« 2005年2月 | トップページ | 2005年4月 »

2005.03.31

DVD:欽どこ 「クロ子とグレ子のどこまでやるの ?」

うーーーむ。若い。

とりあえず買おう。斉藤清六のドラマコーナーだけでもDVDが作れそうだけど、売れないだろうしなあ…。

| | コメント (0) | トラックバック (0)

ガンホーの報道と株価

…Google Newsから 検索してみる

…2つだけ?報道がほとんどないんですけど。株価のほうは…

…漏洩しても上がってますけど。マネーゲームだからもはや漏洩騒ぎとは関係ないのかな。

| | コメント (0) | トラックバック (0)

不正アクセスねた

高裁までいくようですけども、とりあえずリンクのメモとか。

判決文…から解説しているようです。「ようです」というのはちゃんと入手したのかどうか書かれていないから。

脆弱性を指摘しても、とぼけられたり、こっそり修正して隠し通そうとしたり…… などという行為がなされると、指摘した側は当然不愉快に思います。

確か昔の雑誌(今は休刊の…Security Magazineだったかなあ)で、go.jpを相手にした話題でこの手の記事がありました。(執筆者はoffice氏)

今後のネットワーク社会が安全・快適な社会になるよう貢献をしていく所存です。

貢献ですか。そういえば、こんなのがありました。

なお、現在ACCSでは、上記「標準CGI」の欠陥について、レンタルサーバ会社が 負うべき責任問題について、話し合いを継続しています。

で、その後:

(関係ないですが、ファーストサーバ公表した文書のPDFファイル、今は通常のリンクからは たどれないような気がするんですが…。無かったことにしようとしている?(おいおい))

ファーストサーバ(株)は、結果的にはACCSを含む顧客に対して間違った情報を 提供したと言わざるを得ません。十分な情報公開があればこのような事態に 至らなかったと残念でなりません。

「残念でなりません」でそこで終わりなんですか…。 もっと先まで踏み込んでいってもらわないと貢献しているようには見えないんですけど。 (ひょっとして、中では賠償責任の話とかやっているのかもしれないですけど、 こちらからは何も分からないですし。)

***

ところで、その問題となったCGIスクリプトですが、こんな感じだったようです。 (さすがに中身を見るようなことはできませんでしたけど。調べても入手はできないと思いますし)

えーと「このCGIは」…

「テンプレートファイルやメール送信先を外部入力で指定する」「サニタイズしていません」

「クロスサイトスクリプティング脆弱性」「ディレクトリトラバーサル」 「ダイレクトOSコマンドインジェクション」「メールの第三者中継」

うわ、脆弱性のオンパレードだったんですか。てっきりXSSだけかと思っていたんですけど。

他にも、「一切をサニタイズしていない」とか「サブルーチンが一つもない」とかいう CGIだったようで。 (from 伝わらない)

(逆に言えば、これだけいろいろ問題のあるソースをヨセフアンドレオンが見抜けなかった ことになります、か。)

え…それだけでOKなんですか?うーむ。

***

何だか、ユーザーにとっては裁判が終わっても何も変わっちゃいないような気がするんですけど。損害賠償よりも、セキュリティホールを早急につぶしてくれるような仕組みが確立されないと、将来のインターネットの健全な発展は期待できそうにないです。

| | コメント (0) | トラックバック (0)

ゲーム脳でふと検索してみる

なんとなく、Googlede「森昭雄 科学的根拠に乏しい」で検索。

論文を米国の「New Scientist」誌に送ったが査読の段階で 「結論にいたる過程が科学的根拠に乏しい」として掲載を断られている。

掲載拒否という情報が見受けられます。いわゆる報道機関(新聞など)からの情報では見つからないですけど。

さらに「New Scientist akio mori」とかで検索。すると…

論文を取り寄せてます。内容がツッコミどころありありなのは間違いないようで、

貴重な紙資源を使ってbullshit(デタラメ)を書き連ねた後で出してきたのは、 下の画像に写っている、ゴミのような表でした。

と、ばっさり。記事を読む限りでは、いわゆる実験と結果と考察が全然つながってないように見えます。

ためになる記事を読ませてもらいました。

| | コメント (0) | トラックバック (0)

ガンホーの顧客情報が改竄された件

不正使用ならびに流出した事実は確認されておりません。

とあるけど、確認できなかった可能性もあるわけで。「不正アクセス」と書けば良いものでもないし。しかし、4/1前に発表したのは戦略なのかなあ、とかなんとか書いてみたりして。

ところで、株価は1000万に到達してますけど下がるのかなあ…。

| | コメント (0) | トラックバック (0)

2005.03.29

WEB+DB PRESS特別総集編

4年分のPDF版ということで、忘れないようにメモ。amazonでは売り切れているようで、本屋に売ってるかなあ…。

| | コメント (0) | トラックバック (0)

2005.03.28

いっぱいの、なのはな。

050327sana

そんなわけで、ふらっと某川の川下に向かって。桜はまだですが、春らしくなっております。

050327umi

15km弱で海へ。左手前の朽ちた船がいい感じ…じゃなくて、このまま放置するのもどうかと思いますけど。それにしても半径300m以内で人ひとりいない状態で、波の音だけが聞こえるところもまだあるもんですねえ。

| | コメント (0) | トラックバック (0)

2005.03.26

万博か…

まー、いろいろあるみたいですが。開始日の午後3時過ぎ、 地下鉄のとある駅に「リニモ 30分待ち」とありましたが、週末はどうなるんでしょうか。で、気になったリンクをいくつか。

どうなんでしょうねえ。

| | コメント (0) | トラックバック (0)

2005.03.25

不正アクセスの判断はどうなったか

青柳裁判長は「問題のファイルには、FTPサーバからIDとパスワードを 入力してアクセスするのが通常。CGI経由のアクセスは、FTP上のアクセス制御を回避した 不正アクセス行為にあたる

FTPのアクセス制御を回避したら不正アクセス、っていう理屈が成り立つのは どう考えても変なんだが。 検察側(すなわち、サーバー管理側)の論理をそのまま採用しただけに過ぎないだけとは思いますが、 この文章をそのまま利用すると、例えばCGIで ../../../etc/passwd が読めてしまっても それは不正アクセスということになりそうですが…。

そんな理屈でいいんだろうか。参考:

  • そのファイルがドキュメントルート外にあるか
  • ドキュメントルート外にあるとしたら、通常はftpなどでアクセスするんだけど、 そのftpなどにIDとパスワードが設定されているか
この二つが満たされていれば、アクセス制御されている、という解釈になる

やはり、そんな解釈なんでしょうか。うーむ。

追記(3/27):リンクを追加: 不正アクセス行為の禁止等に関する法律違反の判決公判を傍聴した記録

| | コメント (0) | トラックバック (0)

2005.03.24

考え方の違い…?(ライブドアねた)

会社に出勤した男性社員は、「我々は公共の電波を扱っているので普通の民間企業とは違う。 今後、会社がどういう方向に向かうのか心配で、経営陣には最後まで対抗してほしい」と 話していました。

…うーん。会社に勤めている人としては、まず経営陣の体たらくさを批判したくなるんですけども。この考え方ってどうなんですかねえ。まあ社員からすれば印象は悪いと思いますけど。

こちらとしては、「日本経済活性化のためにもコンテンツ事業と放送事業の分離を」と論じている ライブドアショックは放送とITの融合を進める起爆剤となるか? という記事には興味があります。

| | コメント (0) | トラックバック (0)

2005.03.14

ココログに脆弱性は存在する?

セキュリティホールmemoを見ているとこんなページが。

内容はリンク先を読んでもらうとして。これ以上の情報がないのでなんとも言えないのですが…。

| | コメント (0) | トラックバック (0)

2005.03.10

民営化と国営化、どっち?

麻生氏は「受信料を払わなくても罰せられないことが、これだけ公になってきた。受信契約制度が受信者の善意だけで成り立つのかという問題は、今後考えていかないといけない大切な問題だ」

ふーん。TVがあれば見なくても必ず徴収するというよく分からんことも考えてくれないといかんですな。 もう完全民営化か完全国営化するしかないんじゃないんだろうか。

| | コメント (1) | トラックバック (0)

2005.03.09

フレッツユーザーが気をつけること

自宅ではフレッツADSLを使って接続しているのですが(そうでなかったら2つのプロバイダを同時に使えないし(?))、以前、日本テレコムから「おとくライン」の勧誘が来たことがありまして。そのときは「あー、Yahoo! BBの傘下にはいったようなところだから問題あるだろうし(?)、そもそも接続形態が変わる(=フレッツが使えなくなる)からフレッツでないと困るし」 …ということでさくっとスルーしてました。

まあ、電話関係の話があれば、間違いなく親はこっちにふってくれるので、家庭的には問題ないのですが。しかし、いったん首を縦に振ってしまうと契約解除にいろいろと問題がでてくるようで…

日本テレコムも代理店を使って勧誘活動をしているようです。…墜ちたものだなあ。しかし、いったんおとくラインに契約してしまうとNTTの電話加入権が解除されるというのは盲点でした。

とりあえずは、電話口では簡単に口約束をしないこと、なんでしょうね。

追記(4/3):
NTTの加入権は休止状態になるみたいです。復活も可能とのこと(手数料はかかるようですけど)。

| | コメント (1) | トラックバック (1)

2005.03.02

コピーワンスの将来は?

…というわけで、コピーワンスの話が出ているようなので、いろいろと昔の記事を探しながら メモしてみました。

業界側の情報を読むと、目が点になってしまいますが、ねえ。特に最後の「ブルーレイ…」の記事中のこの文:

とある在京キー局の人がこう語ったという。「放送は生で見るものです。
「コピーワンスは、もしかしてエアチェックする気をなくさせるのが目的ですか?との質問に対して、 在京キー局の人は『まさしくその通り』と答えて非常に驚いた。こういうことをいっているのだから、 ハイビジョン時代になっても放送局の体質は全然変わっていない」

こんな調子では…。

| | コメント (2) | トラックバック (0)

2005.03.01

ログ、とってますか?

…なんというか、「ライト、ついてますか」という本を想像してしまうタイトルですけど、今回はそうではなく。
AntinnyによるDDoSアタックのため、URLを変更したACCSですが、URL元にやって来たアクセスログを取り始めたそうで…あれ?

ニュースリリースはこちら。

3月1日より「www.accsjp.or.jp」にアクセスしたIPアドレスを記録し、 今後、過度のアクセスを繰り返しているコンピュータを管理するユーザに対して、 インターネットサービスプロバイダなどを通じて注意を喚起することを予定しています。

えーと、ということは今までログ管理してなかったわけですか。 最初にアタックがきたのは2004年3月1日らしい (参考: ACCSのWebを停止に追い込んだ700Mbpsを超えるDDoS攻撃の実態 ) ですから、1年間何もログによる確認をしてなかったことになりますけど。

…ふつう、ログとってますよね?何というか、反面教師的な話題しか出てこないような 気がするんですけども。うーん。会社では、ログを取っていたからこと、いろいろと解決したことがありましたからねえ。 いろいろ。

ちなみに、「ライト、ついてますか」という本はこちら。奥が深いです。

| | コメント (0) | トラックバック (0)

さらば、ドコモのPHS

4/30で新規申し込みを終了、サービス終了までは2年後をめどに、ということらしいです。今はいわゆる京ぽん(WILLCOM)を使っていますが、最初の頃はNTTパーソナル時代のPCカード端子付とか、CF端子付のものを使っていたり。 もうあんな機種はお目にかからないかもしれませんね(WILLCOMがやってくれるかもしれませんけど)。

追記:最初、"PHP"なんて書き間違いを…

| | コメント (0) | トラックバック (0)

« 2005年2月 | トップページ | 2005年4月 »