2004/12/02(木)木曜日ー。(IW2004 はどんな感じー?)
[雑談] * 残念!「メイド・コスプレ」は落選 (ITmedia)
[雑談] * 「アクセスが多すぎただけ」——「スパム攻撃スクリーンセーバ」のサイトクラックはデマ (ITmedia)
非商用利用だったらフリーで使えたりするようです。(^-^)[IT] * ターボリナックスも年末商戦に参加?!
」を見る限り、“ユーザ⇒メールサーバ⇒署名ゲートウェイ⇒インターネット”という配置になっているようなんですが、「誰の」署名をつけるか、というのはどうやって判断してるんでしょうかね?これ。(最初は SMTP-AUTH とかでまず認証をして・・・と考えたのですが、この配置だと無理そうな感じ?)予想1.実は差出人に応じた署名ではなく、みんなに同じ署名をつけている。予想2.From: のアドレスで見分けて署名をしている。⇒だとしたら社内からは詐称し放題ですな。詐称メールに電子署名なんてつけられたら後で余計まずい事態になるような?予想3.私の知らない新技術を使用している。気になります。誰か教えてください。(^-^;[セキュリティ] * Microsoft、WINS の脆弱性を月例セキュリティ更新で修正予定
適当に和訳:
適当に和訳:
[雑談] * もう「酔った勢いで電話しないで」とは言わせない--豪携帯キャリアより新サービス
textile選ばれた流行語は以下の通り。-流行語受賞者トップテン・大賞チョー気持ちいいアテネオリンピック水泳代表選手・北島康介さんトップテン気合だー!アニマル浜口さんトップテンサプライズ自由民主党幹事長・武部勤さんトップテン自己責任該当者なしトップテン新規参入ライブドア社長・堀江貴文さんトップテンセカチュー作家・片山恭一さんトップテン中二階参議院議員・山本一太さんトップテンって言うじゃない…○○斬り!…残念!!波田陽区さんトップテン負け犬酒井順子さんトップテン冬ソナチュサン役・萩原聖人さん、ユジン役・田中美里さん“冬ソナ”は、韓国の方ではなく吹き替えの人が受賞したのね。(^-^; サプライズ/負け犬よりもメイド喫茶の方が身近に感じられる私ってば・・・だめだめ?(笑) いや、行ったことないんですけどね。>メイド喫茶[セキュリティ] * MS04-040: Internet Explorer 用の累積的なセキュリティ更新プログラム (889293)
textileこのセキュリティ情報の対象となるユーザー : Microsoft Windows を使用しているお客様脆弱性の影響 : リモートでコードが実行される最大深刻度 : 緊急影響を受けるソフトウェア :Microsoft Windows NT Server 4.0 Service Pack 6a Microsoft Windows NT Server 4.0 Terminal Server Edition, Service Pack 6Microsoft Windows 2000 Service Pack 3, Service Pack 4 Microsoft Windows XP Service Pack 1Microsoft Windows XP 64-Bit Edition Service Pack 1 Microsoft Windows 98、Microsoft Windows 98 Second Edition (SE) および Microsoft Windows Millennium Edition (Me) 脆弱性の詳細:Internet Explorer に脆弱性が存在し、それにより、影響を受けるコンピュータで、リモートからコードを実行される可能性があります。攻撃者はこの脆弱性を悪用し、悪質な Web ページを作成し、ユーザーがそのようなページを含む Web サイトを訪問した場合、リモートでコードが実行される可能性があります。攻撃者はこの脆弱性を悪用し、影響を受けるコンピュータを完全に制御する可能性があります。IFrame の BOf の問題を修正する緊急累積パッチがリリースされました。当てましょう♪関連: * MS、IFrame脆弱性を修正する緊急パッチをリリース (ITmedia)
[雑談] * 「アクセスが多すぎただけ」——「スパム攻撃スクリーンセーバ」のサイトクラックはデマ (ITmedia)
textileスパマーに攻撃を加えるべくLycos Europeが開発したスクリーンセーバが、大きな注目を集めている。…同社は12月1日に正式に「Make Love, Not Spam」スクリーンセーバを立ち上げたが、β版は既に広く配布されていた。…今週初めから、この「Make Love, Not Spam」ダウンロードがハックされているという報告が出回り始めた。…Lycos Europeの広報担当者が1日に語ったところによれば、同社のサイトは「決してハッキングされてはいない」という。同社はデマの標的となっただけで、誰かがハッキングされたサイトのスクリーンショットを捏造し、Eメールで転送したのだと担当者は説明する。真偽の程は分かりませんね...このスクリーンセーバ自体の是非については、Sophos の方の「スパマーと同レベルまで自分らをおとしめている」というコメントに同意。まったく。何をやってるんだか。>Lycos[雑談] 色んな手書きちっくなフォントたち@openmyaML使い方色々!(DOS窓、TeraTerm、年賀状、...?!)
- みかちゃんフォント
- さなフォン
- ことり文字ふぉんと
- 青柳衡山フォント2
非商用利用だったらフリーで使えたりするようです。(^-^)[IT] * ターボリナックスも年末商戦に参加?!
textileターボリナックス株式会社は2004年12月1日、一般ユーザー向けオールインワン Linux「ターボリナックスホーム」搭載ノート PC「TurboPC」を、年末までの期間限定で100台販売する、と発表した。…価格は13万8,000円、サポートサービス付きは14万8,000円。A4ノート、Celeron 2.53GHz。マシンはどこ製なんでしょうかね。そのメーカー、Windows搭載マシンを出せなくなったりしません?(←たぶん気のせい。[雑談] * 通勤ラッシュによるストレスは戦場以上--調査報告
textileBBCが11月30日に報じたところによると、この調査では、臨戦態勢の戦闘機のパイロットや機動隊の隊員よりも、会社に通勤する人の方が強いストレスを感じるとの結果が出たという。通勤ラッシュより、戦場の方が気が楽!・・・なわけではなくて、自分で対応/対策が取れるか取れないかで精神的負担が違うんだそうです。[IT] * メールに電子署名を自動的に追加、フィッシング詐欺対策でHDEがリリース
textileHDE Signed Mail Gatewayはこの部分を自動化することで、容易に電子署名付きのメールを送信できるようにする製品だ。SMTPリレーサーバ形式を採用しているため、既存のメールサーバを生かしながら電子署名を付与できる。また、携帯電話やWebメール宛のメールについては電子書名を加えないといった具合に、柔軟な運用が可能だ。“(独自SMTPエンジンは持たない)大量メール送信型のワーム”に感染したPCからのメールも、電子署名が付与されて届く世の中になるのでしょうか?(笑)ところで、「* 製品紹介ページ(HDE Signed Mail GW)
」を見る限り、“ユーザ⇒メールサーバ⇒署名ゲートウェイ⇒インターネット”という配置になっているようなんですが、「誰の」署名をつけるか、というのはどうやって判断してるんでしょうかね?これ。(最初は SMTP-AUTH とかでまず認証をして・・・と考えたのですが、この配置だと無理そうな感じ?)予想1.実は差出人に応じた署名ではなく、みんなに同じ署名をつけている。予想2.From: のアドレスで見分けて署名をしている。⇒だとしたら社内からは詐称し放題ですな。詐称メールに電子署名なんてつけられたら後で余計まずい事態になるような?予想3.私の知らない新技術を使用している。気になります。誰か教えてください。(^-^;[セキュリティ] * Microsoft、WINS の脆弱性を月例セキュリティ更新で修正予定
textileMicrosoft は、毎月第2火曜日に公開する月例セキュリティ更新の一部として、同修正パッチを準備する一方、顧客に対し、ポートをブロックするなどの自衛策をとるよう促した。問題の脆弱性は、「Windows Internet Name Service」(WINS) コンポーネントに存在する。「次の」月例セキュリティ更新の日にパッチを提供予定とのことでしょうかね?[セキュリティ] * [USN-34-1] OpenSSH information leakage (Bugtraq)
適当に和訳:
textile@Mediaservice.net は、OpenSSHサーバにインフォメーションリークの問題を2つ発見しました。1つ目パスワード認証が有効になっている場合に、ログイン試行の失敗後に「password:」プロンプトが再び現れるまでのタイミングの違いによって、システムにそのユーザが存在するか否かを確認することが可能です。2つ目SSH を通じての root でのログインを許可していない設定("PermitRootLogin no")の場合でも、応答のタイミングの違いによって、送信した root パスワードが正しかったのか間違っていたのかを判断することができます。これによって、弱い root パスワードを用いていないかをブルートフォース攻撃で知ることができます。アドバイザリからは影響するバージョンが不明。3.8.1p1 に当てるパッチが提供されてるようですが、3.9 には問題ないのかな? Openssh の Changelog には何も書いてないし、アドバイザリ発表の時期的に見ても、すべてのバージョンに影響するのかも。[雑談] * 月給制と年俸制、どちらも悩みは同じ?——エンジニアの給与意識 (ITmedia)
textile月給制に不満の人では「成果が反映されないから」が多く、年俸制に不満の人では「残業代がつかないから」という理由が多かった。さらに、両方に共通して見られる不満理由は「制度そのものより総額自体が低いから」「長時間労働だから」などが挙げられた。どっちにしても、結局、不満は変わらない、と。(^-^;ただ、年俸制を取っている会社のエンジニアは、(月給制のエンジニアに比べて)「年齢・学歴・勤続年数」はあまり給与決定に関係ない、と感じてる率が明らかに高いというのはちょっと興味深かったかも。[セキュリティ] * Sun Solaris ping Utility Privilege Escalation Vulnerability (Secunia)
適当に和訳:
textileSun Solaris には、ローカルユーザが権限昇格を試みることができる脆弱性が存在します。これは、pingコマンドが適切な境界チェックをしていないために、攻略可能なバッファオーバーフローを引き起こすことができることが原因です。この脆弱性を利用することで、攻撃者はシステム権限で任意のコードを実行することが可能です。x86、SPARC 共に Solaris 7, 8, 9 で影響があるようです。脆弱性の詳細は公表されていません。パッチを当てましょう。(パッチを当てられない場合は、/usr/sbin/ping の set-user-IDビットを除去したり、スタック上でのプログラムの実行を抑制する設定にしたりすれば影響を無くすことができます。詳しくは、Sun のアドバイザリを参照。)関連: * #57675: Security Vulnerability in ping (Sun Microsystems)
[雑談] * もう「酔った勢いで電話しないで」とは言わせない--豪携帯キャリアより新サービス
textile朝、ひどい二日酔いで目を覚ますと、酔った勢いで夜中の3時に昔のパートナーに電話したことを急に思い出し、ますます気分が悪くなった経験はないだろうか?ありますか?(笑) >誰となく
textileVirgin Mobileによると、同社は12月1日(現地時間)より、酔っ払った状態で電話をかけたくない相手の電話番号登録を受付開始する。相手先電話番号の前に「333」をつけてダイヤルするだけで登録手続きは完了だ。電話番号を登録すると、同社はその番号への通話を翌朝6時までストップしてくれる。昼間から飲んでしまう方には効果が無いようです。(^-^;微妙なサービスだなぁ。日本でも欲しいですか?こんなサービス。[雑談] * ACCS、DDoS攻撃で3月以降約80日間にわたりウェブサイトを停止
textileコンピュータソフトウェア著作権協会(ACCS)は「インターネット ウィーク2004」において、2004年3月以降、毎月一定期間にACCSのウェブサイトへのDDoS(分散サービス妨害攻撃)によるアクセス集中があり、その対策として毎月一定期間ウェブページの運用を停止して対応していることなどを報告した。…今回ACCSが被害を受けたのは「Antinny」ウイルスに感染したコンピュータの送信する信号によるものだ。…ACCSは2004年3月から11月にかけて合計約80日間ウェブサーバを停止する対策をとった。まぁ、DDoS って防ぎにくいですものね。(でも、1秒間に50コネクションも大量接続するような分かりやすいものだったら、自動で防御できそうですけども。) いずれにしても根本的に解決するためには、ISPなどの協力を仰ぎつつ、ウィルスに感染してるユーザに地道に警告して行く必要があるのでしょうね。