退職のご報告 | 水無月ばけらのえび日記
公開: 2017年10月31日18時5分頃 既にご存知の方はご存知かと思いますが、本日をもって株式会社ビジネス・アーキテクツを退職することになりました。 思い起こせば、2001年の8月に「フルCSSで大規模企業サイトを作りたい」と言われて入社してから16年以上勤めたことになります。支えてくださった皆様、本当にありがとうございました。 入社した当時は本当にHTMLの知識しかなかったのですが、いろいろな方と一緒に仕事をしていく中で、さまざまなことを教わりました。印刷物のマージンや字詰めが気になるようになったのもBAに入ってからの話です。このあたり、たまキャリ#1「会社を変えず、中身を変え続けてきた人」 (www.dsp.co.jp)で少しお話ししましたので、興味のある方は見ていただければと思います。 さて今後ですが、実は決まっていません。 個人的には、Webのアクセシビリティとセキュリティの分
「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
パスワードをマスクしない実装 | 水無月ばけらのえび日記
公開: 2012年7月9日3時5分頃 こんなお話が……「COOKPADの「伏せ字にせず入力」ボタンは素晴らしい (blog.tokumaru.org)」。 通常、パスワード入力欄では、入力中のパスワードがマスクされて読めないようになっています。しかし、マスクしない方が良いのではないかという説もあります。ずっと前に「パスワードを隠すのをやめよう?」という話でも触れましたが、ヤコブ・ニールセンが「パスワードを隠すのをやめよう (www.usability.gr.jp)」という主張をしています。 パスワード入力が難しくなると、ユーザーはより入力しやすいパスワードを利用しようとするでしょう。実際、ケータイでは複雑なパスワードを入れるのが大変面倒なため、ユーザーは数字のみの短いパスワードを好む傾向があります。パスワード入力がやりにくいと、ユーザーは弱いパスワードを使うようになり、逆に安全性が損なわれ
個人情報とは何なのか | 水無月ばけらのえび日記
公開: 2012年6月2日14時5分頃 こんなお話が……「「個人情報」定義の弊害、とうとう地方公共団体にまで (takagi-hiromitsu.jp)」。 ポイントをまとめると、こんなところでしょうか。 個人情報保護法の「個人情報」の定義はかなり狭い。一般の人が保護して欲しいと考える情報の全てが対象になるわけではない。個人情報保護法とは別に「行政機関の保有する個人情報の保護に関する法律」という法があり、「個人情報」の定義が微妙に異なっている (括弧書きの中に書かれていることが違う)。地方自治体の条例でも、それぞれ独自に「個人情報」を定義している。「個人情報保護法」と同じ定義をしているもの、「行政機関の保有する個人情報の保護に関する法律」と同じ定義をしているもの、どちらでもないものが入り乱れていて、自治体ごとに定義が異なっている。こういったことから、「個人情報」の定義を巡る混乱が生じている
キヤノンはなぜ達成等級「A」を満たせなかったのか | 水無月ばけらのえび日記
7.2.4.1 ブロックスキップに関する達成基準 複数のウェブページ上で繰り返されているコンテンツのブロックをスキップできるメカニズムが利用可能でなければならない。 注記 この達成基準は,等級A の達成基準である。 以上、JIS X 8341-3:2010 7.2.4.1 より ……これで全てです。これだけではさっぱり分からないと思いますので、対応するWCAG2.0の解説を参照することをお勧めします。JIS X 8341-3:2010の達成基準7.2.4.1は、WCAG2.0の2.4.1に対応します。 Understanding WCAG 2.0 - Understanding Success Criterion 2.4.1 (www.w3.org)WCAG 2.0解説書 - 達成基準 2.4.1 を理解する (waic.jp)ここで注意する必要があるのは、何らかの方法でブロックスキップが
ターゲティング広告を利用して属性と個人を結びつける | 水無月ばけらのえび日記
公開: 2011年12月11日22時55分頃 「サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク (d.hatena.ne.jp)」。サードパーティCookieやターゲティング広告の問題点についてのmalaさんのまとめ。良くまとまっていて参考になります。 特に、「パーソナライズされた広告配信によって広告出稿者がユーザーの個人情報を取得することが可能」という指摘は鋭いと思いました。ターゲティング広告では、対象者の属性を絞って広告を出すわけですから、その広告をクリックしてきた訪問者はその属性を持っている確率が極めて高いと言えます。すなわち、以下のようなことが起きると個人と属性が結びつきます。 属性を絞って広告を出稿するその広告をクリックしてランディングページにたどり着いたユーザーを追跡するそのユーザーが商品を購入す
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
トルネのトロフィー情報から分かること | 水無月ばけらのえび日記
公開: 2011年11月15日2時20分頃 ※この日記にはトルネ (www.amazon.co.jp)の隠しトロフィーに関するネタバレが含まれています。隠しトロフィーの情報を知りたくない方はご注意ください。 「PS3のトロフィー情報からユーザーをプロファイリングする」の続きです。既に高木さんが「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている (takagi-hiromitsu.jp)」という記事を書かれていますので、興味のある方はそちらも参照してみると良いでしょう。 さて、私のトロフィー情報は「プロフィール - MinazukiBakera (playstationhome.jp)」で公開されていますが、ここにはトルネのトロフィーもあります。 トルネのトロフィーは全てが隠しトロフィーのようで、端から見ても名前が分かりません。そのため、どのトロフィーを取得しているのかは分からない…
PS3のトロフィー情報からユーザーをプロファイリングする | 水無月ばけらのえび日記
公開: 2011年11月13日23時55分頃 PS3のトロフィー情報が公開されている話の続きです。 前回の話は、PlayStation®Homeのサイト (playstationhome.jp)でPSNユーザーのプロフィールが公開されており、一度でもログインするとトロフィーの詳細情報まで見えるようになる、というものでした。 そうは言っても、ゲームのトロフィー情報が公開されたところで大したことはない、と考える人も多いでしょう。ここでは、どんな情報が公開されているのか、その情報からどんなことが分かるのか、といったことを考えたいと思います。 どんな情報が公開されているのかトロフィーの詳細を表示すると、まず、トロフィーのあるゲームの一覧が表示されます。ユーザーによってはトロフィーがゼロのゲームも表示されていますので、トロフィーを取得したことがなくても、プレイすればここに表示されるようです。ただし、
Twitterのタイムラインは染まっている | 水無月ばけらのえび日記
公開: 2011年9月24日14時5分頃 こんなお話が……「情報リテラシーについて (blog.tatsuru.com)」。 命題そのものがどれほど正しくても、他の専門家たちによる「反証機会」が奪われている限り、それは「科学的」とは言われない。 それと同じく、情報リテラシーとは個人の知的能力のことではない。「公共的な言論の場」を立ち上げ、そこに理非の判定能力を託すことである。 情報の階層化とは、そのことである。 私が「情報貴族」と呼んだのは、「自分たちが所有している情報についての情報」を集合的なかたちで形成できる集団のことである。 「情報難民」と呼んだのは、原子化されたせいで、自分が所有している情報を吟味する「公共的な言論の場」から切り離されてしまった人々のことである。 この話で私が連想したのはTwitterのこと。Twitterでは、基本的に「フォロー」した人のツイートだけが自分のタイム
iOSのUDID問題 | 水無月ばけらのえび日記
公開: 2011年8月27日16時25分頃 iOS5以降ではUDIDが段階的に廃止されるらしい、という話に対して、それでは困るという話が出てきて盛り上がっているようですね。 UDIDに依存する人々とたしなめる人々 (togetter.com)iOS 5で、開発者がUDIDにアクセスすることを禁止 (yebo-blog.blogspot.com)UDIDは端末ごとに固有で不変のIDなので、つまりはケータイIDと同じようなものです。ケータイIDの場合には以下のような性質があり、 全てのサイトに同一のIDが送出される (IDは秘密情報ではない)送出するIDを改竄することが難しい (キャリアのゲートウェイを通るため)後者の条件があるため、危険だと言われつつも辛うじて成立しています (それでも、キャリアのゲートウェイを通ってきたことを確認する必要があったり、さまざまな条件があります)。しかしiPho
secure.softbank.ne.jp廃止できません!? | 水無月ばけらのえび日記
公開: 2011年7月15日2時10分頃 これは驚きました……「モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流 (d.hatena.ne.jp)」。 以下は、ログイン画面のURLがhttps://secure.softbank.ne.jp/~となっています。大手都市銀行は全てという感じです。 三井住友銀行三菱東京UFJ銀行みずほ銀行りそな銀行セブン銀行じぶん銀行住信SBIネット銀行楽天銀行新生銀行secure.softbank.ne.jpはホワイトリスト方式で残されるということでしたが、上記モバイルバンキングは、そのホワイトリストの対象なのでしょう。 なんということでしょう。 7月からは、secure.softbank.ne.jpで表示されるのは公式サイトのみ (かつ、ソフトバンクに申請したサイトのみ) になりましたから、公式サイトと無関係の者が罠コンテンツ
secure.softbank.ne.jp廃止の舞台裏 | 水無月ばけらのえび日記
公開: 2011年7月11日2時10分頃 secure.softbank.ne.jpが廃止されたことに伴い、なぜ廃止しなければならなかったのか、その背景についての解説が相次いで公開されています。 secure.softbank.ne.jp ヤバイの話 (subtech.g.hatena.ne.jp)SoftBankガラケーの致命的な脆弱性がようやく解消 (takagi-hiromitsu.jp)ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る (blog.tokumaru.org)secure.softbank.ne.jp ヤバイの話+ (subtech.g.hatena.ne.jp)先月まで、ソフトバンクのケータイサイトで https://example.com/ へのリンクを辿ろうとすると、以下のような動作になっていました。 ソフトバンクのケータイでサイトにアクセスすると、ゲートウ
続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記
更新: 2011年7月10日9時20分頃 徳丸本のあれこれを実践してみて気付いたことの続きです。 前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、速すぎて心細く感じるほどでした。 アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、それに伴って負荷が高くなるといったことは起きませんでした。 というわけで、もう少し遅くしてストレッチパワーをためた方が良いのではないかと考え、調整することにしました。 ハッシュアルゴリズムの変更まず、ハッシュアルゴリズムをSHA512に変更しました。徳丸本 (www.amazon.co.jp)ではSHA256が使われていますが、SHA512の方が遅く、生成されるハッシュ値も長くなります。遅い
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
PlayStation Networkのパスワードを短くした話 | 水無月ばけらのえび日記
公開: 2011年6月1日23時45分頃 PlayStation Networkが復旧したという噂を聞いたので、アクセスしてみることに。 PS3 (www.amazon.co.jp)に記憶させていたパスワードでログインすると、「お客様のパスワードはご利用いただけなくなりました。パスワードを変更する必要があります」と言われて、新パスワード入力画面に。パスワード入力とパスワード確認入力の欄はあるものの、旧パスワードの同時入力がないのが気になりました……が、機器認証済みのPS3からのパスワード変更ならCSRFも関係ないはずです。そこは気にせずにパスワードを入力することにしました。 パスワードの要件は、「英数字を含む8文字以上」と表示されています。8文字あれば良いとはいえ、PlayStation Networkはまだ攻撃者から注目を浴びている状態です。新しいパスワードは、できるだけ長くて強力なもの
ストレッチング採用の理由 | 水無月ばけらのえび日記
更新: 2011年5月30日10時50分頃 徳丸さんに誘われ、徳丸本 (www.amazon.co.jp)レビュアー中心に6名ほどで飲み食いしながら四方山話をしたり。 翌日に徳丸さんはこんなつぶやきをしておられますが、 同じく昨日の一言。「パスワードのストレッチングについては効果を疑問視する声もあったが、『教科書』にベストプラクティスとして載っている以上、最低限そこまではやるべきと主張して、徳丸本の通りに実装することにした」<こういう声は嬉しいですね 以上、http://twitter.com/ockeghem/status/73526372642988032 より これは私の発言ですね。せっかくなので、もう少し流れを補足しておきます。 サーバ側でパスワードを保存する際、パスワードそのものではなく、ハッシュ関数を通したハッシュ値を保存することが良く行われます。これによって、たとえDBの値が
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
徳丸さんのセキュリティ本 レビューの感想など | 水無月ばけらのえび日記
このように、レビュアーの皆様には、字句の間違い指摘というレベルを超えて、非常に本質的な「この脆弱性のなりたちは何か」という議論に及ぶこともあり、私自身非常に勉強になりました。 と、徳丸さんも書かれているように、誤字脱字の指摘が中心かと思いきや、そうでもありませんでした。「この脆弱性の本質は何か」とか「この保険的対策は実施した方が良いのか」といった、かなり奥深い部分から考え直す機会が何度もあり、面白かったです。しかも調子に乗って「追加でこれを書いてほしい」というリクエストまで出してしまい……。どう考えてもレビューの枠を超えていますが、それでも快く対応していただきました。本当にありがとうございます。 他に面白いと思ったのは、なぜか役割分担ができているように感じたことでしょうか。たとえばPHPを中心に見られている方、VMを中心に見られている方など、自然に担当が分かれるような感じになっていて、その
ドミノピザのサイトで経験値ガッポリ | 水無月ばけらのえび日記
公開: 2011年1月12日0時35分頃 ドミノピザのチラシを見て電話で注文しようかと思ったのですが、「ネット注文で5%引き」と書いてあるのに気付いたので、ネット注文を試みました。ドミノピザは食べたことはありますが、サイトから注文するのは初めて。 この注文までの手順がなかなか面白かったので、記録をかねて書いておきます。 スタート~トップページを表示するまでGoogleで「ドミノピザ」を検索してアクセス。「必要利用環境について」という画面が表示される。どうもスクリプト無効なのがいけないらしい。信頼済みサイトゾーンに追加してリロード。……画面変わらず。外部ドメインのJSを読んでいる可能性を考えてソースを確認。外部ドメインのJSは使われていない模様。もう一度リロードするも画面変わらず。ふとアドレスバーを見ると、http://www.dominos.jp/error/noscript.html に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
