はてなブックマークボタン設置サイトがトラッキングをしていた問題 | 水無月ばけらのえび日記
公開: 2012年3月15日2時15分頃 2011年9月からとのことですが、正直申しまして、全く気づいておりませんでした……。 はてなブックマークボタンは2011年9月1日より行動情報の取得をしている (d.hatena.ne.jp)ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会 (d.hatena.ne.jp)はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ (matome.naver.jp)はてなブックマークボタンを外しました (blog.tokumaru.org)はてブボタンを表示するスクリプトがスパイウェア的な挙動をしていたことが話題に (it.slashdot.jp)はてなブックマークを経由したトラッキングに関するお詫び (www.nantoka.
管理者パスワードは定期変更ではなく、ルールを決める | 水無月ばけらのえび日記
公開: 2012年2月12日21時35分頃 このお話は興味深いですね……「「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 (d.hatena.ne.jp)」。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい そもそも、「定期的に変更するように義務づけ」ているのに、変更のスパンを決めていないというのがひどい話です。それでは、たとえ「100年に一回」でもポリシーを満たすことになってしまい、義務づけの意味がありません。しかし、実際にはそういうポリシーが多いというのが現実でしょうね。 徳丸さんの答えはこちら。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っ
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
トルネのトロフィー情報から分かること | 水無月ばけらのえび日記
公開: 2011年11月15日2時20分頃 ※この日記にはトルネ (www.amazon.co.jp)の隠しトロフィーに関するネタバレが含まれています。隠しトロフィーの情報を知りたくない方はご注意ください。 「PS3のトロフィー情報からユーザーをプロファイリングする」の続きです。既に高木さんが「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている (takagi-hiromitsu.jp)」という記事を書かれていますので、興味のある方はそちらも参照してみると良いでしょう。 さて、私のトロフィー情報は「プロフィール - MinazukiBakera (playstationhome.jp)」で公開されていますが、ここにはトルネのトロフィーもあります。 トルネのトロフィーは全てが隠しトロフィーのようで、端から見ても名前が分かりません。そのため、どのトロフィーを取得しているのかは分からない…
PS3のトロフィー情報からユーザーをプロファイリングする | 水無月ばけらのえび日記
公開: 2011年11月13日23時55分頃 PS3のトロフィー情報が公開されている話の続きです。 前回の話は、PlayStation®Homeのサイト (playstationhome.jp)でPSNユーザーのプロフィールが公開されており、一度でもログインするとトロフィーの詳細情報まで見えるようになる、というものでした。 そうは言っても、ゲームのトロフィー情報が公開されたところで大したことはない、と考える人も多いでしょう。ここでは、どんな情報が公開されているのか、その情報からどんなことが分かるのか、といったことを考えたいと思います。 どんな情報が公開されているのかトロフィーの詳細を表示すると、まず、トロフィーのあるゲームの一覧が表示されます。ユーザーによってはトロフィーがゼロのゲームも表示されていますので、トロフィーを取得したことがなくても、プレイすればここに表示されるようです。ただし、
第2回「アクセシビリティBAR」秋の文字サイズ変更ボタン祭り 開催 | 水無月ばけらのえび日記
公開: 2011年10月15日22時30分頃 「秋の文字サイズ変更ボタン祭り」、無事に開催されました。 このテーマを発案したのは私なので、責任を取って (?) スライドを作ったり。以下に置いておきますので、興味のある方はダウンロードしていただければと思います。けっこう急いで作ったので枚数が多く、重いです。 a11ybar02-autumn_01.pptx (PPTXファイル 11MB)a11ybar02-autumn_01.pdf (PDFファイル 20MB)会場はカラオケのお店なのですが、カラオケ用のモニターにPCを繋ぐことができるようになっています。そのモニターの解像度が低く、そのおかげで「まず文字サイズ変更ボタンがどこにあるか探す」というのがちょうど良い具合の難易度になりました。 ちょっと残念だったのは、おおむね文字サイズ変更ボタンに否定的な参加者ばかりが集まってしまい、擁護や推進の
なぜ人はTwitterに顧客の悪口を書いてしまうのか | 水無月ばけらのえび日記
公開: 2011年9月3日13時40分頃 こんな記事が……セキュリティ&プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。 セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。 それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか?」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露する
アドレスバーはXSSを防げるか | 水無月ばけらのえび日記
結局、「アドレスバーを見ただけでXSS型のフィッシング詐欺を判別できる人がどれだけいるのか」という問題。日頃ブラウジングをしていて何気なく出てきたフィッシングを、アドレスバーを見ただけで一発で見分けられるのか。 そもそも、アドレスバーでXSSの防止が期待できると主張している人がいるのでしょうか……? ここで言われている「XSS型のフィッシング詐欺」という攻撃は、入力フォームにXSS脆弱性があって入力欄や送信先を改竄できてしまうパターンだと思います。この手の入力フォームはたいていPOSTで動作するようになっていますので、XSS攻撃もPOSTで行われることでしょう。POSTによるXSSではアドレスバーに攻撃の気配は全く現れませんので、どんなにアドレスバーを凝視してもXSS攻撃を見分けることはできません。 ※中にはGETで攻撃できるフォームもありますが、例外的なケースだと思います。 ですから、そ
WEBインベンターがCookieを使うようになった | 水無月ばけらのえび日記
公開: 2010年4月11日21時50分頃 「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。 WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。 追加された機能は、次の4つです。 (1)クッキーによるログイン方式。 (2)指定したIPアドレスからのみ管理プログラムにアクセスできる。 (3)パスワードの暗号化。 (4)メールフォームのスパム対策など。 以上、管理プログラムのセキュリティーの向上 より パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。 サンプルのログイン画面にアクセス: http://w
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
デバイスに依存するFlashコンテンツは新デバイスに対応できない | 水無月ばけらのえび日記
「iPadにFlashは来ない? タッチスクリーンとFlashの根本的問題 (slashdot.jp)」。アクセシビリティやユーザビリティを専門としない人には、ちょっと分かりにくそうな話ですね。 既存のFlashサイトをそのまま設計通りに動作させるのは難しく、また表示することだけを実現してもユーザーにとっては満足度の高い実装とはならないとのことだ。 要するに、iPadでは既存のFlashコンテンツがロクに動かない可能性がある、という話です。……と、こう言われても、ぴんと来ない人が多いかもしれません。Flash Playerやオーサリング環境をどうにかすれば解決するのではないか、と疑問に思われる方もいそうですね。 たとえば、こんな感じのFlashコンテンツを見たことがないでしょうか。 Flashコンテンツの中に、商品写真が横一列に並んでいる。商品をクリックするとリンク先に飛ぶ。商品写真のリス
Gumblarによる改竄発生中 | 水無月ばけらのえび日記
更新: 2010年1月12日15時35分頃 「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。 原因・経緯(12月26日更新) ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。 以上、Hondaホームページ 「ストリーム」サイトに関する報告とお詫び より 4.原因・経緯 ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場・課金システムの問題についてのアナウンス | 水無月ばけらのえび日記
更新: 2009年11月5日14時11分頃 サンシャイン牧場の件ですが、mixiから「重要なお知らせ mixiアプリ「サンシャイン牧場」の不具合について」というアナウンスが出ています。例によってmixi会員でないと読めないと思いますが……。 長いですが引用しておきます。 mixi運営事務局です。 Rekoo社が提供するmixiアプリ「サンシャイン牧場」の課金サービスに関して、一部のユーザー様より不具合に関するお問い合わせを頂戴しておりますので、お知らせいたします。 Rekoo社に確認しましたところ、Rekoo社が提供している課金サービスに不具合があり、誤課金等の事象が発生したことを確認いたしましたため、当社は、Rekoo社に対して、不具合の原因の究明及び対策の実施を要請いたしました。 現在、課金サービスに関する不具合は解消されております。 本不具合に関する詳細な経緯、状況につきましては、下
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
bAサイトのリニューアルと新CMSのベータテスト | 水無月ばけらのえび日記
日本ウェブ協会アカデミックプログラム Vol.7「HTML仕様書を読む」: Twitterまとめ | 水無月ばけらのえび日記
WASForum Conference 2010: オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 | 水無月ばけらのえび日記
エンディングにありがちなこと: 東京タワーに突き刺さる | 水無月ばけらのえび日記
go.jp.bakera.jp