2010年05月26日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1会社案内のページ[会社]次の記事 >> このエントリーをはてなブックマークに追加

しばらく前から、会社のページを作らないといけないと思っているのですが、なかなか着手できないでいます。
紺屋の白袴と言いますか、ネットをビジネスにする会社が案内のページを作っていないというのは、お客さんに対して説得力を欠く訳で、これはいかんと思いました。
「デザインが…」とか「色のセンスが…」とか言う言い訳をやめて、まず企画から着手しようと思います。有言実行。

■ 関連記事

■2 robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕[http://www.asahi.com/national/update/0525/NGY201005250031.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

色々と突っ込みどころがあるニュースだ。
中川容疑者は、4月2日から15日にかけて、岡崎市立中央図書館のホームページに、計約3万3千回のアクセスを繰り返し、ホームページを閲覧しにくい状態にした疑いがある。
同図書館のホームページ管理用サーバーには、3月中旬からの約1カ月間に、中川容疑者の自宅のパソコンなど特定の端末から計約6万4千回のアクセスがあり、その影響でホームページの閲覧は21回停止されていた。
同課によると、中川容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。
恐らく、蔵書DBを取ってきてスクレイピングする様なコードを書いてたんじゃないかと想像しますけれども、
  • その程度のアクセスで、サーバがダウンしたこと
  • ダウンに対して、技術的な方策を打てなかったこと
  • アクセスログから、何が起こっているのかを把握できなかったこと
  • 警察に通報して解決してもらおうとしたこと
  • 警察が業務妨害として受理したこと
  • 業務妨害の意図があったかどうか定かでないのに、業務妨害で逮捕したこと
全てが、とんでもないことだと思います。
ウチのサーバにも中国方面からのボットが根こそぎコンテンツ収集にやってきまして、これはもう、毎秒1クエリなんてなんてものじゃありません。それでも色々工夫をして運用をしている訳です。
これが、警察に相談しに行ったら業務妨害で解決するんだったら、頼みたい人はたくさんいるんじゃないでしょうか。もっとも、相手は国内に限られるでしょうが。
ところで、 岡崎市立図書館のよくある質問[http://www.library.okazaki.aichi.jp/tosho/faq.html] のページですが、ボットでアクセスしてはいけないとか、スクレイピングしてはいけないとかいう注意事項はありません。 robots.txt[http://www.library.okazaki.aichi.jp/robots.txt] には指定がありますが、「robots.txtに従わなかったから業務妨害」ということができるのでしょうか。疑問が残ります。

■ 関連記事

■3ユニクロのフィッシング詐欺風サイトに見る群集心理[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ユニクロ[http://www.uniqlo.com/jp/] が、26周年を記念して、 Twitter連動型サイトを公開[http://japan.cnet.com/marketing/story/0,3800080523,20413873,00.htm] している。
ユニクロは、これまでにもTwitter連動型の広告を送りだして来ており、上手くTwitterとの連携を模索しつつあるなと感心していたのだけれども、今回のは問題ありだ。
タイムラインで行列に並んでいる人を見つけて、特設サイトにアクセスすると、たくさんの人がつぶやきながら行列に並んでいる。 アカウント入力画面行列に並ぶボタンが設置されており、そのボタンをクリックすると、アカウント入力画面が表示されて、TwitterのIDとパスワードを入力しろという。
実際、多くの人が並んでいる訳だから、IDとパスワードを入力したのだろうけれども、こういうやり方を広めてもらっては、社会全体の、フィッシング詐欺に対するぜい弱性が低下する。
「みんながやっているから」「UNIQLOは信用できる会社だから」「クールに見えるサイトだから」「httpsになっているから」許されることではない。むしろ、信用されるサイトだからこそ、責任が重いと考える。
この特設ページは、きっと話題になって、他の会社がそのまんま真似た様なページを作ってしまうかも知れない。利用者のパスワードを入力させる仕様もそのままだ。
毎回、ユーザIDとパスワードを入力させるのは、嫌がられるという判断で、パスワードを保存してしまうサイトが作られるのは時間の問題であろう。
心あるプログラマーは、利用者のサードパーティのパスワードを受けとることは、自分のサービス以外の、責任負担不可能な責任を負うことになることを懸念するだろうが、上に作れと言われれば、良心に呵責を感じながらも実装せざるを得なくなることはたくさんの実例が証明している。
この様なサービスが増えてしまうと、社会全体のフィッシング詐欺耐性が著しく低下する。 ユニクロ[http://www.uniqlo.com/jp/] としても望むところでは無かろう。
利用者のパスワードは、利用者自身とサービス提供者だけが知りうる。他の第三者には絶対に明かさない。この原則が破られれば、パスワードによる認証は崩壊するのだから、危ない橋をみんなで渡る習慣を付けさせるのは止めて頂きたい。
まさにそのために、 OAuth[http://ja.wikipedia.org/wiki/OAuth] の様な仕組みがちゃんと用意されているのだから。

個人情報が漏洩していると言われているのは誤解:

個人情報が漏えいしているという情報が流れているようだが、実際のところは、
http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt
と言ったURLから、行列に並んでいるユーザのIDやTweetが取得できるだけの様だ。
従って、「個人情報漏えいが起きている」と言うのは誤解だと思われる。

残念ながら…:

世の中、アクセスする前に予めパスワードを変えておいたり、そもそも全てのサービスで全く関連の無いパスワードを設定している人ばかりでは無い。
マトリックス風にクルマを避ける能力がある人が、大勢で並んで赤信号を渡ることによって、真似して渡った子どもがはねられる様なことになってはいけない。

UNIQLO LUCKY LINEに関するお知らせ[http://www.uniqlo.com/jp/corp/pressrelease/2010/05/052615_uq_web.html]:

公式見解が発表されたようだ。
当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。
データベースに保存していない(と主張する)のは当然である。第三者のパスワードを説明に反して保存していたとすれば、それはもはや犯罪行為である。
問題はそこではなくて、「(ユニクロ以外の)第三者が運営するサービスのパスワードを入力せよ」言うことであり、また、その様なサービスを流行させることによって、第三者のサイトにパスワードを入力することの抵抗感を薄れさせていることにある。
ユニクロが盗むと疑っているのではなく *1 、類似のサービスが増えて、その中にパスワードを盗む目的のものや、パスワードが流出する様なものが登場してくることを懸念している。

「nwitter」の違法性について考えてみる[http://takagi-hiromitsu.jp/diary/20080217.html#p01]:

高木先生も、
理由や目的の明示なく他サイトのパスワードを要求する行為は、必然性がないと言えるのであり、慎むべきである。
と、やや抑えた表現をしているが、「重要なサービスでphishingサイトが区別されにくくなるという実害が生じる。」という点については、問題であると指摘されていた様だ。
*1: 漏れる心配が無いとは主張していない。

■ 関連記事

詳細はこの日の詳細から

2005年05月26日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 決闘:ルール決め殴り合い、少年12人逮捕[http://www.mainichi-msn.co.jp/today/news/20050526k0000e040059000c.html]次の記事 >> このエントリーをはてなブックマークに追加

また決闘[http://www.nantoka.com/~kei/diary/?200503a&to=200503032#T200503032] ですか。
相互の合意で相手を決める▽髪の毛は引っ張らない▽ギブアップしない時は動かなくなるまでやる▽ たとえ死んでも許される
「たとえ死んでも許される」が問題だろう。「髪の毛は引っ張らない」はむしろ微笑ましい。
しかし、これ本当に決闘罪が適用できる様な決闘だったのだろうか。記事によれば、
少年らは「K1」などの格闘技にあこがれていたといい、「合意の上での殴り合いの何が悪い」と話しているという。
のだから、「決闘罪」の存在を知らないで、署員の誘導のままに「たとえ死んでも許される」と言ったので「決闘罪」になったのかも知れない。
本当に、格闘技としてやったんだとしたら、判断は微妙だけど、
当時都立高校1年のグループ6人と、同市立中学を卒業したばかりの同級生のグループ6人。 バイクの売却を巡るトラブルに決着を付けるため、今年3月11日午後8時50分ごろ、世田谷区奥沢2の公園で2人ずつ6組が順番に決闘し、1人に頭や腕に2週間のけがを負わた疑い。
という背景があるのがいけないのかも知れない。でも、「世界タイトルを巡る争いに決着を付けるために」殴り合っても流血しても許されるもんなぁ。どこに線があるのだろう。

■ 関連記事

■2 「エピソード3」初日で54億円の荒稼ぎ[http://msntoday.msn.co.jp/home.armx]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

メッセンジャー起動時に表示される、MSNトゥデイの見出しの表現。「荒稼ぎ」というのは言いがかりではないか。
記事本文[http://event.entertainment.msn.co.jp/eigacom/buzz/050526/02.htm] の方は、「記録的大ヒット!」という表現になっている。
どうも、MSNトゥデイの見出しは、東スポ的と言おうか、無茶な表現が目立つ。

■ 関連記事

■3「原因は秘密だが天災の様なもので当社に落ち度は無いから補償はしない」〜カカクコム[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

サイトを改竄された上、サイト閲覧者にトロイの木馬ウイルスを送ったり、2万2511件の顧客情報を流出させた、 価格.com[http://www.kakaku.com/] だけれども、25日の記者会見で、
「当社に過失はなかったが、詳細は明らかにできない」
「今回の件は、過失や重過失に類するものではない」
穐田誉輝社長は、サーバーの管理責任について「OSへのパッチ適用など、考えられる対策は適切に取ってきた。今回の件は我々の過失ではない」と否定した。
として、運営体制に問題があったことを否定し、原因については、
具体的な原因については、他のサイトへの攻撃につながりかねず、警察の捜査にも支障をきたすおそれがあるとして、一切の公表を避けた。
「類似犯罪のヒントを与えたくないので、これ以上コメントはできない」と詳細を話すことを何度も避けた。
今回の攻撃内容や、攻撃を受けた点については、すでに警察、ならびにIPA(独立行政法人情報処理推進機構)に情報を提供しており、これらの機関から今後、何らかの情報が発表されることはあり得るものの、カカクコムから公表はしないという。ただし、個別に求められれば、 NDA(秘密保持契約)を結んだ上での情報提供には応じるとしている。
として、原因は公開せず、
他の案件で問題となったような内部理由による情報流出事件とは異なり、今回は悪意の第三者からのハッキングによる情報詐取事件である」として、個別の補償は行なわず被害サポートを行なうことで対応するとした。
と、「悪意の第三者からのハッキングによる情報詐取」だから補償はしないと発表した模様だ。
さらに、
「必要とされるWindowsのパッチは当てていた。社内で考えられる最高レベルのセキュリティ対策をしていた」
から、「考えられる最高レベルのセキュリティ」を確保していたと主張し、
穐田社長は今回の件を「言い方は悪いかも知れないが、地震にあったようなもの」と例える。「地震に本当に危機意識を持っているのは、被害にあった人だろう」
と、阪神淡路や新潟中越の被災者に配慮したら発言できない様なことを言っている。
パッチを適用してセキュリティが確保できるのであれば苦労はないし、泥棒に取られたんだから責任は無いと言えるのだったら、質屋さんや倉庫業は苦労をしない。
利用者の信用が要らないビジネスモデルだからこの様な発言ができるのだろう。 もし、エンドユーザーの信頼が必要なビジネスだったら、こういう発言は出てこないだろう。

「類似犯罪のヒントを与えたくないので、これ以上コメントはできない」:

セキュリティに関しての情報開示は確かに難しい問題を含むのだが、だからこそ言い逃れに使ってはいけないし、言い逃れに聞こえない様に注意が必要だ。
例えば、本当に最新の侵入技法がこの侵入に使われていて、これを公表すると世界中のサーバに影響が及ぶと言った場合、ベンダが対策を完了するまでの間、公表を控えた方がより安全が保たれるという意見がある。
「類似犯罪のヒントを与えたくないので、これ以上コメントはできない」として、理由を公開しないのはこのケースである。
一方、今回の事件が、もし、既知の手法による攻撃であったとしたら、公開することによって、「こういう対策もしていなかったのか」という批判にさらされることになる。
その様な批判を避けるために「類似犯罪のヒントを与えたくないので、これ以上コメントはできない」と言っているのであれば、まさに言い逃れであって、許されることではない。
このケースはどちらだろうか。
今回の攻撃内容や、攻撃を受けた点については、すでに警察、ならびに IPA(独立行政法人情報処理推進機構)に情報を提供しており、これらの機関から今後、何らかの情報が発表されることはあり得るものの、カカクコムから公表はしないという。
「この場で話すことはできない。ただ、 IPA(情報処理推進機構)には事態を報告しており、IPAを通じての情報開示は行う
としているが、 IPAセキュリティセンター[http://www.ipa.go.jp/security/index.html] の人によれば、
株式会社カカクコムからは、「不正アクセスを受けた」という被害の届出があり
ましたが、現時点では その原因や対策については報告を受けておりません
という。まさか記者会見でウソを言ったとも思えないが、これは一体、どういうことだろうか。
少なくとも、情報の開示によって信用を得ようという姿勢は全く見られない。

■ 関連記事

■4 「パスワードはメモしておけ」−MSのセキュリティ担当幹部、自説を披露[http://japan.cnet.com/news/sec/story/0,2000050480,20083861,00.htm][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

確かに、弱いパスワードを使われたり、管理ポリシや安全性の違う複数のシステムで同じパスワードを使われるよりも、安全な方法でメモした方が良いかも知れない。
利用者にパスワードを付けさせるよりも、システム側で生成したパスワードを強制した方が、全体としては安全になる可能性もあるのに似ている。
利用者が設定するパスワードはJoeアカウントになりがちだし、他のシステムの大事なパスワードを流用してしまうかも知れないし、いくつもパスワードを付けないといけないから、弱い共通パスワードを使うユーザーが出てくる可能性がある。
システムで付けたパスワードは、きっとユーザはメモするに違いないけれども、メモが盗まれる可能性は、ユーザが付けたパスワードが侵入経路になる可能性より低そうだ。
弱いパスワードを共通パスワードにしてメモしている人がいるのも問題なのだけど。

■ 関連記事

詳細はこの日の詳細から

2003年05月26日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1地震関係[CLIP]次の記事 >> このエントリーをはてなブックマークに追加

地域iDCのリスク分散が急に注目される予感。

気象庁[http://www.ima.go.jp/]:

全然つながりません。

NHKニュース[http://www3.nhk.or.jp/news/2003/05/26/k20030526000121.html]:

「東北地方で震度6弱」

■ 関連記事

■2公開交換日記<< 前の記事 このエントリーをはてなブックマークに追加

keiです。よろしく。
ウェブ日記は議論に向かないメディアだとは思うのですが、 お互いにインスピレーションを得るには良いメディアな気がします。
日常生活をしていて、これだけ内面を吐露した文章を周囲の人に見せることはあまりないので、日記を通して感じあえる人に出会えるのは、不思議なことですし、素敵なことだと思います。

続・言語化不能なもの[http://doublemoon.tdiary.net/20030526.html#p01]:

まさに私がうまく言葉にできなかったことをまとめて頂いているので引用します。
まったく原作に忠実にするよりかテイストとかエッセンスを残して書き換えてしまった(と思われる)ものに高く評価されているものが多いような気がします。
作品を味わった感動から生まれた新たな作品は、模写が持てない迫力を持っているのでしょうね。
言いたかったことをうまく言えていなくて、他の人の反応の中に自分が言いたかったことをうまく表現している見出すのもウェブ日記の嬉しいところです。
「ことばにできない」と言うことで伝えられるものもあると思う
には全く同意せざるを得ません。私の文章力では。 矛盾するようですが、でも、だからこそ私には「ことばにできない」って言う資格がない気がします。 他の人は言葉にできるのに、私がことばにできなかっただけでは困ります。 「あなたがことばにできないだけでしょう」って言われるかも知れません。 がんばろうと思います。

■ 関連記事

詳細はこの日の詳細から

2000年05月26日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1MRTGの設定[freebsd][おしごと]次の記事 >> このエントリーをはてなブックマークに追加

これまでもHUBのポート単位でトラフィックを観察していたのだけれども、 何から来るトラフィックかを知りたいというのと、 サイト内で流れるトラフィックに邪魔されて、 外部とのトラフィックが見えにくくなっていたので、 ucd-snmpを導入して、各サーバでプロトコル毎のトラフィックを取れるように設定。

ロードアベレージ:

も見てみることにしたら、それなりにプロセス動いてますね。 ちゃんと計算機資源を有効活用している。

■ 関連記事

■2 今取る・ドット・コム[http://www2.willy.co.jp/~s-tomo/diary/?200005c&to=200005251#200005251]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

なんだったら、「すぐ取る・ドット・コム」ってのはどうでしょ。

■ 関連記事

■3 チェーンメイル?[http://jove.prohosting.com/~bobin/d/?200005c&to=200005261#200005261]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

他所でも見ました。本当なのかも知れないし、良心を踏みにじる点で最も悪質ないたずらかも知れない。
本当でもいたずらでも、チェーンメールはチェーンメールなので、 この点では困ったことなのですが、 ネットワークの仕組みで、 本人の責任で多くの人の良心に訴えられる可能性というのは生かしたい。
電子署名が普及してみんなが手軽に使えるようになれば、 ある程度は解決するのかも知れない。 こういう応用では、選択的開示がしにくい電子署名では不便ですね。

■ 関連記事

■4 「少女と恋愛する方法」[http://www5a.biglobe.ne.jp/~kongen/]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

BadHabitさんところ[http://www.a-r.org/~evil/diary0005.html#0525] から。別に悪いことじゃぁないと思うんですよ。 やって良いこと悪いことはそこ(どこ?)じゃないよね。 ただ、同年齢の女の子と付き合うよりも責任と自制が必要。 紫の君計画ですね。
ところで、Realじゃない方の妹はどうしてるかな。 いや、むしろRealの方が心配になってきたぞ。 おつかいでも下さい。

■ 関連記事

■5バイト募集予定!<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

夏休みにプログラミングのバイト君を小募集する予定。 グループウェアみたいなのを作る話です。 ページ作成とかデザインの需要も若干ありだと思います。 基本的に近隣を希望です。 Web日記付けてる人はスキルが分かりやすいので歓迎です。 日記システムいじってる人は大歓迎です。
詳細はまだ決まっていませんが、興味がある方は、 info@nanet.co.jp[mailto:info@nanet.co.jp] の方へメールを送ってみておいて下さい。

これで優秀な人が来てくれると:

晴れて妄想担当重役になれます。妄想は良いけど実装する時間がないのよ。 低予算プロジェクトなので、人は自分でよそから探してこないといけないのよ。

■ 関連記事

■6本日最後のぐるぐる[ぐる]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

こんな時間まで掛かってしまった。未だにVBにはなじめない、というかなじみたくない。

comb sort[http://www.bsdclub.org/~motoyuki/d/d200005c.html#26-1]:

なびろぐ[http://na01.shonan.ne.jp/~gorry/diary/200005c.html#2604a] から。 その昔、主記憶の数十倍のファイルのソートをやるために、 フィボナッチ数列使ったソートルーチン書いた覚えがあったけど、 どういう理屈だったかな。
最近、実装レベルの勉強を怠っているな。妄想を現実にするには実装の力も必要。 反省。

携帯電話 vs Palm[http://www5.airnet.ne.jp/~woinary/diary/?200005c&to=200005262S1#200005262S1]:

携帯はきちんとお金払って買うのが当たり前になって欲しい。 この状況じゃ愛着もてる端末が出ない。
ところで最近の携帯って、軽くて小さすぎな気がしませんか? もっと多機能でもうちょっと大きくて重くても良いんだけどな。 横に開くと、キーボードと液晶ディスプレイがついてるみたいな。

■ 関連記事

■7cronさんからのおてがみ<< 前の記事 このエントリーをはてなブックマークに追加

届く前に帰ります。

と思っていたのに:

すでに3時だった。

■ 関連記事

詳細はこの日の詳細から

以上、13 日分です。

指定日の日記を表示

前月 2020年06月
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project