高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
asahi.com(朝日新聞社):なぜ逮捕?ネット・専門家が疑問も 図書館アクセス問題 - ネット・ウイルス - デジタル
自作のプログラムを使っていたら、突然警察に逮捕された。図書館ホームページからの情報入手を巡る事件では、IT技術者から不安や懸念の声が上がっている。逮捕の背景には、図書館がコンピューターの管理をメーカー任せにしている問題があるほか、捜査当局のITの知識を疑問視する声も上がっている。 ある自治体の図書館で働く職員は「図書館はシステム面で当事者意識が乏しすぎる」と図書館側の問題を指摘する。指定管理者制度で一般企業から図書館に入ったが、引き継ぎ時にシステムの仕様書がなかった。「文系が多く、メーカーに『難しいことはわからないからやっておいて』という態度が目立つ」という。 事件の舞台になった岡崎市立図書館と同じソフトを使う別の図書館では、朝日新聞が不具合を指摘したのに対し、「システムのことは全部メーカーに任せている。その件でもきちんとやってくれると思う」と回答した。 日本図書館協会の松岡要事務局
Hiromitsu Takagi on Twitter: "UNIQLOのTwitterパスワード入力画面に「ここで入力された情報の通信はSSLにより暗号化されております」と出るようになったが、ブラウザのURLは http:// のまま。私が電話で伝えたことが理解されていない。「オレオレSSL」でしかない。"
UNIQLOのTwitterパスワード入力画面に「ここで入力された情報の通信はSSLにより暗号化されております」と出るようになったが、ブラウザのURLは http:// のまま。私が電話で伝えたことが理解されていない。「オレオレSSL」でしかない。
このURLは存在しません。
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
高木浩光@自宅の日記 - 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな)
■ 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな) 小6・中3 サイト侵入で補導, 朝日新聞 マイタウン徳島, 2010年2月19日 女児は「アバター」と呼ばれる自分の分身に、現金と交換する疑似通貨で服やペットを買って楽しむ会員制ゲームをしていて、他人のアバターの服(2200円相当)を盗もうと計画。昨年10月、徳島市の中学3年の女子生徒に「疑似通貨を増やすいい方法を教えてあげる」とネットを通じて持ちかけてIDとパスワードを聞き出し、不正にゲームに入ったとされる。 (略)女児は「いろんなアイテムがほしくて悪いことをした」と話しているという。 小学6年生の女子児童が不正アクセス禁止法違反で補導されたというニュースだが、今もこういう事件が起きているらしい。子供達は、何が悪いこととされたのか、本当にわかっているのだろうか。同じことは6年前にも書いたが、もう一度書いておく。
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
高木浩光@自宅の日記 - しょこたん☆をも嚇かすAVソフトの警告
■ しょこたん☆をも嚇かすAVソフトの警告 えごらっぴん, しょこたん☆ぶろぐ, 2008年1月12日 駆除できんぞおお だれかあああああ これほっとくと大変?感染しました アンチウイルスソフトが警告を出したようだ。写真からは次のメッセージが読み取れる。 トロイの木馬が検出されました ファイル C:\Document and Settings\shouko\Local Settings\Temporary Int... は、??????? トロイの木馬に感染していますが、ウイルスを駆除できません。 おそらく「Temporary Internet Files」のことだろうから、これは、Internet Explorerのcacheフォルダ(または Outlook Expressの添付ファイル等の展開場所)だろう。 これ自体は放置しておいても問題ない。トロイの木馬をダウンロード(あるいはメール
高木浩光@自宅の日記 - オレオレ警告を無視させている大学
■ PKIよくある勘違い(10)「正規の証明書でやっているので警告が出たとしてもそれは安全だ」 「サーバをオレオレ証明書で運用するのはケシカランことだ」という認識が普及してくると、こんどは逆に、こんな説明が流行するようになるのかもしれない。今のところ「よくある」という状況ではなく、稀にしかないようだが、こんな事例があった。 「セキュリティの警告」画面が表示される場合があります。 実際にログインしてご利用いただくサーバの証明書には問題はなく、セキュリティ上の心配はございません。「はい」をクリックしてご利用をお続けください。 このサイトは、実際のところ「Cybertrust Japan Public CA」発行の正規の証明書が正しく設定されているようだ。正しいサーバ証明書で運用されているのだから、利用者のブラウザ上でオレオレ警告が現れたなら、それはまさに盗聴されているときだ。それなのに、「はい
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
高木浩光@自宅の日記 - 三井住友銀行、「雨やどり」「お風呂あがり」で検索のテレビ広告で便乗フィッシングの危機(被害防止用エントリ)
■ 三井住友銀行、「雨やどり」「お風呂あがり」で検索のテレビ広告で便乗フィッシングの危機(被害防止用エントリ) 三井住友銀行のテレビCMで、「雨やどり」「お風呂あがり」で検索させるシーンが放映されているらしいが、現時点で、検索結果の上位に登場するサイトは「雨やどり」「お風呂あがり」のどちらも三井住友銀行の本物サイトではない。「雨宿り」「あまやどり」「お風呂上り」「おふろあがり」も同様だ。 Googleで「雨やどり」で検索した1番目は、現在のところ、露骨な性描写を含む二次元児童性愛倒錯ゲーム*1のサイトになっている。2番目以下もマイナーなページばかりだ。ちょっとしたドメインのページに三井住友銀行を装った偽サイトを作成されると、それが上位に出てきかねない。そのような偽サイトによる詐欺の危険性を低減するため、この日記が先に読まれることを期待し、次のとおり書いておく。 初めて訪れたサイトが、どこか
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.videonews.com/asx/news/news_601-1r.asx
https://b.hatena.ne.jp/HiromitsuTakagi/20100818
Hiromitsu Takagi on Twitter: "A4続き: 大変永らくお待たせしております。こちらで確認しましたところ、サイト上では暗号化されていることを確認することはできかねる状況でして、ただ、お客様にご安心してご利用頂けるような環境を確認してこのたび公開をさせていただいておりますので。Q5: でも、さっきも言いましたように"