公開: 2012年1月3日17時20分頃 AppLogやApp.tvが話題になったミログですが、「第三者委員会報告書」というものが出たようで。 第三者調査委員会の調査結果に関するお知らせ (milog.co.jp)報告書はPDFで、以下にあります。 株式会社ミログ 第三者委員会報告書 (milog.co.jp)委員会の名称が「第三者調査委員会」なのか「第三者委員会」なのか良く分かりませんが、いずれにしても中立的な第三者による調査ということですね。 しかし内容を見ると、かなり違和感のあることが書かれています。 ミログがapp.tv 及びAppLog を用いて行おうとしていたターゲティング広告それ自体については、ユーザーに対しても有用な広告が配信されるといったメリットが与えられるものであり、ユーザーに対し、収集される情報に関して十分な説明が行われ、その上でユーザーの同意が取得される場合には、こ

更新: 2011年10月31日1時5分頃 いろいろと話題になっていたAppLog、「10月26日に次の一手を発表」と予告されていて、いろいろな期待や予測がなされていましたが……結局、発表されたのはこれでした。 AppLogSDKサービス終了のお知らせ (milog.co.jp)サービス終了だそうで。サービス終了の発表を「次の一手」として予告するのも変ですから、本来はもっと別な発表を予定していたのでしょう。しかし、その予定が流れてしまったのだと思います。おそらくは、パートナーとの契約を白紙に戻されてしまったのでしょう。 いちおう、おわびの言葉が出ていますね。 アプリケーションの利用者様から取得させて頂いた情報の扱いに関しては、第三者委員会をはじめ外部有識者の指導に従い適切に管理、破棄等の手順を踏ませて頂きますと同時に、情報取得を一切停止することを維持するために必要な運営管理を継続的に行って参

公開: 2011年9月24日14時5分頃 こんなお話が……「情報リテラシーについて (blog.tatsuru.com)」。 命題そのものがどれほど正しくても、他の専門家たちによる「反証機会」が奪われている限り、それは「科学的」とは言われない。 それと同じく、情報リテラシーとは個人の知的能力のことではない。「公共的な言論の場」を立ち上げ、そこに理非の判定能力を託すことである。 情報の階層化とは、そのことである。 私が「情報貴族」と呼んだのは、「自分たちが所有している情報についての情報」を集合的なかたちで形成できる集団のことである。 「情報難民」と呼んだのは、原子化されたせいで、自分が所有している情報を吟味する「公共的な言論の場」から切り離されてしまった人々のことである。 この話で私が連想したのはTwitterのこと。Twitterでは、基本的に「フォロー」した人のツイートだけが自分のタイム

公開: 2011年1月12日0時35分頃 ドミノピザのチラシを見て電話で注文しようかと思ったのですが、「ネット注文で5%引き」と書いてあるのに気付いたので、ネット注文を試みました。ドミノピザは食べたことはありますが、サイトから注文するのは初めて。 この注文までの手順がなかなか面白かったので、記録をかねて書いておきます。 スタート～トップページを表示するまでGoogleで「ドミノピザ」を検索してアクセス。「必要利用環境について」という画面が表示される。どうもスクリプト無効なのがいけないらしい。信頼済みサイトゾーンに追加してリロード。……画面変わらず。外部ドメインのJSを読んでいる可能性を考えてソースを確認。外部ドメインのJSは使われていない模様。もう一度リロードするも画面変わらず。ふとアドレスバーを見ると、http://www.dominos.jp/error/noscript.html に

公開: 2010年8月17日0時55分頃 岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件（岡崎市中央図書館事件） (aiailifeyanase.cocolog-nifty.com)」。 そこで、私も図書館の担当者に聞いてみました。 「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この５年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなＷｅｂサイトの利用形態などは５年前には想定できなかった。」 とのことでした。 それはないでしょう。「５年前には想定できなかった」などということは、あり得ないと言って良いと思います。 絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働し

更新: 2010年6月1日11時35分頃 「KDDIの固体バカが言う「EZ番号はプライバシーに関する情報ではない」 (takagi-hiromitsu.jp)」。 「固体」ではなく「個体」が正解なのですが、KDDIのドキュメントには「固体」と記述してあるという。まあ、それは単なる変換ミスの類でしょうが、問題なのはその記述の内容の方ですね。 ■EZ番号はお客さまがURLにアクセスした際にサイト提供元のサーバに通知され、会員のアクセス管理などに利用されますが携帯電話番号やメールアドレス、氏名などのプライバシーに関する情報は含まれておりませんのでご安心ください。 以上、[000021]EZ番号（固体識別番号）を変更したい。 より ※2010-06-01追記: 上記の記述は削除されたようで、現在は確認できません。 確かに、EZ番号それ自体には個人情報は含まれていないでしょう。しかし問題は、個人情報

更新: 2010年4月8日1時45分頃 子ども手当に関して、いろいろなデマ情報が飛び交っているようですね。見た瞬間に「これはありえない」と思えるようなものもリツイートされてくるのですが、笑い話としてリツイートしているのか、本気で信じているのか、判断に苦しみます……。 とりあえず、厚生労働省のサイトに「厚生労働省：子ども手当について (www.mhlw.go.jp)」というコンテンツがあります。受給の要件なども書かれているので、「そんなアホな!?」と思ったら、リツイートする前に一読してみると良いのではないかと思います。 そんなあれこれに対応するためなのか、新たに「子ども手当について 一問一答」というドキュメントが追加されたようです。たとえば、以下のような項目について回答されています。 児童養護施設に入所している子どもにも子ども手当は支給されますか。子ども手当は在日外国人の子どもが海外に居住す

更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)ＰＣゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ

更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情

公開: 2009年10月10日21時0分頃 Winny裁判は高裁では無罪ということで、まあ妥当な判断だろうと思います。それはそれとして……「この5年間は裁判に勝つことが自分の仕事だった」無罪判決を受け、Winny開発者・金子勇氏が会見 (internet.watch.impress.co.jp)。 一審の最終意見陳述で金子氏は、「情報漏えい問題に対応した改良版のWinnyを開発したが、現状ではこれを公開することもできない」と語っていた。判決が確定すれば改良版のWinnyを公開するかという問いに対しては、金子氏は「何がベストかを良く検討したい」とコメント。壇弁護士は「今回の判決であれば、情報セキュリティの観点からは、少なくとも（Winnyの）バッファオーバーフローの脆弱性については対応したい」と語った。 漏洩問題に対応というのが、具体的にどういう内容なのかが気になりますね。 Winnyにはバ

公開: 2009年10月3日16時35分頃 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。 はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。 つまり、こういうことですね。 docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていたその際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されてい

更新: 2009年6月1日12時7分頃 「NoScript」をやめて「RequestPolicy」にした (takagi-hiromitsu.jp)。見出しはFirefox拡張機能の話に見えますが、話の内容としては「スクリプト無効は万人にオススメできるのか?」という話ですね。 ある脆弱性が発見されてパッチがまだ出ていないときに、回避策としてJavaScriptのオフが紹介されることがよくあるが、それはその脆弱性についての回避策（の一つ）であって解決策ではない。そこを混同させて語るのはやめてもらいたい。 確かによくありますね。IPAの「ブラウザ（Internet Explorer等）のセキュリティ設定をする (www.ipa.go.jp)」も無効にする方法を説明していますし、ITProのセキュリティ検定も「スクリプト無効で攻撃が防げる」などと言っていました。 しかし実際のところ、スクリプト無

と書くと、「危険な文字」とみなされた "expression" と "cookie" がサニタイズされて以下のようになります。

using System.Net.Mail; ... MailAddress m = new MailAddress("foo.@example.com"); ハンドルされていない例外: System.FormatException: 指定された文字列は、電子メール アドレスに必要な形式ではありません。 場所 System.Net.Mime.MailBnfHelper.ReadMailAddress(String data, Int32& offset, String& displayName) 場所 System.Net.Mail.MailAddress.ParseValue(String address) 場所 System.Net.Mail.MailAddress..ctor(String address, String displayName, Encoding displayNa

ヤラレチャッタ。 予告.inが不正コード被害、閲覧で２ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)「予告.in」に不正コード埋め込み　閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。 そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。 ※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全

……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ