« 2009年9月 | トップページ | 2009年11月 »

終焉ノ参~救イの無い世界~

たとえば、某Y!系列のほとんどのサイトでは、何を考えてるのか、HTTPレスポンスに必ずログインIDに含まれる文字列を入れちゃってくれたりする。

つまり、認証に必要な情報のうち、半分は盗まれ放題だということだ。
キャッシュカードやクレジットカードを落とした状態と同じと考えればよいかも知れない。

さらに、ほとんどの場合、恐らくは、それがメールアドレスを構成する文字列だったりする。

どんなに隠ぺいしたいと願っても、たとえHTTPSによる認証を間に入れようとも、データ自体非HTTPSであれば、その願いは無駄である事実は前回のとおりだ。

続きを読む "終焉ノ参~救イの無い世界~"

| | コメント (0)

終焉ノ弐~ソノ先が無いモノ~

IPAに関しては、素人の報告は無視って以外に、研究目的として、新たな脆弱性にしか興味はないということも考えられる。
やつらにとっては新たな脆弱性が誘因物なんだろうぜ。

脆弱性ってのは新たに生まれるばかりではなく、過去は問題にならないと思われたことが、環境変化により顕著化するという場合もある。

因みに、HTTPSからHTTPに変更しちゃうのは、やつらの言葉で言うと、セキュリティレベルの低下なんだとさ。
脆弱性とどう違うっちゅうねん。

 

HTTP通信はそんなに危険か、ということについては過去記事などを見てもらえればよいけれど、一般に、広く知らせたい情報や、表示カスタマイズ程度のプロファイル制御だったら、問題はない。
たとえば、単純なHTMLコンテンツでGETアクセスだけ、フォームもCGIもないサイトであれば、HTTPだけでもお釣りがくる(ってことはないけど)。

続きを読む "終焉ノ弐~ソノ先が無いモノ~"

| | コメント (0)

終焉ノ序~オワリのハジマリ~

ココログ管理サイトのセキュリティに不安が残り、使い続けるデメリットが大きくなったので、近々このブログを終了する予定。

ただ、移転先の準備とか仕掛けが必要なのと、書いておくべきことはあるため、もう少しだけ続く。

とりあえず、ココログ管理ページ情報漏れの中間メモとかまたココログ管理サイトのことについてだけどさ・・・・ココログ管理サイトって、先月からセッションハイジャック対策できてないらしいって、知ってた?について、何回かに分けてだが、書いておこうと思う。

※以下、俺の私見が多く含まれると思います、というか、冷静に記述できる自信は全くない。

続きを読む "終焉ノ序~オワリのハジマリ~"

| | コメント (0)

diskpartでフォーマット

Office使えなくなったことによる環境再構築に時間かかりすぎ。

フルマルチCブートはかなり構築に時間がかかる。

で、ふと、共通領域DドライブのフォーマットをNTFSじゃなくしたらと思ったのだ。

そう、ファイルサイズ制限の無い、exFATってフォーマットがあるじゃないですか。

続きを読む "diskpartでフォーマット"

| | コメント (0)

脆弱性とは何か

俺は、脅威に対する認識の欠如だと思うのだけどね。

認識欠如したソフトウェア・アプリケーションだけじゃなく、認識欠如した人間が運用するシステムも脆弱性を内包していると思うのだよ。

内部統制的に考えると、脅威=リスクをあらかじめ網羅しておいて、対策をするかしないか、費用対効果を考えて対応するとか、そんなことが必要なのだが、可能ならば、負のリスクはすべて網羅し、対策すべきことだと思う。

対策するしないは置いて、脅威を網羅できるかどうかってのが結構重要だと思う。

ただ、内部統制の話ではなく、ソフトウェアやアプリケーションやシステムの話なので、通常脅威と思われていることに対する可能な限りの対策をすることは、そんなに難しいことじゃないけれど、どうしてもサービスを提供するシステム側でしかできない対策もあるってことで、話をはじめたいのだが、今日は、諸般の事情から前ふりだけで終わる。

| | コメント (0)

重複を削ればもっとわかりやすい

昨日のXSLTではとりあえず表示できればいいと思っていたんだけど、ソートしてみるといくつかの重複に気づく。
そして、重複データを気にしだすと夜も眠れない。

重複データを削除するには、DBだったらdistinctとかするんだろうけど・・・

続きを読む "重複を削ればもっとわかりやすい"

| | コメント (0)

MSDNサブスクライバーダウンロードとかのプロダクトキー一覧をXMLでエクスポートしたはいいけど、XMLのままだとちょっと見難いので、XSLT埋め込みテクノロジを流用してみた

長い表題だけど。

要は、これと同じ。

続きを読む "MSDNサブスクライバーダウンロードとかのプロダクトキー一覧をXMLでエクスポートしたはいいけど、XMLのままだとちょっと見難いので、XSLT埋め込みテクノロジを流用してみた"

| | コメント (0)

Office 2007が起動しなくなる罠

いつからかは不明だが、Microsoft Office 2007系列の各種アプリケーションが起動に失敗するようになった。

あるんだけどxllex.dll見つからないとか、再インストールしてもダメとか、例外を吐いて落ちるときに再起動するにチェックが入ってて無限ループになるとか、そんなどうしようもない状態に。

ExcelもWordもPicture Managerも、さらにはVisioなども・・・

あのマニュアルを作成したから、今月頭までは使えてたはずだ、なのに・・・。

続きを読む "Office 2007が起動しなくなる罠"

| | コメント (0)

70-505

試験受けるのも久しぶり。
#というのも、秋情処は、かなり嫌なことがあったのと、体調崩してたので。

続きを読む "70-505"

| | コメント (0)

速くしてみる?

144Mbpsまで対応と謳われてるアクセスポイントを使っているんだけど、54M接続で使っていた。

144M接続できるように設定する方法、わからん状態でウニャウニャしていたわけだ。

クライアントは Intel(R) Wireless WiFi Link 4965AGN 積んでるので、300Mまで対応してると思うんだけど・・・

アクセスポイント側の設定を弄った末、72M(半分)まで認識するようにはなったっぽい。

続きを読む "速くしてみる?"

| | コメント (0)

[PR] SHA-256ってどうよ

どうと言われましても、既出ですが宣伝です。

続きを読む "[PR] SHA-256ってどうよ"

| | コメント (0)

shugiin.go!

いいよね、衆議院。

続きを読む "shugiin.go!"

| | コメント (0)

積極的自衛のその後

積極的自衛権の発動のその後なわけだが。

マイニフティへのログインも、こんなURLにすれば、httpsから落ちない(つまり、無限ループに入らない)ことが分かったんだけど、各種[設定]を辿ると、認証後にhttpに落ちるらしく、無限ループ。
この設定時無限ループに対する対応策は見つかっていない。

でも、一体なぜhttpに落ちる必要があるのかねぇ・・・

| | コメント (0)

あの新型インフルエンザにも有効な、ウィルスを退治しちゃうイオンプラズマなんとか搭載な空気清浄機とかって、本当に良いの?

いつまで新型って言い続けるのかってのはあるけど。

なんていうか、ウィルス完全分解できちゃうってことは通常の細菌も何もかも分解しちゃって、無菌化されちゃうってことかなと考えてみる。
いわゆる無菌・無ウィルススペースができちゃうわけだよね。

・・・それって自然の状態じゃないよね。

続きを読む "あの新型インフルエンザにも有効な、ウィルスを退治しちゃうイオンプラズマなんとか搭載な空気清浄機とかって、本当に良いの?"

| | コメント (0)

そういや、XPモード(の恐らくRTM)が

MSDNでダウンロードできるようになってた。
発売日までにはインストールする予定。

XPモードは、64bit Windows 7なら、64bitで不具合が起こったりするときの対処として、とりあえずインストールしといて損は無いはず。
#というわけで、64bitを選択する場合、ある程度の上位エディションを選ぶべきだと思う。
XPとの(VHDネイティブを含む)マルチブート構成でも対処できるから、どうしようもなく困るってことは無いはずだけど。

| | コメント (0)

積極的自衛権の発動

超積極的自衛。
http://*.nifty.comをIE8の制限付きサイトに指定した。

制限付きサイトはCookieを飛ばさなかったりスクリプト無効になったり、不便なのだが、危険回避のためにやってみたところ、スタイルシートも無効化されて見栄えも変わる。

それでも、生htmlだけでほとんどのサービスは利用できる。
#あまり多くを利用しているわけでないけど。
あ、たぶんとかなんかそれ系なQ&Aサイトは使えなくなる。

続きを読む "積極的自衛権の発動"

| | コメント (0)

[メモ] 仮想ディスクを入れ替えても、ディレクトリ構造が残ってる場合

常識?かも知れない。

現象が発生するときは、ディスク入れ替えして使いたいときだから、大抵困ることになる。
MagicDiscを利用しているのだが、ときどき、これが発生する。
確か、VirtualServer上で、仮想マシン&ISOイメージでも発生したと記憶する。

ISOイメージを入れ替えても、ボリュームラベルは変わらないし、ディレクトリ構造が残ったままだから、ほとんどの場合、ファイルサイズが0と表示されて、実行ファイルなどは当然のごとくエラーとなる。

基本的に、OS再起動で対処してきたのだが、どうやら、別段仮想ディスクツールがおかしいというわけではないことが分かってきた。

続きを読む "[メモ] 仮想ディスクを入れ替えても、ディレクトリ構造が残ってる場合"

| | コメント (2)

[メモ] 符号有無を変えるだけのキャストを間違えないように

バグかよ>俺
再発防止策。

今後もひょんなところで間違えちゃったりするかも知れないので、本当は、専用クラス作って、operator()とか実装したり、なんかするといいんだろうし、多分、探せばあるんだろうけど、まぁ、数行で対応できるので。

#define DEF_changesigntype(T) \
    inline unsigned T to_unsigned(T x) { return (unsigned T) x; } \
    inline unsigned T to_unsigned(unsigned T x) { return x; } \
    inline T to_signed(unsigned T x) { return (T) x; } \
    inline T to_signed(T x) { return x; }
DEF_changesigntype(char)
DEF_changesigntype(short)
DEF_changesigntype(int)
DEF_changesigntype(__int64)

これで、整数型符号有無変換キャスト関数to_unsigned、to_signedオーバーロードのできあがり。
共通ヘッダ(stdafx.h)にでも仕込んどけばいいと思われ。

char a = –1;
int b = to_unsigned(a);

ちゃんとbに255が得られる安心感。
define使うのがちょっと気持ち悪いけど、キャスト指定をコードに直接書くよりは遥かにマシではなかろうかね?

| | コメント (0)

シェアウェア登録方法がよく分からん

ん~、本当によくわからにゃい・・・

Vectorさんの手順に沿ってやったはずなのに、なんか必要な情報を登録しないと公開しないってなってるのに、登録前に公開されちゃうし・・・にゃ~

そのうちちゃんと表示されるだろうと思うから、作品に関してはそのときにちゃんと書こうかね。

にしても、正解が分からんのぉ・・・

今後も失敗し続けそう・・・

| | コメント (1)

分かりやすい?たとえ

とても的外れかも知れないけど、書いてみようと思う。

 

いつも車はレンタルでした。
レンタカー会社は近所にありました。
他のレンタカー会社は非常に非常に遠く、もし、別のレンタカー会社を選ぶとすれば、引っ越しするしかありません。
今の住居には駐車場が無く、近所にもスペースが無いため、車を購入するにしてもやはり引っ越す必要があります。
引っ越しは費用もかかるし、何より、車のためだけに住所を変更するのは面倒です。
幸いにも、その近所のレンタカー会社の車はとても走りやすいものでした。

さて、その日も近所のレンタカー会社の車を借りました。
しかし、どうも走りがおかしいと感じました。

調べてみると、サスペンションやタイヤを変えられて、車が路面の凹凸を吸収できなくなってしまったようです。
実際に普通ならサスペンションで吸収できそうな凹凸を設置して、私有地で走ってみると、確かにそのようです。
でも、レンタカー会社にはそんな注意書きは一切ありませんでした。
また、レンタカー会社との契約には、路面の凹凸を吸収するような車を提供すると明記されているわけではありません。

しかし、腰を痛めたり、ハンドルを取られて事故を起こしそうになる危険性を感じました。
実際に凹凸のある道路のある場所を知っているわけではありませんが、凹凸は簡単に作れることを知っていますし、いつ遭遇してもおかしくありません。

その対応策の一つがサスペンションだったりします。

続きを読む "分かりやすい?たとえ"

| | コメント (0)

見えない・・・

Windows 7でファイル(xll)のプロパティを見たら、バージョン情報タブが無い・・・

FAQレベルだろうけど、どぅやったら出るんだろう?

exeやdllの場合、詳細タブにある程度は表示される・・・でも、xllの場合は表示されない。
#拡張子をdllにしたら表示されたけど・・・
ある程度というのは、たとえば、コメント情報は見えない。

どうやりゃ全部見えるようになるの?

| | コメント (0)

バグかよ>俺

ポカやってた。

キャスト失敗っす。

ごめんなさい

自戒のため晒す。

続きを読む "バグかよ>俺"

| | コメント (0)

IIS7でよさげなフロントエンド

Application Request Routing

よさげ。

これ使えば、ISAサーバとか立てなくてもIISそのままリバースプロキシにできちゃうっぽい。

条件付きURL書き換え機能も付いてる。

なんだけど、設定方法がよくわからん・・・

| | コメント (0)

SSLを要求するとSSLできないわけがないのに、Cookieを見つけると、非SSLにリダイレクトしちゃうダメサイトもあるって話

あんまりこういうのは記事化したくないんだけどさ。
とあるサイトのはなし。
#ココログ管理サイトではない。今のココログ管理サイトはもっと酷い。

https://~を要求すると、ちゃんと暗号化ページを表示できるのに、1度でもログインしてしまうと、それの痕跡がCookieに残っているため、ログアウトさせるためなのか知らないけど、http:://~にリダイレクトさせる、そんなサイトがある。

続きを読む "SSLを要求するとSSLできないわけがないのに、Cookieを見つけると、非SSLにリダイレクトしちゃうダメサイトもあるって話"

| | コメント (0)

ネット上から消される危険性を感じている件について

take_onさん、コメントありがとうございます。

こんばんは。はじめまして、take_onと申します。

同じ時に、自分の質問も消されました。
とはいっても、内容は全然つまらないもので、
主にココログへの苦情だったのですが。

自分のブログも消されてしまうのかなぁ。
4年近くも続けていたのに...。

コメントへ

誰かにとって、まずいことを書いてしまったんでしょうね。
または、誰かによって通報されたとか。
みんなでつくるQ&Aサイトみたいなものは名ばかりの、少数の古参者の意図とか馴れ合いの中でしか成立しないコミュニケーションスペースだったのかも知れません。

続きを読む "ネット上から消される危険性を感じている件について"

| | コメント (0)

なんだ、1年も前に記事になってんじゃん

グーグル、クッキーの安全強化のためSSLを変更:ニュース - CNET Japan

ログインだけSSLじゃダメ
なんで、わざわざセキュリティレベルを落としたんだろう?

| | コメント (0)

記事改ざんあるいは勝手に新規投稿の検証もやったほうがいいですか?

やれば、はっきりすると思うんだけど・・・
過去記事過去記事

とりあえず、モブログ設定を弄れたら、投稿され放題になると思うんだよね。
#弄らなくても参照できちゃうだけで放題化の可能性は大。

だけど、一銭にもならんし、自分がどんな泥船に乗ってるか証明するようなものだからなぁ・・・

| | コメント (0)

移転先が無ければ作ればいいじゃん

外部のサーバ機能を利用すると、メンテナンスとか運用とか考えなくていいってメリットがあるので使ってたんだけど、細かい設定ができなかったり、漏れちゃうかもって危険性を感じたりするデメリットがあったりするわけだ。
#つうか、新たなデメリットが発生したわけだよ、まったく!!、あぁ、まったく!!!

続きを読む "移転先が無ければ作ればいいじゃん"

| | コメント (0)

俺流簡易パケット解析法

取り急ぎ、書いておく。

パケット採取ツールで取得したパケットダンプの解析方法だ。
まず、テキスト化16進ダンプの方を見る。

プログラムを見れば分かるけど、頭の24バイトまでのうちいくらかは解析済み。
どことどこが何番ポートでしゃべってるかを判断できる。
テキストベースのプロトコルで代表的なところだと、HTTPなら大体80番ポートでおしゃべりするし、SMTPは25番、POPは110番とか。
#けれども、絶対ではない。

続きを読む "俺流簡易パケット解析法"

| | コメント (0)

ネット上から消される危険性を感じている

WEB上のとある場所(ココログ関連)から予告なく俺に関連するデータ(投稿)が消されているようだ。
#単純なアクセス拒否かも知れないけれど、アクセスできない点では同じ。

同様にこのブログも消滅させられるかも知れない危機感を覚えずにはいられない。

間違ったこと書いてるなら、指摘すればいいだけなのに、消されるってどういうこと?
反論できない?

続きを読む "ネット上から消される危険性を感じている"

| | コメント (1)

自作Excelアドイン関数のXLLがベクター登録でダウンロード可能に。MD5対応版

記事の投稿はWindows Live WriterがTypePadのXML-RPC API使ってくれてるっぽいんで、暗号化されるんでそこは安心なんだけど、ウェブページの投稿に対応してないんだよな、なんでだろ・・・というのは、一旦置いといて・・・

宣伝です。
Excelのアドイン(今のところMD5ダイジェストが計算できる関数のみ)をVectorさんに登録完了しましたよ。
詳しく(ないけど)はこちらを参照のこと。
Windows 7(x64)でも動作確認済みでござる。
#Vector Award 2009 とかあるみたいだけど、投票しないくていいです。

いろいろあった(一部現在進行形?)ので、予定より1カ月遅れ。
いやぁ、Office95とか、久しぶりに触ったよ。
あれ、XP上だと、XPスタイルに対応してないのに、無理にXPスタイルにするもんだから、最小化ボタンとかの見た目と実体がずれちゃうのな。
やはりGUIはいろいろ気をつけないとな。
#アドインに直接GUI部分はありません。

済まないけど、テスト版で過去アップしてたものは隠蔽させていただきました。

| | コメント (0)

またココログ管理サイトのことについてだけどさ・・・・ココログ管理サイトって、先月からセッションハイジャック対策できてないらしいって、知ってた?

マジ、やばいって。

まず、セッションハイジャックができるかどうか確認する方法を考えてたんだけど、ひょっとして、Cookieさえ同じなら何とかなるんじゃ?って思ったのがこの記事の始まりだ。

暗号化されていなければ、Cookie採取は簡単だよね、っていうか、リクエストヘッダ丸ごと採れるよ。
80番アクセス(HTTP)ならtelnetで十分。

続きを読む "またココログ管理サイトのことについてだけどさ・・・・ココログ管理サイトって、先月からセッションハイジャック対策できてないらしいって、知ってた?"

| | コメント (2)

« 2009年9月 | トップページ | 2009年11月 »