2004/11/22(月)月曜日ー。(あいのり♪)
[セキュリティ] * Gmail "zx" Variable Input Validation Bug Lets Remote Users Conduct Cross-Site Scripting Attacks
Gmail にクロスサイトスクリプティングの問題があったそうです。
```textile
によると,長寿を誇る人気アニメ「ドラえもん」の主役級声優が来春3月を以って降番し,若手声優と交代する事になったとのこと。交代するのはドラえもん役の大山のぶ代さんなど,5人。 大山のぶ代(ドラえもん) 1936年10月16日 (68歳) 小原 乃梨子(のび太) 1935年10月 2日 (69歳) たてかべ和也(ジャイアン)1934年 7月25日 (70歳) 肝付 兼太(スネ夫) 1935年11月15日 (69歳) 野村道子(静香) 1938年 3月31日 (66歳) ```主人公達は永遠に年を取らなくても、声優さんはそうはいきませんものね。お疲れ様でしたー。[IT] ユニークなモノ from Uniquee Gadgets
2004年の夏に大好評(?!)だった“セキュリティ日光浴”の第2回が、2005年01月08日(土) に開催予定のようです!?(詳細の決定が待たれますね!) でも、外は寒いぞ、きっと。(笑)[雑談] * もはや「ピアッシング」は親公認?! 裾野が広がる10代ピアス事情
ピアスって、どこかに引っ掛けたら 耳たぶ 裂けそうで、他人がつけてるのを見てるだけで怖いです。。。(←小心者。(笑))[セキュリティ] * 公認情報セキュリティ監査人資格制度 (JASA)
うーむ、いずれは取らなきゃいけないんだろうなぁ。研修、試験、トレーニング、小論文、監査実施経験報告書、... はぅ。時間とお金がかかりそうな予感。[セキュリティ] * 情報セキュリティ人材育成のためのGIAC認定資格取得 (ITmedia)
[セキュリティ] * Soberワームに、お色気路線の新亜種登場
弁護側からの意見書での主張:
、* あいのりウラ話(かよからの手紙)
Gmail にクロスサイトスクリプティングの問題があったそうです。
textileA demonstration exploit URL is provided: http://[target]/gmail?search=cat&cat=etiketa&view=tl&start=0&zx=18acabd2b173f0d81040559556<script>alert(document.cookie)</script>&fs=1思わず「またですか」って言いたくなりましたさ。この前、1つ直したばかりなのにねー。根本的な見直しが必要なのかも知れませんな。>Google[雑談] * 「ドラえもん」の声優が一気に交代へ (/.jp)
```textile
- Sankei Web の記事
によると,長寿を誇る人気アニメ「ドラえもん」の主役級声優が来春3月を以って降番し,若手声優と交代する事になったとのこと。交代するのはドラえもん役の大山のぶ代さんなど,5人。 大山のぶ代(ドラえもん) 1936年10月16日 (68歳) 小原 乃梨子(のび太) 1935年10月 2日 (69歳) たてかべ和也(ジャイアン)1934年 7月25日 (70歳) 肝付 兼太(スネ夫) 1935年11月15日 (69歳) 野村道子(静香) 1938年 3月31日 (66歳) ```主人公達は永遠に年を取らなくても、声優さんはそうはいきませんものね。お疲れ様でしたー。[IT] ユニークなモノ from Uniquee Gadgets
- 愛しのあの人は今何してる? (Uniquee)
textileパソコン脇に置けるコンパクトな鉢植えの中には小型の無線 LAN 受信機が仕込まれていて、愛しのあの子がオンライン状態になったのを検知すると、モーターを駆動して可愛らしい花を開花させてくれる。クリスマスプレゼントにでも、いかが? (もうちょっと花が可愛ければなぁ。)
- 携帯電話で見れる超ライブな渋滞情報 (Uniquee)
textileAirVideo は、携帯電話の画面に高速道路に設置されている 300 を超える定点カメラの映像を表示できるサービス。カメラを切り替えながら画像を追っていくことで渋滞状態が簡単にわかるのに加えて、映像だから天候なども簡単に知ることができるのもメリットだ。ビジュアル的に分かりやすい! けど、運転中にいちいちカメラを切り替えて、交通状況をチェックするのは大変そうかもー?(^-^;[雑談] * Sec Sunbath 2005
2004年の夏に大好評(?!)だった“セキュリティ日光浴”の第2回が、2005年01月08日(土) に開催予定のようです!?(詳細の決定が待たれますね!) でも、外は寒いぞ、きっと。(笑)[雑談] * もはや「ピアッシング」は親公認?! 裾野が広がる10代ピアス事情
ピアスって、どこかに引っ掛けたら 耳たぶ 裂けそうで、他人がつけてるのを見てるだけで怖いです。。。(←小心者。(笑))[セキュリティ] * 公認情報セキュリティ監査人資格制度 (JASA)
うーむ、いずれは取らなきゃいけないんだろうなぁ。研修、試験、トレーニング、小論文、監査実施経験報告書、... はぅ。時間とお金がかかりそうな予感。[セキュリティ] * 情報セキュリティ人材育成のためのGIAC認定資格取得 (ITmedia)
textileGIAC試験は、課題論文の提出(一次試験)と選択式試験(二次試験)で構成されている。実務スキルの証明には論文試験が有効である。論文テーマは受験者の関心事項やケーススタディなどおおむね自由に設定できるが、高い独創性が求められる。合格者の論文はSANSのWebサイトで公開されており、実際、セキュリティ関連の参考文献として専門家により頻繁に閲覧されている。へー。日本語版試験の合格者も論文公開されてたりするんでしょーかね?[雑談] * DNSのIPv6対応へのハードル「512バイト問題」とは? (IT Pro)
textileDNSでは512バイトを超えるデータをUDPで転送できない。これが「512バイト問題」と呼ばれるものである。…DNSサーバーが512バイトを超えるデータをやりとりするときは,UDPの代わりにTCPを使う。ところが,TCPを使うとDNSサーバーの負荷が増大する。TCPコネクションの確立や切断といった処理が発生するからだ。…DNSで512バイトを超えるデータをUDPでやりとりするための「EDNS0」(extension mechanisms for DNS version 0)という拡張仕様の利用が始まった。通常のサイトでは、実質上問題がないということで、セキュリティ上の観点から、53/tcp は、セカンダリサーバ相手にしか許可しない設定にしてたりしますが、ゾーン転送でなくても 512バイトを超えるデータは TCP を使うんですよねー。私、今の会社に入るまで知りませんでしたさ。(^-^;関連: * RFC 2671 - DNS用拡張メカニズム (EDNS0)
[セキュリティ] * Soberワームに、お色気路線の新亜種登場
textile技術セキュリティ会社Sophosのシニア技術コンサルタント、Graham Cluleyは、「ドイツ語バージョンは非常に興味深い。これらのメールは、21才の金髪のドイツ人ダンサーが出したもので、彼女はモデルの仕事を探しており、メールに自分のヌード写真を添付しているという。だが、添付されているのはもちろん写真ではなくワームだ」と語っている。本文が日本語で書かれている “援助してくれる相手を探している女子高生”バージョンとかの亜種が出てきたら、大企業の重役クラスがぽこぽこ引っかかりそうな予感。(笑)[雑談] * ACCS裁判、弁護側は不正アクセス禁止法の技術的解釈について意見書を提出
弁護側からの意見書での主張:
textile不正アクセス禁止法を矛盾なく解釈するには、特定電子計算機とは物理的なコンピュータ本体ではなく、WebやFTPなどの個々のサービスとして解釈すべき今回の事件では、通常はIDとパスワードを必要とするFTPによってアクセスしているファイルに対して、元研究員はHTTPを利用してアクセス制御を回避することでファイルを閲覧したという検察側の指摘について、提供しているサービスが異なる以上は別個のものであると考えるべきだと述べた。URL欄への入力のみでアクセスできるかどうかが問題ではない元研究員がHTMLのソースを変更してアクセスしたという行為についても、「HTMLの仕様書に付随するFAQでも、フォームについてはユーザーが改変できるものであり注意せよと記述されており、技術者の立場から言えば改変してはいけないとは考えない」と述べた。さらに、当該ファイルがWebブラウザのURL欄に文字列を入力しただけでは閲覧できないものであったとされている点についても、「ブックマークレット」のようにURL欄にスクリプトを記述すれば本件と同様の行為が可能だったと指摘し、URL欄への入力のみでアクセスできるかどうかが問題ではないとした。Webサイトのセキュリティを向上させていこうというモチベーションの低下が心配される「セキュリティの強化はそこそこであれば良く、あとは不正アクセス禁止法に委ねればいいということになりかねない」と危惧を表明した。また、「Webサーバーの管理者が意図したURL以外の入力は全て不正アクセスという拡大解釈や、URL欄に入力が可能なWebブラウザーは全て不正アクセスを助長するソフトウェアということにもなりかねない」と述べた。私は技術者で、法律のことには詳しくありませんが、「データファイルをFTPで取得する経路がある以上 このファイルはアクセス制限されてるんだ」とか、「GETかPOSTかで扱いが異なる」とかの展開には、正直、違和感を感じていました。なので、この弁護側の意見書には共感を感じますね。今後のためにも、おかしな解釈が採用されないように祈っています。[IT] * お店でパシャリはOK? Amazon、商品バーコードをカメラで読み取るiアプリ (ITmedia)
textile「Amazonスキャンサーチ」は、本、CD、ホーム用品など、Amazon.co.jpで扱う商品に記載されているPOSレジ用バーコードを携帯のカメラで読み取ると、該当商品の詳細ページに直接アクセスできるサービス。ほー。「デジタル万引き」と勘違いされそうで気まずいな、これ。(^-^;[IT] * スピーカー6個内蔵した“直球仕様”――格安5.1chヘッドフォンを試してみた (ITmedia)
textile従来のサラウンドヘッドフォンと根本的に違うのが、5.1ch音響をバーチャルではなく“リアル”な方法で再現している点。片側に3個分計6個のスピーカーをヘッドフォンのハウジング内に搭載している。つまり、「本物の5.1chサラウンドでは6台のスピーカーが必要でしょ?だったら6個の小さなスピーカーを全部ヘッドフォンに入れちゃえばいいじゃない」というまさに“直球仕様”の製品なのだ。を。すごい大胆な設計です。ほんとーにサラウンドな感じに聞こえてくれるんだろうか、これ。(^-^; (ちなみに、私は Pioneer SE-DIR1000C 愛用者です♪)[セキュリティ] * 携帯電話アプリを破壊するSkullsプログラム――Symbian OS搭載端末に照準 (ITmedia)
textileトロイの木馬型ウイルスのSkullsはシステムアイコンを変更し、電話以外の全機能を使えなくしてしまう。これまでのところ、ウェブ上で同プログラムを見つけてダウンロードし、トロイの木馬を実行した人の数は少ない、と同氏はいう。前にも書いた気がしますが、こっちは記事に写真が載ってたので改めて紹介。[セキュリティ] * 「TEPCOひかり」で一部ユーザーにウイルスメール (ITmedia)
textile同社によると同日午前8時53分ごろ、「TEPCOひかりニュース」配信サーバに対し、ウイルスに感染したユーザーからと思われる不正投稿があった。配信サーバが外部からの不正投稿を受け付けてしまったため、登録ユーザーの一部にウイルスメールが配信されたという。なんちゅー初歩的な設定ミスだ。。。(ありがちだけど。)[雑談] * 住基ネット侵入実験の発表中止問題、専門家が総務省を提訴 (ITmedia)
textileヌーワーさんは11月11−12日にかけて都内で開かれたPacSecで、実験で得た内容について「Inside Jukinet:The Audit」と題して公開する予定だった。これに対し総務省は、スライド用プレゼン資料の一部について公表しないよう要求。ヌーワーさんは、発表を強行するとセミナーの運営に迷惑をかけると考え、発表を断念した。このためヌーワーさんは、憲法第21条が保障する表現の自由を侵害され、セキュリティ専門家としての誇りを傷つけられるなどし、精神的苦痛をこうむったとして、国家賠償法に基づき損害賠償3000万円の支払いを求めている。とうとう全面戦争ですかー。正当な主張だと思います。やっちゃってください。(^-^;[TV][あいのり] #246 2文字の言葉が・・・ケニア⇒エチオピアへ移動。ヒデ<->かよ、瀬里葉->イッチー、おーせ、裕くん、じゅん平帰国したかよからの「ラブワゴンにヒデとの写真を残したかった。真実の愛を目指して頑張ってね。ありがとう」な手紙を読んだ時点で、俺だったら日本に追いかけて行くと思うけどなぁ。「かよのこと好きだった?」に「大好きでした」なら、なんで今からでも帰らないんだい。(涙) >ヒデヒデ「19年間この身体を利用してきて、これほど説明書が欲しいと思った事がない」瀬里葉が見てて分かりやすい感じで恋愛してますねー。新メンバー:ソルト(水原 詩生) 20歳 京都都出身。(なんちゅーネーミングだ。)エチオピアは治安があまり良くないのかな。投石ですか。これからちょい不安?イッチー「まぁ、瀬里葉も可愛いとは思うんですけど、やっぱり、そういう妹的な存在からやっぱ抜け出せない部分があって、恋愛対象にはなりきられへん」 ←うーん、ヒデ<->かよ と同じ展開だな、これ。最後はちゃんとうまく行って欲しいものですが。とりあえず、まずは瀬里葉にオロナインを・・・?!(違⇒* 今週のあいのり
、* あいのりウラ話(かよからの手紙)