、脆弱性が公表されて時間が経つと対策が進み、脆弱性は廃れて過去のものになります (というか、そうなってもらわないと困るわけですが)。この問題は何年も前に公表され、当時かなり話題になっていたと思いますが、にもかかわらず、いまだに脆弱なままネットにつながれた機器が現役で活動しています。

　ちょっと調べてみると、私が見つけたものはレアケースではなくて、実は大量に稼動しているようですね。

国内open proxyの現状

http://spam.h1r.org/jpproxy/index.html

　シェア3割だそうで、本当に「現役」という感じですね。

>これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか？この脆弱性問題に関わらず。

　実は面白いことに、本件にはこれが当てはまらない可能性があります。使用者本人がセキュリティ対策をしなくても……。

　まじめに返答すると、先にも書いたように、脆弱性によっては対策が進み、問題がほぼ終息したと言って良い状態になるものがあります。「本人が対策しないのが悪い」と考えるより、何か対策が進まない理由があるのではないかと考えた方が良いと思います。

「脆弱性はバリバリ現役」って言うと、対策をしてもまだ現役のように取れました。これは使用者本人がセキュリティ対策をするまではいつまでも脆弱性は残るというだけではないでしょうか？この脆弱性問題に関わらず。

神奈川県で実施されても横浜以外の県内の台数がめっさ少ないのであまり意味なし…。

>だそうなので、趣旨と違うのでは？

>そのユーザーだけが被害を受けるものなら。

　実を言うと問題は二つありまして、

・既知の脆弱性によって脆弱になっているサイトをどうするか

・既知の脆弱性によって未知の脅威が発生している場合にどうするか

　前者に関しては基本的に情報セキュリティ早期警戒パートナーシップの枠外です(ただしこの場合も、IPA の方が気を利かせて任意で情報を通知してくれることがあります。ありがたいことです)。

　どちらかというと問題なのは後者です。この件は現在のところ、JVN でも東芝のサイトでも「オープンプロキシとして踏み台にされる」という脅威だけが問題にされています。管理画面から情報が漏洩する危険性については一切触れられていないので、そこをどうするべきかというところがなんとも。

ソフトウエア等脆弱性関連情報取扱基準によると

＞本基準は、以下に掲げるものの脆弱性であって、その脆弱性に起因する

＞被害が不特定多数の者に影響を及ぼし得るものに適用する。

だそうなので、趣旨と違うのでは？

そのユーザーだけが被害を受けるものなら。

>徳丸です。いつも丁寧なコメントありがとうございます。

>コメントを以下に書きましたのでご笑覧ください。

>http://d.hatena.ne.jp/ockeghem/20070428/1177750243

　どうも、お世話になっております。こちらこそご丁寧にありがとうございます。

　脆弱性の呼称は本当にややこしいので、体系的にまとめてほしいですよね。

徳丸です。いつも丁寧なコメントありがとうございます。

コメントを以下に書きましたのでご笑覧ください。

http://d.hatena.ne.jp/ockeghem/20070428/1177750243

>それは XML 宣言ではなくてテキスト宣言というやつです。

　あー、そうなのですね。なるほど。

　XML の DTD はほとんど扱ったことが無いので、素で知りませんでした。

　ありがとうございます。

> 先頭が XML 宣言になっていてびっくり。

それは XML 宣言ではなくてテキスト宣言というやつです。

http://www.w3.org/TR/REC-xml/#sec-TextDecl

> External parsed entities SHOULD each begin with a text declaration.

なので、むしろ書いてある方が好ましいのですが。

# でも W3C 自身全然使ってないという。

ともだちコード339392025711です

RSSおかしいよって言おうと思ってて毎日わすれてました。

なおってよかた。