■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする

早稲田大学は１日、セクハラなどの相談内容のリスト約３９０件分がファイル交換ソフトを介してインターネット上に流出したと発表した。 リストには、相談者の名前と所属、「ストーカー」「セクハラ」「パワハラ」など訴えの内容、相手の名前などが書かれていた。 同大によると、リストは１９９９〜２００５年に、学生らからの相談を受け付ける「ハラスメント防止委員会」の女性嘱託職員が作成した。今年７月、女性職員が受け付けた案件のデータを自宅に持ち帰り、データベース化の方法を尋ねるために知人の男性にメールで送信した際、男性のパソコンのファイル交換ソフトを介して流出したとみられる。 リストに載っていた相談内容は、その後の調査の結果、思い違いだと判明したケースもあるといい、必ずしも実際にセクハラなどがあったことを示すものではないという。同大広報室は「このような事態になり誠に遺憾。関係の皆様に深くおわびをしたい。再発防止

■ 日本のインターネットが終了する日 （注記：この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。） 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID（個体識別番号）を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』（以下、iモードID）機能を提供いたします。 （略） ■お客様ご利用上の注意 ・iモードID通知設定は

Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトＵＲＬ（https://www.bugin.cns-jp.com/）ではなく、ベースドメイン（https://www.cns-jp.com/）でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを

「銀行2.0はまだ来ない (takagi-hiromitsu.jp)」。 銀行に限らず「SSL2.0 と SSL3.0 を両方有効にしろ」という指示は結構あるのですが、そもそも、これらを両方とも有効にさせようとしている時点で何かがおかしいわけで……。おそらく、その指示を書いた人は「SSLを使っているらしい」という漠然とした理解しかない状態で、ひとまず「SSL」と名のつく設定を全部有効にさせようとしたのでしょう。 ※もちろん、SSL という名前がつかない「TLS 1.0」を有効にするような指示は思いつきません。:-) この手の記述の場合、リンクポリシーのケースと違って法務から文章が出てきたりはしないので、Web屋の責任である可能性が高いです。残念ながら、Web 業界には SSL/TLS について一通り理解している人って少ないと思うのですよね。少し前、某大手 Web屋 (弊社ではない) が作っ

■ 銀行2.0はまだ来ない 4月に、「IE7ユーザーにいまさらSSL2.0を使わせようとする銀行」というブログエントリを見かけた。それによると、Internet Explorer がバージョン7に移行し始めたことを契機に、「SSL 2.0を使用する」に設定変更するよう指示している銀行があるのだという。Internet Explorer 7がセキュリティ上の理由でSSL 2.0をオフに変更したにもかかわらずだ。 例えば武蔵野銀行は、4月の時点で図1の解説を掲示していた。 Internet Explorer7の場合は「SSL2.0を使用する」がチェックされていない場合が多いのでご注意ください。 他にも山形銀行が同様の解説を掲示していた。いったいどうしてこんなことになるのかと、問題点の指摘がてら、なぜ書いているのか聞いてみた（4月に電話で）。すると、だいたいこういうやりとりになった。 ある銀行：

前略プロフって知ってます？ 自分の公開したいプロフィールだけ書いて、プロフィール帳が作れるというcgiboyのサービスなのですが、ここのメインユーザーはおそらく女子高生*1。 そして、その輪は広がり、どんどん下の年齢も使っているらしいです。 小学校の先生も、たまに自分のクラスの児童で検索すると出てきてしまう、悪口をたまに書かれている（笑　とおっしゃっているくらい、浸透しているツールです。 もちろん、WWW上で公開されているわけですから、本来個人情報となるべきものは自ら取捨選択して実生活でのリスクを減らすのが普通でしょうが、このユーザーたちは違います。 顔写真（プリ写真）は当たり前、本名だったりあだ名だったり、出身地や生年月日、彼氏・彼女の有無・いる場合はどっちがSでどっちがMかなど（！）、ガンガンに書いてます。 もう一度言います。 それが小学生でも普通になっています。 そして、友達