最近一週間ほどのえび日記
2010年9月27日(月曜日)
けいおん! 4
公開: 2010年10月4日16時55分頃
4巻でましたね。
- けいおん! 4 (www.amazon.co.jp)
「ごはんはおかず」は笑うところなのでしょうが、既にCDまで出てしまっているネタバレぶり。
- ごはんはおかず / U&I (www.amazon.co.jp)
ともあれ卒業するわけですが、4人全員が同じ大学に進学するというのはちょっと違和感がありますね……。
- 「けいおん! 4」にコメントを書く
広告サーバからマルウェア配信
公開: 2010年10月4日16時35分頃
広告配信サーバがやられて、多数のサイトでマルウェアが配信されるという事態が起きたようで。
- ADサーバー掲出タグによるセキュリティアラートと対処について (slashdot.jp)
- 毎日jpの広告配信用外部サーバーに障害 (mainichi.jp)
- 外部広告配信サーバ障害によるウイルス感染の可能性について (www.j-cast.com)
- 偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃 (gigazine.net)
広告の配信元はマイクロアド社。
- 弊社サービスの改ざんに関する現状報告と今後の対策について (www.microad.jp)
広告配信サイトがやられると大変なことに……という話は前から出ていたと思いますが、それが現実になった形ですね。有名サイトの名前がずらりと並んでしまったわけで、「怪しいサイトにはアクセスしない」なんてのは対策にならないということが明らかになりました。
パッチを適用していない状態でこれらのサイトにアクセスしている場合、感染している危険があります。特にAdobe系のソフトやJREなど複数の脆弱性を突く攻撃が行われたという話もあるようですので、Microsoft Updateだけで安心しないように……。
2010年9月24日(金曜日)
国勢調査オンライン
公開: 2010年10月1日18時25分頃
国勢調査ですが、今年から一部地域 (東京都) のみオンラインで回答できるようになったそうで……「国勢調査オンライン ( トップ画面 ) (e-kokusei.go.jp)」。
私も一部地域に該当しているため、せっかくだからということでオンライン回答を体験してみました。以下、気づいたことや直してほしいと思った点をつれづれにメモ。
- 国勢調査の封筒にはがきっぽい案内が同封されていて、IDとパスワードのようなものが書かれています。
- 「フィッシングにご注意」などと結構しつこく書いてありますが、そのわりにトップページはHTTPSでない模様。
- アドレスバーを確認してください、ということでアドレスバーの画像が掲載されているのですが、なぜかこのアドレスバーの画像が間違っています。画像ではURLが http://e-kokusei.go.jp となっていますが、これは正しくは http://e-kokusei.go.jp/ と末尾に / がつきます。たとえ / なしのURLにアクセスしても、アドレスバーは / つきのものに変わるはずです。もし末尾に / がついていなかったら、アドレスバー偽装の可能性があります。
- そのURLにアクセスすると、いきなり「JavaScriptが無効です。このサイトをご利用になるには、JavaScriptが使える状態にブラウザの設定を変更してください」という表示が。仕方ないので信頼済みサイトゾーンに追加。
- ステップ1へ行くボタンの左右に「ご回答はこちらから」「ご回答はこちらから」。大事なことなので2回書いてあるのでしょう。おそらく、次に進むボタンを発見できないユーザーが多数いて、後から追加したのでしょうね。ビジュアルデザインの失敗です。ここに限らず、全体的にUIのデザインがひどいです。ビジュアルデザイナーやUIデザイナーは関与していなくて、SIerがデザインも含めて作っているという感じがします。
- ステップ1に入ると、ここでHTTPSに変わる模様。しかもこのページ、スクリプトが有効でないと動作しないのに有効にしろという警告が出ないという……。前の画面で http://e-kokusei.go.jp/ を信頼済みサイトゾーンに入れたのですが、https: は別ドメイン扱いになるため、こちらではスクリプトは動作しないのですね。仕方ないのでもう一度信頼済みサイトゾーンに登録し直し。「スクリプトが無効です」という警告を出すのであれば、その警告は https: の画面に出すべきです。
- 唐突にこう言われる……『大切な回答を不正なアクセスから守るため、ご回答の前にお手数ですが、「確認コード」をご自身の手で変更していただくようお願いします』。意味不明。確認コードって何でしょうか。パスワードのこと? 解説ページへのリンクがあったので読んでみると、『「確認コード」は、正しい調査世帯の方がアクセスされていることを確認するためのもので、暗証番号やパスワードと同様の役割があります』……ということでパスワードで正解らしいですね。
- しかし、このパスワード変更画面には旧パスワードの同時入力が存在しないので、そこはかとなく不安に。ソースを見ると、<input type="hidden" name="screenId" value="**********"> というhiddenがあったのでCSRFで攻撃は出来ない……ような気がしますがちゃんとは見ていません。
- パスワードには記号を使いたいわけですが、『「新しい確認コード」は半角英数字で入力してください』と怒られました。記号が使えるだけでずいぶん楽になるのですが。
- なんか紙の調査票に書いてある情報を入力する必要があり、紙は捨ててはいけない模様です。紙に書いてあるのと同じ奴を選択しろと言われたわけですが、紙には「一般世帯」と書いてあるのに、選択肢は「一般の世帯」と文言が揺れていますね。厳密には回答不能ですが、まあ気にしない方向で。
- その後順調に回答していたら、突然画面を覆い隠すように何か出てびっくり。選択肢にマウスポインタを乗せると説明が出るらしいです。
- 住宅の床面積の入力に難儀。知らないですから……。坪単位で良ければなんとなく分かるのですけれど、平米で答えろと言われると厳しいです。
- 「本人の仕事の内容」という項目に「……時にはフォームに "><s>test などと入力する仕事」などと書いてみたところ、確認画面で打ち消し線が表示されるという現象に遭遇。色めき立ちましたが、<script> はうまくいかず。どうも、長い英数字が折り返すように3文字ごとに <wbr/> を挿入しているようですね。<s>はちょうど3文字なので打ち消し線はギリギリ発動しますが、それより長いタグは壊れるので、任意のスクリプトは実行できないようです。偶然だと思いますけども。
2010年9月22日(水曜日)
ポケモンセンターの新しいお誕生日サービス
公開: 2010年10月1日15時35分頃
誕生日にポケモンセンターに行くと専用のヒトカゲがもらえるというサービスがあり、私ももらったことがあるわけですが、ブラック (www.amazon.co.jp)・ホワイト (www.amazon.co.jp)
の発売を期にサービスが変わるようで……「新しいお誕生日サービスが始まるよ! (www.pokemon.co.jp)」。
キタ! すばらしいタイミング! と思ったら、
11月4日(木)から、ポケモンセンターで新しいお誕生日サービスが始まるよ!
えっ、11月4日から? 今日やってくださいよ……。orz
情報セキュリティ白書2010
公開: 2010年10月1日11時30分頃
今年の情報セキュリティ白書、無事に届きました。ありがとうございます。
- 情報セキュリティ白書2010 (www.amazon.co.jp)
174ページに名前を出していただいております。
今年は例年よりも厚さが一割ほど増しています。末尾の付録部分がまるまる増えた感じでしょうか。
※出版社が異なるため装丁が毎年異なるのですが、今年は背表紙の「セキュリティ」の文字が妙に細い明朝体で、昨年・一昨年のものと並べるとかなり違和感がありますね……。
関連する話題: セキュリティ / 本 / IPA / 情報セキュリティ白書
Twitter XSS騒動
公開: 2010年9月28日16時35分頃
TwitterでXSSによる攻撃が行われていたようで……「Twitterブログ: 「マウスオーバーの」問題についての全容 (blog.twitter.jp)」。
日本時間の昨晩、ユーザーがこのセキュリティホールに気づき、Twitter.comにてそれを悪用しました。まず、誰かがアカウントを作成し、この問題を悪用しました。具体的には、そのツイートのリンクにユーザーがマウスオーバーすると、ツイートが異なる色に変化し、テキストを表示したポップアップ画面が表示される仕組みでした。このため、「マウスオーバーの」問題と呼ばれています。このセキュリティ上の弱点を付いた悪用は、ユーザーがリンクにマウスオーバーした時に発生しました。
これは、この辺りの話ですね。
もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
Twiiterブログでは「昨晩、ユーザーがこのセキュリティホールに気づき」と言われていますが、ずっと前に気づいていて報告していたのにスルーされていて、しかもTwitter側によって事実上公開されていたというお話のようで。このRainbow Twitterはそれ自体は特に害のないPoCに過ぎませんが、これを見て実際に攻撃コードを作成した人がいて、ワームのように被害が広がったと。
まあ、良くも悪くも、XSSで実際に被害が出た例として語り継がれることになるでしょう。
関連する話題: Twitter / セキュリティ / クロスサイトスクリプティング脆弱性
2010年9月21日(火曜日)
ポケモンすれ違い革命
公開: 2010年9月28日15時45分頃
ポケットモンスター ホワイト (www.amazon.co.jp)はクリアしたものの、クリアしてからが本番のゲームなのでまだまだプレイ中。今日は発売後初の平日だったので、通信しながら会社に行ったりしました。
すれ違い通信といえばドラクエ9 (www.amazon.co.jp)がギネス記録を作ったりしたわけですが、ドラクエ9では、プレイ中にすれ違い通信ができないという問題がありました。すれ違い通信をするためには「リッカの宿屋」に行ってプレイを中断する必要があります。通信とゲームプレイを両立できませんし、ダンジョンの奥深くに潜っているような場合はわざわざ脱出して戻ってこないといけない (そして通信が終わったら探索やり直し) という問題があり、結構面倒でした。
実際、電車の中ですれ違い通信中にドラクエ9をプレイしている人を見かけたことが何度もありますが、プレイ中の人とはすれ違えないので、残念な思いをしてきたわけです。
しかし今回のポケモン、なんとプレイしながら通信ができるのです。普通に探索しながら、あるいは戦闘しながらすれ違い通信ができます。電車の中でプレイ中の人を見かけても残念な思いをすることはありません。これはすばらしい。革命的です。
そんなわけで、特に寄り道もしていないのに、今日だけで100人以上の方とすれ違い通信が成立しました。これはすごい。ギネス記録の塗り替えはあっという間かもしれませんね。
- 前(古い): 2010年9月20日(月曜日)のえび日記