2005年02月01日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1読んだ本[book][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

一応、セキュリティ関連の話題を含むという事で。

[和書]強行着陸[http://www.amazon.co.jp/exec/obidos/ASIN/4061852221/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

コンピューターにウイルスを侵入させて、コカインを満載したB747をアメリカ国内に侵入させようとするストーリー。
まだ、Windowsじゃない時代。一見、荒唐無稽の様に思えるけれども、技術的には不可能ではないと言い切れない部分は残る。
セキュリティは費用対効果の側面があるので、敵が金に糸目を付けずに、買収や脅迫を含むソーシャルエンジニアリングを駆使するとすると、これに対向するのは相当に難しい。まさに組織の問題になってくる。

[和書]かぼちゃの馬車[http://www.amazon.co.jp/exec/obidos/ASIN/410109828X/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

確か、「確認」という作品だったか、自分が所持するカードに指紋を押し当てて声を出すと、様々な生体認証とそのカードによって、本人が本人であることを証明してくれる装置が出てくる。
住基カードの中に生体認証機能が組み込まれた様なものだ。あと、住基カードに選択的開示、つまり自分の証明したい情報だけ証明する機能があれば、これは欲しい気がする。
この上にアプリケーションを載せれば、落としても安全なキャッシュカードだってクレジットカードだって作れる。
そのためには、アルゴリズム的に信頼できるデバイスじゃなきゃいけないのだけれども。

「ナンバー・クラブ」を読んで思いついたのが、日記のキーワードの相関を取るのは面白いんじゃないかということ。
例えば、読者のあなたが日記を付けていたとして、私の日記のキーワードとの相関を取ると、思いもよらない共通の話題が発見できるかも知れない。
Namazu[http://www.namazu.org/] のインデックスファイル同士から、重複キーワードを抽出して、一般的な語彙を取り去る様なフィルタを書けば実現できそう。

■ 関連記事

■2ぐる[ぐる]<< 前の記事 このエントリーをはてなブックマークに追加

拾った話題をメモ

着ぐるみ強盗:自宅にバナナで足[http://www.mainichi-msn.co.jp/shakai/jiken/news/20050201k0000e040064000c.html]:

例のマヌケな事件なんですが、オチも笑わせてくれます。

自宅を捜索し、着ぐるみの付属品とみられるバナナが見つかった。

痛すぎます。

■ 関連記事

詳細はこの日の詳細から

2005年02月02日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 特許侵害で「一太郎」、「花子」に製造・販売中止と廃棄命令[http://itpro.nikkeibp.co.jp/free/NC/NEWS/20050201/155560/] このエントリーをはてなブックマークに追加

仮執行無いので、上訴していって判決が確定するまでは、影響は無い模様。
一太郎・花子に関する報道につきまして[http://www.justsystem.co.jp/msg/index.html] には、

お客様は、今後も問題なく「一太郎」「花子」をご利用、ご購入いただけます。また、2月10日(木)発売予定の「一太郎2005」、並びに「花子2005」につきましても、予定通り発売いたします。

と記述がある。これを考えると、元記事の

この2月10日には最新版の一太郎2005の発売を控えていた。

という表現はどうかと思う。まるで発売されなくなる様な表現だ。
ちなみに 判決速報[http://courtdomino2.courts.go.jp/chizai.nsf/Listview01/79B15C35C791549249256F9B0023169E/?OpenDocument] にも

なお,仮執行宣言は相当でないから付さないこととする。

とある。

特許番号2803236を見ると、

【特許請求の範囲】
【請求項1】アイコンの機能説明を表示させる機能を実行させる第1のアイコン、および所定の情報処理機能を実行させるための第2のアイコンを表示画面に表示させる表示手段と、前記表示手段の表示画面上に表示されたアイコンを指定する指定手段と、前記指定手段による、第1のアイコンの指定に引き続く第2のアイコンの指定に応じて、前記表示手段の表示画面上に前記第2のアイコンの機能説明を表示させる制御手段とを有することを特徴とする情報処理装置。
【請求項2】前記制御手段は、前記指定手段による第2のアイコンの指定が、第1のアイコンの指定の直後でない場合は、前記第2のアイコンの所定の情報処理機能を実行させることを特徴とする請求項1記載の情報処理装置。
【請求項3】データを入力する入力装置と、データを表示する表示装置とを備える装置を制御する情報処理方法であって、機能説明を表示させる機能を実行させる第1のアイコン、および所定の情報処理機能を実行させるための第2のアイコンを表示画面に表示させ、第1のアイコンの指定に引き続く第2のアイコンの指定に応じて、表示画面上に前記第2のアイコンの機能説明を表示させることを特徴とする情報処理方法。

とあって、これだとポップヒントも画面上にポップヒントのアイコンがあれば該当する様に思える。
ワードではデフォルトでは表示されていないけれども、表示することも可能だ。

ワードのポップヒント

記事によれば、

同社(松下電器)は、同特許の侵害について「現在のところ、ジャストシステム製品以外は把握していない」としており、一太郎・花子以外の製品への影響は不明。

とあるのだけれども、一太郎とどこが違うのかが分からない。
あるいは、 OEMの拘束条件付き取引[http://japan.cnet.com/news/biz/story/0,2000050156,20069807,00.htm] と関係があるのだろうか。

■ 関連記事

詳細はこの日の詳細から

2005年02月03日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1 児童生徒の「生と死」のイメージに関する意識調査について[http://www.pref.nagasaki.jp/cgi-local/koho_cgi/kensei_news.cgi?mode=detail_disp&yymmdd=20050124&year=2005&month=01&day=24&dno=09&pno=01&key=&pageno=]次の記事 >> このエントリーをはてなブックマークに追加

例の「死んだ人が生き返ると思いますか」の意識調査。

児童生徒の84.6%は、死んだ人は生き返らないと思っている一方、生き返ると思っている児童生徒も少なからず(15.4%)いることが明らかになった。
また、学年別では、中学校2年生が18.5%と最も高くなっており、予想外の結果であった。

という結果で、「15.4%の児童生徒が死んだ人が生き返ると思っている」というショッキングな結果だとしていくつかのメディアでも取り上げられた様だ。
調査結果の考察でも

本調査結果で最も注目したいことは、死んだ人が生き返ると思っている児童生徒が少なからずいた(15.4%)ということである。

として重視している。
これをどう評価するかだけれども、「行き返る」とした理由を見てみると、実は違う問題があるのでは無いかということに気づく。
予想外に「生き返る」と答えた率が高かった中学生の回答を見てみると、

  • 医学が発展すれば人は死んでも生き返ることができると思うから。
  • 人は死んでも心の中に生きていると思うから。
  • 人は死んでも生き返ってほしいと思うから。
  • 人が生き返るというのとは違うと思うが、技術が発達すれば、血液や細胞からクローンができると思うから。
  • 死んだ人が生き返らなければ、地球上の命が尽きてしまうと思うから。
  • 幽霊が生き返ると思うから。
  • 人は死んでも他の生物に生まれ変わると思うから。
  • 人は心臓が一度止まっても、ショックを与える治療等によって生き返ることがあるから。
  • 人の魂は死んでいないと思うから。
  • 人は生まれ変わることができると思うから。
  • 人が死んだら生きているときの記憶が消え、また別の人生を生きるのではないかと思うから。
  • 人は死んでも生き返ると信じているから。
  • 亡くなった人に似ている赤ちゃんが生まれてくるから。
  • 愛があれば、死んだ人が生き返ると思うから。

という内容で、輪廻転生を「生き返り」と混同して、「生き返る」と回答した児童生徒が多いのではないかということをうかがわせる回答となっている。
調査にあたっては、

実施校の学級担任が、特別に時間を設定し、必要に応じて補足説明を加えながら各教室で実施。

したということであるから、質問の仕方に誤解させる様なところがあって誤解したとは思えない。
多くの児童生徒が、輪廻転生を事実と思っていて、 *1 かつ、それを生き返りと混同しているのが大きい問題であると思う。

他の設問に、「家族や親戚など、身近な人が死んだ時の悲しみを感じたことがありますか。」というものがある。
8割強の児童生徒が「感じたことがある」と回答しており、身近な人が死んだ時にはほとんどが悲しみを感じるだろうけども、その体験をした事がない児童生徒が2割近くいるということであろう。
悲しみの体験率が低いことも問題になっているけれども、これは現在の核家族化した生活環境を如実に反映しているだけで、悲しみの体験率が低いことを直接に、児童生徒の死に対する意識が低いという問題の原因として結びつけるのは早急過ぎる。

「人を傷つけたり、殺したりしたとき、どのような罰を受けるか、法律や制度について知っていますか。」という中学校2年生対する問いがあり、「知っている」と答えた生徒は半数程度に留まっている。
既に社会では法律や裁判について扱っている筈なのに、これは問題だと思う。身の回りのことと結びついていないということだろう。

*1: 信仰の自由と関係するから扱いが難しい。

■ 関連記事

■2GnuPGの鍵[セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

使っていない鍵を破棄して整理した。
バックアップ *2 も作り直して封印。
封印は物理的な盗み出しの抑止効果は全くないけれども、印鑑の運用がきちんとなされているのであれば、多くの状況でもっと有効に活用できる。

例えば、サーバの特権パスワードは一人しか知らないという状況を作ったとする。多くの場合は、どちらかが業務を行えるので、他の人には特権パスワードを知らせない運用をしている。
これは良い事なのだけれども、年に1回あるか無いかの頻度で、どちらも対応できない状況で特権パスワードが必要になることがあったとしよう。海外旅行に行って連絡が取れない時に事故が起こるとか *3 、そういう事態がある。
それに備えて、複数の管理者がパスワードを実は知っているという運用になっていたりするが、パスワードを封筒に封印して保管しておくという手がある。
この場合、海外旅行から帰ってきたら封印を確認して、できれば開封の有無に関わらずパスワードを変えてしまうと良い。
*2: 鍵を盗まれる心配と鍵を失う心配を秤に掛けると、失う心配の方が大きいのだ。
*3: 管理者はよく知っているが、有名なマーフィーの法則に従って、そういうことは残念ながら往々にしてあるのだ。トラブルは大体、対応困難な時に発生する。

■ 関連記事

■3都道府県のページで自由なリンクを認めているのは4県だけ[無断リンク]<< 前の記事 このエントリーをはてなブックマークに追加

ネットワークのマナーとして「リンクを張る時には相手先の許諾を得ること」とするのが正しいのかどうかという議論があって、マナーとして教える事には違和感を持った。
リンクに許可は不要です[http://oku.edu.mie-u.ac.jp/~okumura/compedu/?%A5%EA%A5%F3%A5%AF%A4%CB%B5%F6%B2%C4%A4%CF%C9%D4%CD%D7%A4%C7%A4%B9] や、 「無断リンク禁止/直リンク禁止」命令に関する想定問答集[http://park5.wakwak.com/~tanaka02b/column/faq.htm] あたりを読んで頂けると、リンクを許可制にすることのおかしさは理解して頂けると思うけれども、「法的には正しいかも知れないが、許可をもらうのが礼儀正しい」という反論は根強い。礼儀正しいのだからマナーとして許諾を得るべきだと教えた方が良いという論理になる。
もし「許諾を得るのがマナーだ」と教えてしまうと、その人が将来、自分のページで無断リンクを禁止することはできると思ってしまうし、無断リンクする人はマナーがなっていないと判断する様になる。間違いの拡大再生産だ。
そういうバックグラウンドがあって、各都道府県がどういうリンクポリシーを掲げているか調べてみたいと思っていた。

最近は、自治体も情報発信が盛んで、Webを使って積極的に情報発信をするようになってきたし、アクセシビリティに対する配慮も進んできた。
こういう状況であれば、以前の様に「無断リンク禁止」等というページは減ってきているのではないかと思ったが、想像以上にリンクに制限を設けているページが多い事を知って驚いた。
まず、リンクポリシーを掲げている都道府県は、 北海道[http://www.pref.hokkaido.jp/etc/webmaster.htm]青森県[http://www.pref.aomori.jp/contents/help.html]岩手県[http://www.pref.iwate.jp/info/sub/aboutlink.html]宮城県[http://www.pref.miyagi.jp/site_riyou.htm]福島県[http://www.pref.fukushima.jp/list/guide_l.html]茨城県[http://www.pref.ibaraki.jp/right_link.htm]群馬県[http://www.pref.gunma.jp/manage/homepage.htm]埼玉県[http://www.pref.saitama.jp/link.html#3]千葉県[http://www.pref.chiba.jp/link.html]東京都[http://www.metro.tokyo.jp/SUB/links.htm]神奈川県[http://www.pref.kanagawa.jp/osirase/kohokenmin/info/info01.htm]新潟県[http://www.pref.niigata.jp/content/common/chosakuken.html]福井県[http://www.pref.fukui.jp/doc/intro.html#linkpolicy]山梨県[http://www.pref.yamanashi.jp/barrier/html/info/index.html#C5]長野県[http://www.pref.nagano.jp/hisyo/iken/aboutlink.htm#link]岐阜県[http://www.pref.gifu.lg.jp/common/riyouGuide3.html]愛知県[http://www.pref.aichi.jp/top/what_net/pageconcept.html]三重県[http://www.pref.mie.jp/info/chosaku.htm]滋賀県[http://www.pref.shiga.jp/policy/]京都府[http://www.pref.kyoto.jp/copyright.html]奈良県[http://www.pref.nara.jp/c_etc/rule.html]和歌山県[http://www.pref.wakayama.lg.jp/tools/toiawase.html]鳥取県[http://www.pref.tottori.jp/site/policy.htm#a2]島根県[http://www.pref.shimane.jp/cl.html]岡山県[http://www.pref.okayama.jp/kikaku/joho/linkprefokayama.htm]徳島県[http://www.pref.tokushima.jp/link_houkoku.nsf/MainTopic]香川県[http://www.pref.kagawa.jp/about.shtml]愛媛県[http://www.pref.ehime.jp/weblink/link5.html]高知県[http://www.pref.kochi.jp/policy/index.html]福岡県[http://www.pref.fukuoka.lg.jp/wbase.nsf/doc/site?OpenDocument]佐賀県[http://www.pref.saga.lg.jp/portal/public/SP/FSPM0000.html]熊本県[http://www.pref.kumamoto.jp/otoiawase/list.asp]大分県[http://www.pref.oita.jp/menu/link/]宮崎県[http://www.pref.miyazaki.jp/links/sougo-link/index.htm]鹿児島県[http://www.pref.kagoshima.jp/site.html]沖縄県[http://www.pref.okinawa.jp/terms/index.html] の36都道府県である *4
この内、トップページ以外へのリンクを特別の手続無しに認めているのは、福島・埼玉・千葉・奈良・島根・香川・福岡・熊本の8県のみである。
さらに、通知が不要となると、埼玉・千葉・奈良・島根の4県のみになってしまう。
結局、普通の意味で「自由にリンク」することを認めているのは、4県のみということだ。

リンクフリー[http://e-words.jp/a/link20free.html] という言葉があって、これも意味が不明瞭な言葉だ。
「フリーにリンクして良い」と言っているのか、「リンクからフリーにせよ」と言っているのか良く分からない。そもそもリンクすることに制限はないのだから、英語にはそんな言葉がないのだ。
一般的に「自由にリンクして良い」と言う意味かと解釈していたが、

当方では、ホームページは基本的にリンクフリーであるべきと考えておりますので、本県のホームページに対するリンクの設定はご自由に行っていただいて結構です。
なお、原則としてリンクの許可や承認を差し上げるといったことはしておりませんので、念のため申し添えます。
また、リンクフリーの範囲はトップページに限りますので、トップページ以外へのリンク設定については個別にお問合せください。

という良く分からない主張が出てきてますます分からなくなった。 愛媛県[http://www.pref.ehime.jp/weblink/link5.html] では、「ホームページは基本的にリンクフリーであるべき」と考えているけども、「リンクフリーの範囲はトップページに限」るのだそうだ。

トップページであっても、リンク時に通知を必要としている都道府県も多くて、16都道府県は事後に通知を求めており、新潟・神奈川・岐阜・佐賀の各県については、「事前に」承認が必要としている。

さらに言えば、ほとんどのページが

リンク元のホームページの内容が、法令や公序良俗に反する場合などにはリンクの削除をお願いすることがありますので、あらかじめご了承ください。

という文言を掲げている。
リンク元に責任を負えないのは当然であるが、この注意書きはかえって、リンク元に責任を負うかの様な働きをしてしまっている。
リンク元をいちいち審査しているのだろうか。実際は、審査しないのであればこういうことは書かない方がよい。
公序良俗に反するサイトだと思ったとして削除を依頼することも非常に難しいはずだ。県として当該のサイトが公序良俗に反することを示して、削除依頼をすることが本当にできるだろうか。表現の自由と絡んで大変な問題の引き金を引いてしまう可能性は多分にある。
逆に放置していれば、公序良俗に反するサイトからリンクを張られていて何らかの問題になった時に、「リンクの削除をお願いする」と書いていたにも関わらず、その依頼をしなかったことを問題にされる可能性がある。
そもそも、リンク元に責任を負えるわけがないのだ。そうして、

このウェブサイトへリンクを張っている○○県以外の第三者のウェブサイトの内容に関して、○○県はいかなる責任も負いません。

という当たり前の事を書かないと行けなくなる。こうやって、どんどん断りを増やしていってしまうところ、まさにお役所的だ。

結局、やはり「リンクは許可を受けるもの・与えるもの」の思想が根底にあることをうかがわせる結果となった。
無断リンク禁止教[http://d.hatena.ne.jp/HiromitsuTakagi/20040426#p2] が広がった震源地がどこかにある様な気がするのだけれども、これらの都道府県ページは今まさに無断リンク禁止教を新たに広めつつあるに違いないと感じる。
あるいは、役所のサイトは「できればアクセスして欲しくない」と思っているのだろうか。
一般のページが「無断リンク禁止」と言っている分には、「ウェブを理解していない」で済むし、根拠がない要求に従う必要もないし、そういう分かっていないサイトにはリンクをしない *5 という方法もあって、それはそのサイトが結局は損をするのだけれども、役所だって損をするはずだ。さらに役所だからこそ間違いを拡大再生産するのはよろしくない。
禁止すべきでないことを禁止すると、絶対に損なうものがあるのだ。

関連記事[title.cgi?CAT=%CC%B5%C3%C7%A5%EA%A5%F3%A5%AF]:

*4: もちろん、只今絶賛リンク許可侵害中である。
*5: リンクをせずにアドレスを表記すれば事足りる。ttp://wwwという表記も某掲示板ではよく見かける。この場合、リンク先としてはログから解析ができなくなるので好ましくないはずだ。

■ 関連記事

詳細はこの日の詳細から

2005年02月04日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・都道府県のページで自由なリンクを認めているのは4県だけ[?200502a&to=200502033#200502033][無断リンク]次の記事 >> このエントリーをはてなブックマークに追加

昨日の続き。 ご意見[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=156] を頂きました。
逆なら理解できるのです。自分のコンテンツからリンクを張る時は、リンクを張るということについてある程度の責任を持たなければいけないですし、そのあたりを理解していない人からのクレームも想定されます。 ですが、ここで問題にしているのは、自分のコンテンツへのリンクなのです。
それでも、予防線が必要になるとしたら、それこそリテラシーを上げないと行けないという話になりますし、そのためにはリンクに関する間違った注意書きを減らして行くべきだと思います。

「ネチネチ」という音感が嫌いなんですけれども、ネチケットという言葉があります。
ネットは手段ですから、ネットだからといって一般社会と異なる特別なルールが必要だという意見にはあまり賛成ではなくて、これまでにあるマナーやルールをネットというメディアの特性にあわせていくのが自然だと考えています。一般の人が普通にネットを使うわけですから、歴史的な特殊な慣習というのは寂しいですが自然に淘汰されていくでしょう。逆に、ネットが特別だと思いすぎると、ネット上で違法行為をしたり、人を傷つけたりしてしまうようなことが起こりやすくなると思います。
前置きが長くなりましたが、リンクについて。URLは書籍や論文で言えば、文献の出典表記にあたります。何らかの文献をベースに議論をして、出典を示さないのはアンフェアな行為で、場合によっては盗用です。きちんとした論文では、著者名、出版社、書籍名、版数、ページ数等の情報を文献リストとして付加するのが通例です。
これによって、書かれた論文の読者は、元の文献にあたって、その論文の筆者が恣意的な引用や間違った解釈に基づいた議論をしていないことを確認する事ができますし、読者が同じ分野について調査をしている場合には、参考になる元文献を知る事ができる場合もあります。
この様にして、出典を表記する事は正しい行為だとされてきました。論文を書く人達にとっては、マナー以上のルールと言っても良いでしょう。
出典として表記される側にとっても、出典を正確に表記するルールは、恣意的な引用や間違った解釈に基づいた議論を抑制する担保になりますし、より多くの読者に紹介されるという利点もあります。
これをWebに置き換えてみると実は同じ事なのです。Webに公開した時点で、世界中に公開しているわけで、これは無償の書籍を発刊しているのと同じ様な状況になります。もし、世界中に公開するのが嫌だったら、技術的に手当もできます。パスワードを付ける事もできますし、そもそも公開しないという手段もあります。だとすると、リンクについてどうこう言うのは非常に不思議なことになります。
もう一つ、Webの大発明を忘れてはいけません。「文献リスト」を読者が自由に参照できるという仕組みこそが、Webの大発明の一つだと思います。Web以前にもインターネットを使って情報を得る仕組みがありました。 Archie[http://www.iij.ad.jp/public/archie-main.html]Gopher[http://e-words.jp/w/Gopher.html] がそれです。ArchieはFTPに置かれたファイルをファイル名から探し出すものですから、一般的な情報検索には使えませんでした。ファイル名を知っていないと目的のファイルを得る事ができなかったのです。Gopherは、階層構造のメニューを辿って、必要な情報を探し出す仕組みでした。様々な情報を得る事ができましたが、どこに何があるということを知っていないと、必要な情報にたどり着く事ができませんでした。
そしてWebの発明が世界を一変させます。誰かが必要な情報を見つけ出したら、そこにリンクした文献リストを作って公開する事ができるのです。自分の知りたい事が書いてあるページを一つ見つければ、そこからリンクを辿って、関連する情報を簡単に得る事ができる。これは画期的でした。
「トップページにしかリンクを張ってはいけない」というルールに従うと、Gopherに逆戻りです。どのサイトのどこにどういう情報があるということを知っている人しか必要な情報を得る事はできなくなりますし、それを見つけ出した成果も他の人と共有する事はできません。これは社会全体の知的生産性を極度に低下させます。
検索エンジンはそのサイトが掲げた、「リンクのルール」の文章には従っていません深い階層のリンクも自動的に抽出して検索対象にしています。これを禁止することもできますが、少なくとも自治体に限っては「リンクはトップページのみ」と主張するサイトでも、実際にロボットによる収集を禁止している例は少ない様です。
もちろん、ロボットでの収集も禁止しているサイトの情報は検索エンジンでも検索できなくなります。

ところで、リンクに制限を設けるという風習は、アメリカでは非常に少ないと言われています。
もし、日本が本当に「リンクに制限を設ける」という道を進むと、事実上Webは使い物にならなくなってしまうのです。「リンクに制限を設ける」という間違ったルールの拡大再生産を止めなければと思います。

■ 関連記事

■2 文京区公式ホームページリンク設定届出書[http://www.city.bunkyo.lg.jp/this_site/index.html][無断リンク]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

様式作成事務員の行動原理[http://d.hatena.ne.jp/HiromitsuTakagi/20030802#p1] で読んだ様な話である。
文京区のホームページにリンクする際は、トップページでなければならないし、

・リンク設定者のホームページが、公序良俗に反しないこと、及び個人・団体等を誹謗中傷する掲載内容でないこと。
・個人・団体等に不利益を与えないもの。

の要件を満たさなければならない。この要件を満たしたページでもリンクを設定する際は、

・団体名(または個人氏名)
・住所
・電話
・担当者名
・ホームページのアドレス
・コンテンツの概要

をメールまたは 文京区公式ホームページリンク設定届出書[http://www.city.bunkyo.lg.jp/this_site/rinksinsei.pdf] の郵送で届け出なければならない様だ。

これだけなら面倒くさいで済むのだけれども、 文京区公式ホームページリンク設定届出書[http://www.city.bunkyo.lg.jp/this_site/rinksinsei.pdf] の様式を作った際に、もう一つの様式作成事務員の行動原理が出てしまったらしい。

         文京区公式ホームページへのリンク設定届出書

                          平成  年  月  日
文京区役所企画政策部
       広報課長 殿

 下記ホームページから、文京区公式ホームページへのリンク設定を行いますので、
届出します。
 ただし、当ホームページの内容が、下記要件に反した場合は、直ちに、リンク設
定を解除します。

 文京区ホームページへのリンク設定可能なページの要件
 (1)公序良俗に反しないこと及び個人・団体等を誹謗中傷する掲載内容ではないこと。
 (2)個人・団体等の不利益をあたえる掲載内容ではないこと。

お役所では、「届出」は「申請」と全く異なり、「届け出」られる性質のものであるから、却下されるということはない。それだと例えば困ったページからリンクを張られると困るということで、「届出」を事実上申請にしてしまうワザが駆使してある。
「ただし、当ホームページの内容が、下記要件に反した場合は、直ちに、リンク設定を解除します。」という一文がそれである。これを予め様式に入れておけば、届出を事実上、許可制にしてしまうことができる。
このテクニックは利用価値が高くて、申請にすると却下する場合に理由を示さなければならなくなり、説明抜きで却下ができなくなるので、届出の様式で工夫してしまうというやり方だ *1 。こうしておけば、都合の悪い届出を様式不備で届出を受理しなければ良い。「届出は受理をもって成立します。」と書いてある。

下の方の「文京区役所使用欄」に注目して頂きたい。
「要件への適合 適合 不適合」のチェックリストがあり、課長・主査・担当者と捺印欄が用意してある。
ということは、いちいち記入されたコンテンツの概要が上記の要件に適合しているかどうかを担当者がチェックして、主査、課長とまわる仕組みの文書になっているということだろう。こういうシステムになっているということは、メールで申請した場合も担当者が書式を起こして、同じルートに乗るのではないかと想像される。
そう。もう一つの様式作成事務員の行動原理はしなくて良い仕事を増やす事である。 様式作成事務員の行動原理[http://d.hatena.ne.jp/HiromitsuTakagi/20030802#p1] とは矛盾するけれども、こうやって際限なく書類と仕事を増やすのも確かに様式作成事務員の行動原理の様である。

電子自治体が推進されていく中で、そうやって蓄積された様式が、見直しをされることなく淡々と電子化されていく実態がある。紙の上で芸術的な複雑さで引かれた罫線や欄外に並べられた注意書きをWebで再現するために、工数と独自のテクノロジーが注ぎ込まれていく。先に述べた様に、様式は非常に大切なノウハウが詰め込まれたものであるから、Web上でこれまでの様式と同じものを表示しなければ納得しないのである。
通常の企業のIT化は、電子化を機に仕事のやり方を改善する事によって、IT投資を回収している。帳票をそのままにして進めるお役所の電子化やり方では、莫大な予算を使って、紙の消費が減っただけということになりかねない。

*1: この例以外にも、届出られたら困る事は選択肢に入れないとかそういうワザがある様だ。

■ 関連記事

■3引用は許されるか[無断リンク]<< 前の記事 このエントリーをはてなブックマークに追加

引用については誤解が多いので触れておく。引用は脱法ではなくて、著作権法で認められた権利である。 著作権法[http://www.houko.com/00/01/S45/048.HTM] では、

(引用)
第32条 公表された著作物は、引用して利用することができる。この場合において、その引用は、公正な慣行に合致するものであり、かつ、報道、批評、研究その他の引用の目的上正当な範囲内で行なわれるものでなければならない。
2 国若しくは地方公共団体の機関、独立行政法人又は地方独立行政法人が一般に周知させることを目的として作成し、その著作の名義の下に公表する広報資料、調査統計資料、報告書その他これらに類する著作物は、説明の材料として新聞紙、雑誌その他の刊行物に転載することができる。ただし、これを禁止する旨の表示がある場合は、この限りでない。

著作権法は、文化の発展に寄与することを目的として定められた法律で、文化の発展に寄与するためには「引用して利用することができる」必要があったから、法律で定めているのである。この点、引用を禁止するのが難しいから許されているという事情ではない、注意しておきたい。
自分の権利と同様に、法律が認めた他人の権利は尊重しなければならない。

ネットに関するリテラシー教育では、公正な引用についてもう少し掘り下げると良いのではないかと思う。

■ 関連記事

詳細はこの日の詳細から

2005年02月05日()<< 前の日記 | 次の日記 >>
この日の詳細

■1車検切れ このエントリーをはてなブックマークに追加

大変なミスをやってしまったのです。反省するとともに幸運にも事故を起こさなかったことに感謝。
ガソリンスタンドで「車検切れてますよ!」って指摘されて、あわててその場で車検お願いしてクルマ置いて帰ってきました。気づいてもらえなかったら大変なことになっていたところです。
セルフスタンドではこうやって指摘してもらえることはありませんから、なおのこと車検予定日はしっかり自己管理しないといけないと思います。もし、このところセルフスタンドばっかり使ってて、かつ、車検がいつまでだったか覚えていない方は、すぐに調べることをお勧めします。

■ 関連記事

詳細はこの日の詳細から

2005年02月06日()<< 前の日記 | 次の日記 >>
この日の詳細

■1読んだ本[book]次の記事 >> このエントリーをはてなブックマークに追加

図書館で借りた。専門用語バリバリなのにどんどん世界に引きずり込むところは、マイケル・クライトンの面目躍如といったところか。
生命をまねたプログラム。分散型コンピューティングあるいはエージェントが、時にはプログラマの想像を超える動きをして、時には思いも掛けない能力を発揮することは、その手のプログラムを書いた経験がある人には納得できると思う。
懐かしい話になるけれども、ライフゲームというものがあった。「ゲーム」とは言うけれども、ユーザーがプレイするわけではない。
画面を升目と考えて、ビットがある点を生命体(ライフ)があると考える。自分の周囲の(自分を含めて)上下左右斜め隣の9つの座標にいくつの生命体があるかによって、自分の生死が決まる。周囲の生命体が少なすぎると過疎によって死に絶えるし、多すぎても資源の欠乏で死に絶える。もちろん、特定の条件を満たすと生命が誕生する。
非常に単純なルールなのだけれども、上手に初期条件を与えてやると想像も付かないような多様な進化を遂げて、様々なパターンを描き出す。これを眺めて楽しむわけだ。
今なら、グラフィック能力も計算能力も格段に上がっているから、莫大な数の升目に複数の特徴を持った生命体を色分けして配置して、交配までを扱うようなライフゲームがあるのかも知れない。見たことはないが。あるいは、立体空間上でのライフゲームを作り出すこともできるかも知れない。
本書が扱っているテーマは、生物的コンピューティングの驚きを知っている読者の方が、納得が行くことかも知れない。前半のコンピューターが生命のまねをするという部分のリアリティは、自分で目の当たりにしたことがある人の方がむしろ実感するはずだ。もちろん小説だから、特に後半は無茶をするんだけれども。

自己組織化を使ったアプローチでうんうん唸っても捻り出せなかったアルゴリズムの発見をしたことがあるし、パソコンレベルの計算能力でも遺伝的アルゴリズムのアプローチが使えるようになってきた。
ソフトウェアについても、まだまだ自然に学ぶことが多そうだ。

■ 関連記事

■2 続・都道府県のページで自由なリンクを認めているのは4県だけ[http://www.nantoka.com/~kei/diary/?200502a&to=200502033#T200502033][無断リンク]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ちょっと付記。
リンクポリシーを掲げていない(と思われる)府県は、秋田県・山形県・栃木県・富山県・石川県・静岡県・大阪府・兵庫県・広島県・山口県・長崎県である。もし、リンクポリシーを掲げていることを発見したらお知らせいただけるとありがたい。
もちろん、これらの府県は、Webでリンクを張るのは自由なんだから、リンクポリシーなるものを主張する方がおかしいと思っている可能性もある。それはそれで良いことだと思う。ただ、これだけ変なリンクポリシーを掲げるサイトが増えてくると、公式なサイトだからこそあえて、「リンクを張るのは自由だ」という主張をしてもらいたいと思う。4県に続く勇気のある自治体の登場を見守りたい。

■ 関連記事

■3 ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」[http://www.itmedia.co.jp/enterprise/articles/0502/04/news096.html][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

高木浩光@自宅の日記[http://takagi-hiromitsu.jp/diary/20050204.html#p01] より。
ゴルフ場の貴重品ボックスのとんでもない仕様[?200501c&to=200501262F2#200501262F2] については、 生体認証[?200501c&to=200501262#200501262] に関連して触れた。
共通する問題なのだけれども、こういうったセキュリティに関連する機器やシステムの開発・設計に関わる技術者は、もっとセキュリティに対する考察を深くするべきだ。ろくに考察もしないで危険な製品を「安全です」といって出荷することの罪は非常に大きい。
システムの採用者がそのシステムが本当に安全かどうかを知ることは、ベンダー側が正しい情報を開示しない限り難しいし、Security by Obscurityの壁に阻まれて、「秘密のテクノロジーで安全」な機器を導入してしまうことも良くある。エンドユーザーは否応無く安全かどうか分からない機器を使わせられることになる。

件のゴルフ場で被害を受けた人や、当のゴルフ場は、貴重品ロッカーメーカーを相手取って訴訟を起こしたりしないのだろうか。
この件に関して言えば、危険な機能を搭載して今回の事件を引き起こしてしまったわけだから、貴重品ロッカーを製造した会社に責任が無いとは言えないと思う。

■ 関連記事

詳細はこの日の詳細から

2005年02月07日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1読んだ本[book] このエントリーをはてなブックマークに追加

図書館で借りてきた。
システム開発において、プロジェクトマネジメントや積算については、土木・建設業界に学ぶことは色々あると思う。どちらも一点もので、全く同じものを2回作ることがほとんどないという共通点がある。プロジェクトマネジメントそのもののお勉強をすると、土木・建設の世界から持ってきた手法は非常に多い。
そういう視点から、この本を読んでみるのも良いかも知れない。息抜きがてらちょっと考えてみるヒントに。

■ 関連記事

詳細はこの日の詳細から

2005年02月08日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1 クローズアップ現代 「フィッシング詐欺 狙われる個人情報」[http://www.nhk.or.jp/gendai/kiroku2005/0502-2.html][セキュリティ] このエントリーをはてなブックマークに追加

クローズアップ現代[http://www.nhk.or.jp/gendai/] から。
番組でも指摘していたけれども、技術的な問題ではないから対策が非常に難しい。結局のところ、利用者一人一人のリテラシーに関わってくるからだ。
システムの供給側は、社会全体がフィッシング詐欺に騙されにくくなる様に配慮してシステムを提供する様にすべきだ。例えばアドレスバーを隠すページの存在は、社会全体のフィッシング詐欺耐性を大きく低下させている。

■ 関連記事

詳細はこの日の詳細から

2005年02月09日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 AH-K3001V[http://www.ddipocket.co.jp/p_s/products/content/ah_k3001v.html][携帯][お買いもの]次の記事 >> このエントリーをはてなブックマークに追加

遅ればせながら導入。
色々設定しないといけなそうだけど、使いこなすとすごそうな予感です。

APOPとSMTP-AUTH:

ヨソのプロバイダのPOPサーバが使えるのは非常に嬉しい。
以前から、通常メールをPDA用にフィルタしているアカウントを用意してあったので、これをAH-K3001V(通称、京ぽん)からアクセスできるように設定。
sshトンネリングでアクセスする前提だったので、生のPOPを使っていたし、SMTPはlocalhost扱いだったのだけれども、これをPPP経由でアクセスできる様にしないといけないので、APOP+SMTP AUTHに切り替えた。
メールの着信お知らせは携帯で受けていたけれども、文字数の多いメールは携帯では読めなかったので、そういう必要がある時はPDAを持ち歩いていた。これならPDA要らない。

■ 関連記事

■2 本人確認は合言葉・巣鴨信金、盗難にローテク対策[http://www.nikkei.co.jp/news/keizai/20050209AT1F0402G08022005.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

土地柄から連想されるけれども、 巣鴨信用金庫[http://www.sugamo.co.jp/] のページを見ると、演芸会を開催していたりして、高齢者をターゲットにしたサービスを考えている感じがする。
だとすると、キャッシュカードも不要で利便性よりも安心が欲しいというニーズにはぴったりあったサービスだろう。
他の金融機関でも、利子よりも安全に預金を保管して欲しいというニーズはあるはずだから、スキミングやフィッシング詐欺に関して保険を付した口座を提供するサービスにはニーズがあるはずだ。

ところで、この信用金庫のページを見ていて、 ATMによる暗証番号変更サービス取扱いのお知らせ[http://www.sugamo.co.jp/05_infomation/info_important/atm_psw/atm_psw1.html] というページを見つけた。

お客様のカードの暗証番号は、当金庫を含め、お客様ご自身以外には一切わからなくなり、より安全に保護されます。

という表現があるのだけれども、この「わからない」はどの程度わからないのだろうか。

  1. 暗証番号はそのまま記録されているけれども、(係員が)表示する機能を撤廃した
  2. 暗証番号が暗号化して保存される
  3. 何らかのテクノロジーによって、信用金庫側は暗証番号に関する情報を持たないで認証する事が可能になった
1だとすると、実は暗証番号を管理する責任は信用金庫側にもある。2だとしても、高々4桁の数字だから総当たりが可能だろう。3が可能だろうか。だとすると、どういうテクノロジーだか知りたい。

■ 関連記事

■3SYA!nikki[SYA!nikki]<< 前の記事 このエントリーをはてなブックマークに追加

1912 写日記:

カメラ付きなので写真を添付してみる。
写日記

■ 関連記事

詳細はこの日の詳細から

2005年02月10日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1メールサーバで送信したメールをコピーして保存[freebsd] このエントリーをはてなブックマークに追加

フォレンジックとか監査とかそういう話ではなくて、携帯で送信したメールのコピーを手元に残したいための処置。送信したメールは全て自分宛にBccしているのだけれども、携帯のメール送信ではいちいち付けないといけない様だ。これはいつか付け忘れるなと思って対応。
いくつか方法はありそうなのだけれども、ほぼ自分専用サーバなのを良い事に、main.cfで、always_bcc = hogeして、全てのメールのBccをhogeさんに送る。
hogeでprocmailして、Fromと使用している端末の特有のヘッダを使って振り分けて、通常のメールアドレスに転送。

postfixにはalways_bccという荒技があって、これを使うとメールサーバを通過する全てのメールのコピーを取得する事ができる。使い様によっては、盗聴や検閲につながるけれども、運用ルールがきちんとできていれば、証拠保全やメールアーカイブでのナレッジマネジメントシステムを作るのに活用出来るかも知れない。
もちろん、たとえ業務利用であっても、利用者に内緒でコピーを保存するのは許される事ではないし、内緒ではモラルは向上しないと思う。

■ 関連記事

詳細はこの日の詳細から

2005年02月11日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

0743 おでかけ:

0946 到着:

1059 テレビ塔:

■ 関連記事

詳細はこの日の詳細から

2005年02月12日()<< 前の日記 | 次の日記 >>
この日の詳細

■1ホテル選びに失敗次の記事 >> このエントリーをはてなブックマークに追加

今回は仕事の出張ではなかったので、テケトーに安いビジネスホテルを選んだのだけど、これが大失敗。直接にホテル側のせいではないので、どこだという話は書かないことにします。
0時を回った頃に、隣室のヒトがご機嫌で戻ってきたらしく、大声でなにやら歌いながら風呂に入ってるらしいんだけれども、これが筒抜け。壁が薄いのかなぁと思ったけれどもそれほどでもないらしい。声がでかいのだ。
その頃はこっちもircやっててまだ寝ていなかったので、あんまり問題なかったんだけれども、さて寝ようと睡眠薬飲んだ頃に、別の部屋の酒盛りが盛りあっがったのか、大声で歌うオヤジが発生。
えらく響くなぁと思ったら、どうも廊下で酒盛りをしてたらしい。これはさすがに非常識。
ほかにも我慢できなかったヒトがいるらしくて、「うるさいぞー」「なんだとー」としばらくやり合ってた様子だ。最初は「オマエ!よく言った!」と思ったけども、ドアをガンガン叩き出すに至っては、「オマエモナー」だった。
そうこうしているウチに、眠剤の効果は薄れてくるし、早いヒトは動き始めてそれが耳に付くしで朝まで眠れなくて散々だった。本当にビジネスだったら大変なことになっていた様な気がする。

今まで安いホテルを選ぶと、壁が薄いからうるさいのかなぁと思ったけれども、値段に応じて客層も影響を受けて、騒ぐヒトが発生する確率が高いのかも知れないと思った。
今後は注意して宿選びをするようにしよう。

■ 関連記事

■2PerlでのXML文書処理について<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ちょっと必要になって調べたので、メモリンク集

Perl で XML の処理はどれが速いかベンチ[http://naoya.dyndns.org/~naoya/mt/archives/001209.html]:

特定の要素を取り出すだけなら、正規表現が早い。でしょうね。

XML::Parser::Lite - Lightweight regexp-based XML parser[http://www.majordojo.com/soaplite/docs/XML/Parser/Lite.html]:

pure PerlなXML::Parser::Liteのmanページ

XMLRPC::Lite と XML::Parser についてのメモ[http://www.semblog.org/msano/archives/000209.html]:

日本語の取り扱い

XML::LibXML[http://search.cpan.org/dist/XML-LibXML/]:

pure Perlではない。

XML::LibXSLT[http://search.cpan.org/dist/XML-LibXSLT/]:

ラッパなので、pure Perlではない。

PerlによるXMLの読み込み[http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=16040&forum=9&5]:

@ITのスレッド

XML::XSLT - A perl module for processing XSLT[http://cpan.uwinnipeg.ca/htdocs/XML-XSLT/XML/XSLT.html]:

pure Perlだけど、機能が限定されている。

Weblogs.Com changes.xml を Perl で料理する一例[http://naoya.dyndns.org/~naoya/mt/archives/000427.html]:

XML::SAX::PurePerl - Pure Perl XML Parser with SAX2 interface[http://search.cpan.org/~msergeant/XML-SAX-PurePerl-0.80/PurePerl.pm]:

pure PerlなSAXインターフェイス

PerlでXML::LibXML利用時のチルダの文字化け[http://mocha.exblog.jp/492134]:

Shift_JISがinだとチルダが化けるという問題。これは悩ましい。

■ 関連記事

■3SYA!nikki[SYA!nikki]<< 前の記事 このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2005年02月13日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 ありがとう、名古屋空港[http://www.chunichi.co.jp/00/sya/20050212/mng_____sya_____007.shtml] このエントリーをはてなブックマークに追加

2月17日で、国際線と国内線のほとんどは 中部国際空港(セントレア)[http://www.centrair.jp/] に移転するので、恐らくこの空港に来るのは今回が最後になる。
考えてみると、大学時代からずいぶんな回数使っているな。

■ 関連記事

詳細はこの日の詳細から

2005年02月14日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1名古屋手羽先次の記事 >> このエントリーをはてなブックマークに追加

せっかく名古屋に行ったのに、手羽先を食べなかったので、空港で、 名古屋名物さんわの手羽先唐揚げ[http://www.1-1sakae.ne.jp/nagoyana/nagoya_mi/sanwa.html] を買ってきた。今日のばんごはんになる予定。

はなびし草の名古屋流手羽先[http://cookpad.com/hanabisisou/index.cfm?Page=recipe&RecipeID=142863&Mode=full]:

オウチで最初から作るレシピも載ってますね。チャレンジしてみるか。

■ 関連記事

■2 うぇーぶだっしゅ[http://www.denpa.org/~go/denpa/200402/from01.html#01_2]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

例のチルダが化ける問題を追いかけていて、見つけたのでメモ。
XML日本語プロファイル 解説[http://www.y-adagio.com/public/standards/tr_xml_jpf2/tutr.html] も、ここから。

■ 関連記事

■3京ぽんでオレオレ証明書<< 前の記事 このエントリーをはてなブックマークに追加

オレオレなので警告が出るのだけど、受け入れちゃえば通信はできる。だけれども、フィンガープリントを調べる方法がない。
自分用にオレオレ証明書を使うのは、オレオレ証明書の正しい使い方(オレがオレだって言ってるんだから間違いない)なので、なんとかしてフィンガープリントを表示させることができれば、安心して使えるのだけれども。
あるいは、自前の認証局証明書を取り込む方法を見つけ出すか…

■ 関連記事

詳細はこの日の詳細から

2005年02月15日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki]次の記事 >> このエントリーをはてなブックマークに追加

1136 モバイル@諫早駅:

1736 博多駅:

1737 こんな感じで…:

■ 関連記事

■2 なるほど[http://www.geocities.jp/henseilib/ha/huis.htm]<< 前の記事 このエントリーをはてなブックマークに追加

肥前山口で、前のかもめ35号と後ろのみどり21号に切り離し、みどり21号の一部は早岐で切り離してハウステンボス号になるんですかね。

■ 関連記事

詳細はこの日の詳細から

2005年02月16日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 高知県電子申請システムはどうしてアドレスバーを隠すのか[http://www.pref.kochi.jp/~jyouhou/denshishinsei/]次の記事 >> このエントリーをはてなブックマークに追加

ファーミング詐欺と区別がつかない自治体電子申請サイト[http://takagi-hiromitsu.jp/diary/20050212.html#p01] で取り上げられている、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事とあわせてお読み頂きたい。
「アドレスバーを確認する」ことは、フィッシング詐欺に利用者サイドで対策するために、もっとも基本的なことだと思う。もちろんアドレスバーの確認だけでは、指摘されている様にファーミング詐欺成り済ましに対応できないので、そのためにサーバ証明書というものがある。証明書の内容を検証しないといけないのは述べられている通りだ。

ところが、セキュリティが特に重視される筈の電子申請システムで、肝心なアドレスバーを隠しているサイトを見つけた。
高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] がそれである。他の自治体でもこういうケースはあるのかも知れないが、高知県のシステムについては他にも問題が多いと思われるので取り上げた。

表示された画面から、例えば「処理状況確認画面」をクリックすると、 ものすんごい証明書[http://takagi-hiromitsu.jp/diary/20050111.html#p02] の警告が表示されるのだけれども、受け入れる *1 と、システム本体のログイン画面が開く。
高知県 電子申請・届出システムログイン画面
ログイン画面からアドレスバーがきれいさっぱり消えている。このページは例のオレオレ証明書によるhttpsのページなのだが、ステータスバーも消されているので、証明書を確認する事もできない。

これを、デザイン上の理由で「隠れている」のではなく、「隠している」と判断した理由がある。
先の 高知県 電子申請・届出システム[http://www.pref.kochi.jp/~jyouhou/denshishinsei/] の画面で、「処理状況確認画面」をポイントした時のステータスバーの表示に注目して頂きたい。
ステータスバー
これを見た限りでは、「http://www.pref.kochi.jp/~jyouhou/denshishinsei/#」にリンクされている様に見える。
ログイン画面のURIを確認するために、右クリックすると、
右クリックは使用できません。
「右クリックは使用できません。」なるウインドウが表示される *2 。仕方がないので、Firefoxで表示 *3 してみると、
ログイン画面のページ情報
と表示された。
リンク元のページのソースを見ると、

<a href='#' onClick='return openShinsei("https://www.cdc.net-kochi.gr.jp/egov/denshi/sinsei/service?citycode=39000")'>処理状況確認画面</a>

となっていて、openShinseiを経由して画面を開く事によって、実際のリンク先である「https://www.cdc.net-kochi.gr.jp/egov/shinsei/jsp/a_loginNN.jsp」を積極的に「隠して」いるのは間違いない *4 。まるでフィッシング詐欺を仕掛ける側が駆使する様な手法である。

net-kochi.gr.jpなる団体がどういう団体か、 NET-KOCHI(http://www.net-kochi.gr.jp/)[http://www.net-kochi.gr.jp/] を見てみたけれども、今ひとつ明らかではない。もちろん、ページにいくらもっともらしい事が書いてあってもそれが信用できないのは言うまでもない。
さらに、 http://www.cdc.net-kochi.gr.jp/[http://www.cdc.net-kochi.gr.jp/] を見てみると、「高知コミュニティデータセンターサイト」と称するページが表示された。「称する」と書いたのは確認する方法が無かったからで、ひょっとするとこれは本当に「高知コミュニティデータセンターサイト」なのかも知れない。サイト運営者については、 免責事項[http://www.cdc.net-kochi.gr.jp/policy/index.html] のページには、

高知コミュニティデータセンターサイトは、経済産業省からの委託を 受け、財団法人ニューメディア開発協会の監督支援のもとに、高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会により運営されています。

と書かれている。
これを信用すると、

  • 高知コミュニティデータセンターサイトは、
  • 経済産業省からの委託を受け
  • 財団法人ニューメディア開発協会の監督支援のもとに
  • 高知県や県内市町村、複数の企業・団体で構成される高知CDC整備促進協議会
  • により運営

されている任意団体 *5 と思われる。

話が混乱してきたので整理すると、

  • 高知県 電子申請・届出システムの本体は、「高知コミュニティデータセンターサイト」と称するドメインで稼働しており、このことは利用者に対して隠されている。
  • 「高知コミュニティデータセンターサイト」というのは、任意団体である。
  • このドメインをホストしているのは、「NET-KOCHI(仮称)」という、任意団体である

という状況にあることが分かる。

ここまで見てくると、なぜアドレスバーやステータスバーを隠しているのかという事情が見えてくる。
私がこのシステムの利用者だったとしよう。高知県は信用できるけれども、システムにログインしようとすると、私にとっては謎の組織であるドメインのアドレスが表示されている。
この状況で「これはおかしい」と思うのは正しい。このシステムの利用を止めるか、一体どういうことになっているのか問い合わせをすることになるだろう。
仮に、県に連絡を取って、「そのドメインに委託しているのは事実だから大丈夫だ」という説明を受けたとしても、では、その謎の組織がどういう組織で、どの様な責任を持って電子申請システムを運用しているかの説明を求める事になるだろう *6
そういう説明をするのは面倒なので、面倒なことにならない様にアドレスバーを隠し、ステータスバーを隠し、ということになったのでは無いか。

なぜこれがいけないことなのか:

これがいけない理由が三つある。
まず、この様な方法で実際のドメインを隠して委託をすることは、サービス提供者側の説明義務の回避だ。もちろん委託する事を否定しているのではない。別ドメインでサービスをするのであれば、利用者はそこに疑問を持つのは当然であるし、疑問を持つべきである。この疑問に答える形で、委託した側の県側は説明責任を果たすべきではないか。それをJavaScriptの濫用によって他ドメインであることを隠蔽して回避している。
次に、このシステムはフィッシング詐欺耐性が弱くなる事は明らかだ。日常的にアドレスバーもステータスバーも隠されているのだから、ある日、偽物のサイトに誘導されていても気が付かないだろう。
最後に、この様なシステムの存在が社会全体のフィッシング詐欺耐性を弱くするという問題がある。この様に安易にアドレスバーやステータスバーを隠すのが当たり前になってしまえば、フィッシング詐欺を利用者として対策する事が非常に難しくなる。

こうすれば良かったのではないか:

まず、アドレスバー、リンク先、ステータスバーを隠すのは止めることだ。右クリックを禁止する必要もない筈だ。
もし、他ドメインで運用する必要があるのであれば、県側がその辺りの事情を説明する文書を用意して、利用者に説明すべきだ。隠して済む問題ではない。
あるいは、県のサブドメインで運用する解もある。この場合、pref.kochi.jpドメインの信用を一部委譲するわけだから、県と運営団体の間でしっかりした取り決めがなされる必要がある。

オレオレ中の認証局 Substantive test CA[http://takagi-hiromitsu.jp/diary/20050115.html#p01]:

証明書がLGPKIでないのは、この辺りの事情が関係しているのかも知れない。lg.jpドメイン以外でLGPKI AppCAの証明書を取得することは可能なのだろうか。可能だとしても、この様な任意団体に発行されるのだろうか。

なりすましは成立するか:

「なりすましという行為がそんなに簡単に成立するのか」という声があって、現実的にはそう簡単になりすましは行われないと思われているのでないか。
技術的な方法はいくつか知られている。 DNSに毒入れする方法があったし、 pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ?[http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20050209/155922/] の記事では、ウイルスによってhostsファイルを書き換える方法も指摘されている。
もしターゲットがローカルであれば、さらに簡単で、偽DHCPサーバを立ち上げる方法もあるし、嘘つきDNSを立ち上げる方法も考えられる。

こういう技術的な手法はシステムサイドのセキュリティ問題だが、アドレスバーを表示しない、確認しない文化になると、いくら上記の問題に対する技術的な対策を施しても、事実上、なりすましが成立してしまう。
例えば、Googleで、 「高知県電子申請システム」[http://www.google.co.jp/search?num=100&hl=ja&c2coff=1&client=firefox-a&rls=org.mozilla%3Aja-JP%3Aofficial&q=%E9%AB%98%E7%9F%A5%E7%9C%8C%E9%9B%BB%E5%AD%90%E7%94%B3%E8%AB%8B%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja] を検索して頂きたい *7
もし、これで上位に出てくるページが、「高知県電子申請システム」というページタイトルを付け、本物とそっくりのログイン画面を用意していたらどうなるか。
そこには、日常見慣れたアドレスバーもステータスバーも表示されないログイン画面が表示されるのである。これをフィッシングサイトだと見破れというのは利用者に酷ではないか。
ステータスバーも表示されないのだから偽証明書も要らないしアドレスはどうだったって良い。
攻撃者は、アドレスバーやステータスバーを隠したターゲットの偽サイトを作って、何らかの手法で著名な検索エンジンの上位に偽サイトを持ってくれば良い。

利用者として注意すること:

アドレスバーやステータスバーを隠そうとするサイトは疑って掛かる必要がある。本来表示されるべきものを隠すことによってセキュリティは向上しない。むしろ、隠す事によって危険が隠されていることが多い。もちろん隠しても危険は無くならない。
アドレスバーを隠すのは、道に空いた穴が危なく見えるからといって枯れ葉を被せて隠してしまう様なものだ。危険があることには変わりないし、穴に落ちない様に注意して歩いている人をも落とす落とし穴を作り出す行為である。

*1: 説明のページを読んでも何も記述がない様だ。もちろん、フィンガープリントの記載もない。ここでは、先のページを表示するために受け入れているが、普通はこういう証明書を受け入れてはいけない。試してみる場合は、自分が何をやっているか理解してからにして欲しい。
*2: ちなみにAltキーを押すと「Altキーは使用できません。」と表示される。
*3: Firefoxの場合、「右クリックは使用できません。」のダイアログは表示されるが、その後にちゃんとメニューが表示される仕様になっている。これは良い事だと思う。コンテキストメニューを奪われるのは不便だし、アドレスを確認しづらくなるのは、ここで述べている様にセキュリティ上も問題がある。
*4: その割には、「メンテナンスによるサービス停止情報」ページは、直接リンクを張っていたりして、場当たり的な対応が見える。
*5: 少なくとも、ページを調べた限りでは、団体の属性は表記されていなかった。
*6: これが任意団体でなくて、法人格をもっているなり何らかの形で責任を取れる事が分かる組織であれば、ここまで面倒な話にはならない。その組織が組織として責任を持って県から運用を委託されて運用しているという関係が分かれば良い。責任をとる人が分からないというのは困る。
*7: 現時点(2005/02/16 16:21)では、この日記が上位に来る様である。 面倒なことになりそうな気がするのでやらないけれども、この状況で、私がリファラを見て事前に誘導しようとした単語で検索した人にだけ偽物のページを表示するCGIを作って設置すれば、ログイン画面と見分けが付かない画面を表示する事は容易に可能だ。その人から見ると、「○○電子申請システム」を検索して、最初に出てきたページをクリックすると、ちゃんと(?)いつものログイン画面が出て、安心してIDとパスワードを入力することになる。

■ 関連記事

■2RSS関連[メモ][hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

■ 関連記事

■3ぐる[ぐる]<< 前の記事 このエントリーをはてなブックマークに追加

ニフティ、ついにパソコン通信の歴史に幕。ワープロ・パソコン通信サービスを終了[http://headlines.yahoo.co.jp/hl?a=20050216-00000002-rbb-sci]:

あぁ遂にという感じです。無料時代のPC-VAN、DDX経由のASCII、Nifty、草の根BBS、インターネットという様に付き合ってきたのですが、一つの時代の終焉を感じます。 「昔、パソコン通信っていうのがあってね。」という感じになるのかも知れません。
次は、「昔、ダイヤルアップ接続っていうのがあってね。」でしょうか。 テレホーダイ[http://e-words.jp/w/E38386E383ACE3839BE383BCE38380E382A4.html] を覚えていますか?

■ 関連記事

詳細はこの日の詳細から

2005年02月17日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1届いた本[book]次の記事 >> このエントリーをはてなブックマークに追加

Amazonに頼んで置いた本が入荷。

[和書]Perl & XML[http://www.amazon.co.jp/exec/obidos/ASIN/4873111064/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

cover
著者:エリック・T. レイ, ジェイソン マッキントッシュ, Erik T Ray, Jason McIntosh, 財井 一彰
出版社:オライリージャパン
定価:¥ 3,360
ASINコード:4873111064

ウェブに参考になる情報は散らばっているけれども、まとまった参考書が欲しかったので、購入。
本で全体を見ておいて、最新情報をウェブで補完するのが効率的な気がする。

[和書]しあわせの書―迷探偵ヨギガンジーの心霊術[http://www.amazon.co.jp/exec/obidos/ASIN/4101445036/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

知っている人は知っている、ものすごい仕掛けのある本。前から欲しいと思っていたのだけれども、なかなか見つからなかった。
よく考えてみれば、Amazonで買えば良かったんですけども、Amazonは技術書を買うトコだという思いこみで、思いつかなかった。

■ 関連記事

■2 3Dセキュア[http://solution.cafis.jp/BlueGate/security/index.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ネットショッピングをしたら、3Dセキュアに対応していた。
3Dセキュアは、カードで決済をする時に、ネットショップに対してパスワードを送信せずに決済を完了させる仕組み。カード番号を入力すると、別ウインドウでパスワード入力画面が開き、この内容はショップには送信されないので安心という。

ところが、運用しているドメインが頂けない。さすがにアドレスバーは隠していないのだけれども、全然別の.jpドメインだ。
これを信用して入力するのに慣れたら、悪意のあるサイトが3Dセキュアっぽいウインドウを開いてパスワードを入力させても気づく訳がない *1
そうやって騙し取られたパスワードを不正使用されたら、本人しか知らないパスワードを不正使用されている訳だから、自分ではないことを証明するのが困難になる。

結局、少なくとも利用者にとっては、全然安心でないサービスではなかろうか。
ということで、カード会社に電話してみたが、ちょっと複雑な話で理解してもらえず、メールで続きをやり取りする事になった。

高知県 電子申請・届出システムとの微妙な違い[?200502b&to=200502161#200502161]:

さすがにアドレスバーやステータスバーは隠していない。 サンプル画面[http://www.smbc-card.com/mem/service/gs/verified_visa.jsp] では、アドレスバーが隠れているので、表示する様にしたのかも知れない。
さらに、 カード会社等を装うEメールにご注意ください![https://www.smbc-card.com/mem/goriyo/mailsagi.jsp] と題する注意喚起にこのドメインは記載されているので、積極的に隠したいわけでは無いようだ。
けれども、アドレスバーを気にして用心をする人に協力的でない作りには問題が残ると思う。

「インターネットバンキングに迫り来る現実的脅威」[http://staff.aist.go.jp/takagi.hiromitsu/#2002.2.28]:

この話、ずいぶん前から指摘されていて、分かっている人は分かっていることなのだけれども、なかなか理解されてきていないし、未だにアドレスバーを隠すサイトが日々生まれつつある。
特に金融分野の問題について指摘した文書をどこかで読んだ記憶があって、探し出したらやはり高木先生だった。
2002年2月だからすでに3年近く前になる。残念ながら、コンピューターに限らず実際に被害が出るまでは、なかなか真剣に受け止めてくれない傾向がある。
しかも、特に日本には問題を指摘する人をネガティブにみる文化 *2 がある様な気がする。由々しき問題だと思う。

*1: この問題は、ドメイン名だけでは解決しない様に思える。悪意のあるサイトが、アドレスバーやステータスバーを隠した画面を表示した時に、偽物だと気づく利用者がどれだけいるか。
*2: 日本だけでは無いかも知れない。中国の故事にこういうのがある。近所の家の塀が壊れていて「このままでは泥棒に入られる」と言っていたヒトがいた。しばらくすると、その家に本当に泥棒が入った。調べてみると犯人は「泥棒に入られる」と言っていた人だった。というもの。教訓は、「危ないと言ってまわるやつを疑え」「危ないところを見つけても人に言うものではない」ということになる様に思う。この故事の出典なりタイトルをずいぶん探しているのだけれども見つけ出せない。どなたかご存じだったら、ぜひ知らせて欲しい。

■ 関連記事

■3 例示用には実在しないドメイン「example.com」等を[http://takagi-hiromitsu.jp/diary/20050216.html#p03]<< 前の記事 このエントリーをはてなブックマークに追加

nantoka.comも例示に使わないで下さい。お願いします。

■ 関連記事

詳細はこの日の詳細から

2005年02月18日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

■ 関連記事

詳細はこの日の詳細から

2005年02月19日()<< 前の日記 | 次の日記 >>
この日の詳細

■1 「南セントレア君」命名にNo![http://www.f7.dion.ne.jp/~moorend/news/2005021801.html][ぐる] このエントリーをはてなブックマークに追加

いずれも、 Stressful Angel[http://stressfulangel.cocolog-nifty.com/stressful_angel/2005/02/_219_.html] より。
市の名前にはOKでも、子どもの名前にはNGですか。そうですか。
ハム太郎君[http://jt05.hp.infoseek.co.jp/a1/name.html] はOKですか。そうですか。
なんか最近、無茶な名前が多すぎて、普通の名前を付けるのが地味すぎてそれで良いのかどうか迷う様な状況になってきていますが、こんなすんごい名前を付けても、教育の現場では「名前が変わっているからと言っていじめの対象にしちゃいけない」という指導がなされているんだとすると、変わっていることを理由にいじめられる状況が減っていって良いのかも知れないということを思ったり。

ゆとり教育の最大の過ちは、教育にゆとりを持たせるはずが、どっかからゆとりを教育することになったことではなかろうか。
いじめについては、陰に隠っただけだという指摘はあるけれども、少なくとも指導する立場としていじめがあるのは良くないという文化になったのは良いことだと思う。ゆとり教育の効用かどうかは分からないけれども。ゆとり教育見直しに伴って、競争教育に揺り戻されるとしたら、何かができない子に対する差別を生み出さない様には注意して欲しいと思う。

■ 関連記事

詳細はこの日の詳細から

2005年02月20日()<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

1741 今日のおでかけ:

写真はあんまり関係ない。
昨日買ったMDレコーダーのバッテリーを買わないととか思いつつおでかけしたのだけど、京ぽんの充電を切らしてしまったのが痛い。メモなんかが京ぽんないと読めない状況にあります。
まだ、使いだして日が浅いので充電スタイルが確立されていないのが敗因のようです。
ちなみに買ったMDはSONYのMZ-NH1。これまでMDに持っていた不満が全て解決されていたので即決といった感じ。無圧縮が録れるのと、パソコンとの接続。
買ってみて嬉しかったのは、録音レベルのマニュアル調整ができるのと、録音したもののパソコンへのデジタル転送ができること。珍しく衝動買いで成功したケースです。

今日のおでかけ
長崎県諌早市宇都町 のあたり by map2500[http://www.nantoka.com/~kei/map2500/] [ MapFan[http://www.mapfan.com/index.cgi?MAP=E130.2.39.43N32.49.49.52&ZM=7] | Mapion[http://www.mapion.co.jp/front/Front?el=130/02/39.430&scl=10000&pnf=1&uc=1&grp=all&nl=32/49/49.520&size=500,500] | 国土地理院[http://mapbrowse.gsi.go.jp/cgi-bin/nph-blsearch.cgi?b=32501.55&l=1300231.24] | 日本測地系[http://mapbrowse.gsi.go.jp/cgi-bin/nph-blsearch.cgi?b=324949.52&l=1300239.43] | MIS2[http://www.kokono.net/index.cgi?NL=32.49.49.52&EL=130.2.39.43&from=SYAnikkiLink] | map2500[http://www.nantoka.com/~kei/map2500/cgi-bin/query.cgi?el=130/02/39.430&nl=32/49/49.520] ]

■ 関連記事

詳細はこの日の詳細から

2005年02月21日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1ぐる[ぐる]次の記事 >> このエントリーをはてなブックマークに追加

ログあたりから一回り。

リンク先が…[http://www.nantoka.com/~kei/diary/?200502b&to=200502191#T200502191]:

もちろんつっこんで頂いてウェルカムです。…ごめんなさい。ネタに詰まったのです。

佐賀県のWebサーバー上にフィッシングサイト、2週間にわたり開設[http://internet.watch.impress.co.jp/cda/news/2005/02/21/6519.html]:

某チャネルより。 佐賀県のプレスリリース[http://www.pref.saga.lg.jp/at-contents/kenseijoho/koho/kisha/data1702/16-1.html] も出ています。

これはどういう手口によるものでしょうか。
サーバの一部にそういうぺーじを作られた(ドメイン名はそのまま)ものなのか、バーチャルホストを作られたものなのか。
もし後者だったら、root権限を奪取されたということだし、前者だったらPHPかCGI経由の脆弱性も考えられるます。もし、個別のCGI等の脆弱性を探してまでフィッシング詐欺用のページを用意する様になって来ているとすると、相当の警戒が必要だという事になりそうです。
ひょっとすると、実は提供しているサービスの一部にタグのフィルタリングが甘い掲示板があって、そこに細工したページを書き込まれただけという可能性もありますが。
サーバ管理している立場としては他人事でないので、侵入経路等の情報を知りたいところなのですが、新たに犯行の手口を教える事にもなりかねないという意見があって躊躇しているところかも知れません。大概の場合、悪用する側の方は先に知っているのですが。

もうけばなし[http://www.mahoro.net/memo/?200502c&to=200502c1#200502211]:

gtk's memo.[http://www.mahoro.net/memo/] より。「あー、良くある」という話ですねぇ。
ウチは物売りをやっていないのですが、お客さんから「社内ネットワークが混雑してきて困っているから、スイッチをリプレースしたいんだけど、機種選定してもらえないか」という話で調べている内に、全然違うところにボトルネックを発見してしまって、機種選定する話が消えてしまったりとか、まぁそういうことがあります。
本来だったら、機種選定する費用よりお金貰えて良い様な気もするんですが、モノにはお金払うけれども、知恵にはお金を払えないという事情が世の中にはあるようで、物売りしないビジネスの難しさを感じます。

包丁購入者の記名義務化 兵庫・川西、使用目的も[http://flash24.kyodo.co.jp/?MID=RANDOM&PG=STORY&NGID=soci&NWID=2005022101002043]:

ネタですか?何の役にも立ちそうに無いのですが。このコストを押しつけられるお店の立場を全然考えていませんな。
寝屋川市で買う人か、寝屋川市で売る人かというところも不明なんですけれども、インターネットショップとか通信販売をどう処理するんだろう。
全国のインターネットショップが寝屋川市民向け販売のためにサイトを改造する必要が出てくるというのもひどい話だし、寝屋川市で販売する業者が対象になるとすると、寝屋川市でネットショップを開いている業者は、刃物類の扱いでサイトの改造が必要になる。これにはコストが掛かるのだから、その分寝屋川市の業者は全国的な競争で不利になる。
とか言うと、「それ位の手間と人命はどっちが大事だ」「少しでも抑制効果があるのだからやるべきだ」という反論がかえってくるんだろうなぁ。

「さくら」と別れの撮影会 寝台特急廃止でJR長崎駅[http://headlines.yahoo.co.jp/hl?a=20050221-00000156-kyodo-soci]:

ついに無くなりますか。無くなる前に 乗れて[?200108b&to=200108190#200108190] 良かった。

■ 関連記事

■2 [エレクトロニクス]SONY MZ-NH1N MDウォークマン(録再用)[http://www.amazon.co.jp/exec/obidos/ASIN/B0002JUIK6/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

一昨日購入した、 MZ-NH1[http://www.ecat.sony.co.jp/audio/walkman/products/index.cfm?PD=17433&KM=MZ-NH1] なんですが、 WAV conversion Tool[http://www.sony.co.jp/Products/Hi-MD/nf_wavcot.html] なるものを見つけました。
前日も触れたのですが、出先での録音ソリューションを色々考えていました。一昔前ならDATレコーダーを選ぶところだったのでしょうが、メディアの入手と保管に不安がありました。さらに、今後機器の選択が狭まってしまうと、DATのまま長期間保存する事に不安がありました。
メモリレコーダー、ハードディスクレコーダーも色々出ていて、これにも惹かれたんですが、特に出先で容量を使い切ってしまう様な事態を心配してしまいます。もっとも、パソコンにデジタルのまま取り込めるのは魅力的です。
で、MDというものもあったなぁと考えはしたのですが、MDには全然注目をしていなかったので、無圧縮録音ができない点と、せっかくデジタル録音なのにデジタルでの取り込みができない点が不満だったのです。メディアの入手性と保存性には優れているので、非常に迷っていたところです。
で、MZ-NH1だったらPCM録音ができますし、買ってみて気づいたのですが、録音レベルのマニュアル調整ができます。これは状況によっては非常に欲しい機能なのです。
残る問題が、PCに取り込んだファイルが著作権管理の関係で、ストレートにはWAVに持って来られないんじゃないかという課題で、どうしても何とかできなかったら、メディアが安い事ですし、必要だったら再取り込みするのを前提にメディアのまま保管しておけば良い矢と割り切っていました。
ところが、ちょっと検索してみたら、ちゃんとwavへの変換ツールが用意されているではありませんか。これで、PCM録音からパソコンへのデジタル取り込みのパスが完成します。素晴らしい。

[エレクトロニクス]SONY MCMD-R1 メモリーカードリーダー[http://www.amazon.co.jp/exec/obidos/ASIN/B000652OJE/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

という製品も見つけました。これでメモリカードを読むためにパソコンを持ち歩く必要が無くなります。
せっかくストレージとして使えるので、こんな製品が無いかなぁと言っていたばかりでした。ちゃんとあったんですね。

HNSAWS改訂[http://www.nantoka.com/~kei/HNSAWS/]:

上記のリンク張るのに、electronics-jp, kitchen-jp, toys-jp が扱える様に改造してみました。うまくいってるかな?

「SonicStage 2.3」へのアップグレードプログラム[http://www.sony.jp/support/p-audio/contents/download/ss20_upgrade.html]:

音楽CDから録音した曲、コンピュータ上の音楽ファイルを取り込んだ曲、Hi-MD機器または録音に対応した一部のメモリースティック対応機器で録音し、SonicStageに取り込んだ曲の転送できる回数に、制限がなくなります。
音楽CDの作成ができます。

ということで、このバージョンでずいぶんと制約が無くなっている様です。
これまでにmp3化したアルバムが山ほどあるのですが、サブフォルダ丸ごと、アルバム、アーティスト名で分類して取り込んでくれます。便利便利。

■ 関連記事

■3 日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[http://日本語.jp/access/phishing.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

このプレスリリース。騒がれたから、大丈夫ですよと言ってみただけの感が否めない。不安や疑問に答えていないのだ。

なお、現実には、フィッシングでは誘導先のURIを偽装したり隠蔽したりするなど、もっと巧妙な手段が使われていることから、視覚的に似たドメイン名を使用すること自体はあまり有効なフィッシング手段ではないと考えます。

高木浩光@自宅の日記[http://takagi-hiromitsu.jp/diary/20050212.html#p03] でも指摘されているが、他に脆弱性があるからウチの脆弱性は放置して良いことにはならない。幸いブラウザの脆弱性は修正されつつあるし、これはプログラムの修正だから比較的容易に改善されていくだろう。しかし、運用の脆弱性は、その上にシステムが構築された後に修正するのが困難になる事が多いし、フィッシング詐欺脆弱性についてレジストラが配慮する方針であれば *1 、当然に考慮しておくべきことだろう。
さて、

今回問題にされているフィッシング詐欺問題の本質は、視覚による錯覚を利用するというものであり、IDNによって新たに引き起こされるものではありません。たとえば、ASCIIドメイン名でも、1(イチ)とl(エル)、0(ゼロ)とO(オー)による錯覚は存在します。ただし、日本語ドメイン名ではよく似た「ー」(長音)と「一」(漢数字)が使えるようになるなど、IDNによってその組合せが増えることも事実です。

として、「ー」「一」問題に触れながら、

JPドメイン名では、日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
また、全角英数字や半角カタカナが使用された場合でも、JPドメイン名の登録時に、技術標準に則った正規化と呼ばれる処理によりASCII英数字や全角カタカナに統一し、同一の文字として扱いますので、異なるドメイン名として登録されることはありません。IDNに対応したブラウザも同じ正規化を行いますので、全角・半角の違いによって異なるサイトにアクセスすることはありません。

と、対策の方では触れず、

さらに、一般に、アルファベットだけで書かれたドメイン名と日本語ドメイン名のどちらの方が日本人にとって錯覚が少ないかを考えると、日本語ドメイン名の方が錯覚が少ないものと考えます。
以上により、日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。

と結論されても、じゃぁ「ソ二一.jp」問題はどうなるのかという疑問は解決しないままである。

以上のように、IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。

の認識と対策の中に、「ソ二一.jp」問題が含まれているのであれば、他の字形の似た文字についての対策も示して安心させて欲しいし、逆に含まれていないのであれば、字形の似た文字には注意すべきだという注意喚起をすべきだと思う。
もし、「ソ二一.jp」問題は依然として存在するのであれば、「フィッシング詐欺脆弱性について 」「安心してご利用いただけます」の結論は、利用者に誤解を生じさせて、危険にさらすことにならないか。

*1: もちろん、似たドメイン名でフィッシング詐欺に遭うのは、レジストラの責任じゃないので、知らんよという態度を取る事もできるだろう。だとすると、このプレスリリースで言おうとしていることが分からない。

■ 関連記事

■4読んだ本[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

図書館で借りてきて。

[和書]借家で猫をコッソリ飼いする方法[http://www.amazon.co.jp/exec/obidos/ASIN/4062741830/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

そんなに猫好きでは無かったんですが、飼い主さんの苦労や配慮が分かって、そういう人だったら猫くらい飼っても良いよねと思いました。筆者が目指したところでしょう。
表紙の猫がかわいい。こんなにしてのぞいてたらばれるけど。
犬か猫飼わない人は退去させられるペット可の市営住宅[?200308c&to=200308271S4#200308271S4] は長野県松本市だったけれども、これだけ苦労して猫を飼っている人がいる状況を考えると、本当に飼う人を優先したいという気持ちは分かります。
だけれども、本書が述べている様に、猫を飼うというのは、多くの場合「連れてきてしまった」という場合が多いと想像されるので、この市営住宅を利用するのは難しいと思う。
いずれにせよ、ペットを*飼っても*良いという住宅はもう少し増えても良いのでは無かろうか。

■ 関連記事

■5欲しいCD[音楽]<< 前の記事 このエントリーをはてなブックマークに追加

MD買ったのでCDが欲しくなった。ということで、買いたいCDリスト。

[音楽]acacia(アケイシャ)[http://www.amazon.co.jp/exec/obidos/ASIN/B00005J4YN/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]sweet,bitter sweet 〓YUMING BALLAD BEST[http://www.amazon.co.jp/exec/obidos/ASIN/B00005QCHC/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]Wings of Winter, Shades of Summer[http://www.amazon.co.jp/exec/obidos/ASIN/B00006LF4S/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]Yuming Compositions : FACES (初回)[http://www.amazon.co.jp/exec/obidos/ASIN/B0000QX5UG/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[音楽]VIVA! 6X7[http://www.amazon.co.jp/exec/obidos/ASIN/B00031Y98K/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

これ以前は、出れば買っていたのだけれど、買わなくなってからこれだけ経つか。

も欲しいところなのだけど、大抵の曲がかぶってしまうし。

■ 関連記事

詳細はこの日の詳細から

2005年02月22日(火)<< 前の日記 | 次の日記 >>
この日の詳細

■1フィッシング詐欺用サイトとサイト改竄の違い[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

JPCERT[http://www.jpcert.or.jp/] から、 Web 偽装詐欺 (phishing) の踏み台サーバに関する注意喚起[http://www.jpcert.or.jp/at/2005/at050002.txt] も出ていて、実際に踏み台にされる事例が急増している様だ。
「ウチも対策をしないと」ということで、早速、Webページ改竄検出のソリューションを導入して一安心というところがあるかも知れないがちょっと待って欲しい。
それらのツールは、確かにWebページの改竄を検出してくれるかも知れないし、それはそれで大事なのだけれども、フィッシング詐欺用の踏み台化の対策としては不十分だ。

フィッシング詐欺サイト情報[http://www.rbl.jp/phishing/] というページがある。
この内容を参考に、フィッシング詐欺サイトがどの様に構築されるかを考えると、

  1. 自分のサーバに構築する
  2. 侵入したサーバのトップページをいきなり書き換える
  3. 侵入したサーバのアドレスの秘密のディレクトリ以下をこっそり使う
  4. 侵入したサーバにバーチャルホストを構築する
  5. 侵入したサーバの別ポートでサーバを構築する

というパターンがある様だ。この内、自分のサーバが悪用される事を心配するのは、2以降で、3,4については、トップページから再帰的にリンクを辿るタイプの改竄検知システムでは検知不可能だ。
サーバ自身でファイルの改竄検出をするタイプであれば、うまく設定すれば、2,3,4が検出可能。5は検出できないケースも出てくるだろう。

フィッシング詐欺用サイトを立ち上げる場合、トップページを書き換えて「書き換えたぞ!」とアピールする改竄とは、攻撃側の立場が全く異なる。一旦作ったサイトが長期間機能すれば機能しただけ、引っかかる被害者も多くなるわけで、なるべく長期間発覚しないのが望ましい。
トップページをいきなり書き換えて、フィッシング詐欺メールを送る前にサイトを停止されたら何にもならないのだ。
こうやって考えると、ページトップから辿っていく手法の改竄検出は、フィッシング詐欺サイト構築の検出には向いていない事が分かる。

攻撃者から見ると、上記、2,3は、サーバのコンテンツ管理者の権限以上が入手できれば実現可能。いくつかの事情 *1 で、コンテンツをhttpdあるいはCGI実行ユーザーの持ち物にしている場合、CGIに穴があったら実現される可能性がある。
4は、httpd.confの更新がrootにしかできないのであれば、root権限を奪取されなければ大丈夫だと思われる *2
5は、一般ユーザー権限があれば可能。もちろんhttpd権限でも可能。

ということで、結局、フィッシング詐欺サイトの構築を防ぐためには、

  • サーバ全体の防御を固める
  • ログを含めてシステムの監視を強化する

といった地道な対策が必要で、特効薬はない様だ。
あえて、特化した検出系の技術を考えると、httpアクセスをパケットキャプチャ的に監視して、コンテンツとして用意していない筈のURIを検知するというテクノロジが使えるかも知れない。

*1: suExecを利用している場合はそうせざるを得ない。理由がないのだったらもちろん止めるべき。
*2: 動作中のhttpdの動作をhttpdの実行ユーザー権限で変更する事ができる可能性はあるが、未検証。

■ 関連記事

■2買い落とし本リスト[book]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

買わなきゃいけない本リスト。

IPv6 magazine[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2ND02RQUV4A96/249-3743634-2985128]:

書店で見つけた時に買っていたのだけれども、入荷しなくなってから買わなくなってた。10号で廃刊の様なので、買いそろえておかないと。

Amazon[http://www.amazon.co.jp/] では10巻が品切れだったので、 impress Direct[http://direct.ips.co.jp/book/impress.cfm] で発注。

[和書]FreeBSD expert―ワンランク上のFreeBSDユーザを目指せ! (2005)[http://www.amazon.co.jp/exec/obidos/ASIN/4774122092/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

[和書]BSD magazine No.17 (2003) (17)[http://www.amazon.co.jp/exec/obidos/ASIN/4756143458/keisdiary-22?dev-t=DDHPHE04VROHE%26camp=2025%26link_code=sp1]:

FreeBSD PRESS[http://www.amazon.co.jp/exec/obidos/tg/listmania/list-browse/-/2NTZ7O2NCS308/249-3743634-2985128]:

これは創刊号の方を持っていない。
1〜8巻、14,15,16巻が無いのだけど、もはや入手が困難かも知れない。

■ 関連記事

■3 STEP - SuperTagEditor Plugin[http://haseta2003.hp.infoseek.co.jp/]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

リッピングした曲データに、SonicStageでID3タグを打つのが面倒で、他のタグエディタを探したのだけれども、OpenMGの.omaファイルに対応したものが見当たらなかった。
調べてみるとid3libの形で、OpenMGの情報が 公開[http://www.sony.co.jp/Products/OpenMG/overview/tech.html] されているので、作れないことはない様だ。
とは言っても、UIを最初から作るのは大変なので探し当てたのがこれ。
大量の曲のタグを打つのに非常に重宝した、SuperTagEditorのタグ入出力部分をプラグイン化したプロジェクト。 これ用のプラグインとして、id3libを組み込む事ができれば、.omaファイルも扱える様になるのでは無いかと目論んだけれども、クイックハックでできる話じゃなさそうなので、一時棚上げ。

■ 関連記事

■4なぜ○○銀行のインターネットバンキングは右クリックを禁止するのか[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

ここ1ヶ月位でずいぶん状況が変わってきた。
実はこの記事の、○○銀行の○○の部分では、ある特定の銀行を想定していた。 その後、調べていくと、多くの銀行に共通する問題だということが分かったので、○○としておいたという事情があった。
最初に気づいた銀行とは、以前からやり取りをしていて、最終的にはアドレスバーを隠すのは止めるという方向で解決しそうだったので、様子を見ていた。
フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] の記事を読んで、そういえばどうなったかなと、以前アドレスバーを隠していた銀行を回ってみると、アドレスバーを隠す様なことは無くなっていた。いずれも、同じサービスを利用していた様だから、一斉に変更したのだろう。
世の中が一つだけれども、安全な方に動いたシーンをみる事ができたのは嬉しい。

アドレスバーを隠している理由は、恐らく、他のドメインでサービス本体を動かしているのを知られたくないという理由だろう。 これは、 高知県電子申請システムはどうしてアドレスバーを隠すのか[?200502b&to=200502161#200502161] で取り上げたのと同様、説明責任を回避してリスクを利用者に押しつける行為で許される事ではない。
面倒でもきちんと説明するか、 こうすれば良かったのではないか[?200502b&to=200502161S2#200502161S2] や、 フィッシング防止のため地方銀行はこうするべき[http://takagi-hiromitsu.jp/diary/20050220.html#p01] で提案されている様に、自分のドメインで運用すると、利用者に「ドメイン名が違うのは要注意」という習慣づけができて、より安全な社会になる。

■ 関連記事

詳細はこの日の詳細から

2005年02月23日(水)<< 前の日記 | 次の日記 >>
この日の詳細

■1 公益性のない無断複製自動公衆送信に関するローカルミラーシステムの考え方[http://takagi-hiromitsu.jp/diary/20050222.html#p01][hns]次の記事 >> このエントリーをはてなブックマークに追加

この日記では、 ローカルミラーシステム[?200309b&to=200309175#200309175] を運用しています。導入した動機は、 メモリンクのリンク先が消滅して困る[?200308b&to=200308153#200308153] というもので、日記で触れた内容をローカルに保存する行為を自動的に行う事を目的としています。
そのため、閲覧にはパスワード認証を設ける様にしていますし、筆者本人以外が閲覧することは想定していませんでした。
もちろん、保存したページを読者に公開すれば、読者の利便性は増すでしょうし、魅力あるコンテンツが作れるのではないかという思いつきはありました。
でも、それはまず第一に、他人のコンテンツの盗用につながりますし、既に指摘されている様にセキュリティ上の問題も生じさせます。
ですが、ローカルミラーシステムを公開した際には、ミラーしたコンテンツを一般に公開しないのは当然だという思いこみがあったせいで、その事に関して触れませんでした。
「ローカル」という言葉にあくまで自分だけのものだという思いはあったのですが、配慮が足りなかったと反省しております。

その様な事情ですので、もしローカルミラーシステムを、一般に公開する形で運用されている方がいらっしゃいましたら、自分にしか見られない様に設定する様にお願いします。
ローカルミラーシステム[?200309b&to=200309175#200309175] の記事にも注意書きを付記しました。

より抜本的には、筆者以外の読者にリンクの存在も表示しない様にすべきだと思いますので、今後手がけていきたいと思っています。

ローカルミラーを公開することについて:

ローカルミラーシステムでローカルに保存したコンテンツの公開を私は行いませんし、ローカルミラーシステムの仕組みは、保存したコンテンツを一般に公開する事を想定して作られていません。
保存したコンテンツを公開しようとお考えの方は、大きく二つの問題を検討して下さい。検討の結果、この目的にローカルミラーシステムは不適合だということが判明すると思います。

まず、著作権上の問題があります。保存したコンテンツを公開する事について、あなたが著作権上の権利を持っている事は確実でしょうか。ローカルミラーシステムでは、あなたが日記で触れたリンクの全てをローカルに保存して公開することになります。
従って、あなたが日記で触れるリンク先の全てが、コピーして公開可能なコンテンツであるか、あるいは、正当な引用であることを保証する必要があります。これは通常の日記を書く上で、非常に不便な制約になると思います。
もし、一般に公開する場合は、公開可能なものを明示的に分けて指定する仕組みが必要になると思いますが、ローカルミラーシステムにはこの機能はありません。

また、保存したコンテンツは、あなたのコンテンツの一部として公開されますから、万一、悪意のあるページを保存してしまった場合、筆者本人を含む読者に迷惑を掛ける可能性があります。つまり、一旦保存したページを*あなたが*公開する訳ですから、そのコンテンツに責任を持つ必要が生じるわけです。
また、収集したページがコピーされたものだという事を、利用者に表示する手段がありませんし、読者がキャッシュされたページを見た時に、そもそもそのコンテンツの出典を表示する機能が欠けています。
従って、一般に公開するのを前提にすれば、収集したページを確認したり、Googleがキャッシュを表示する時の様に、どこから収集されたものか視覚的に分かる様に明示する仕組みが必要になると思われます。

いわゆる「キャッシュ」を公開するシステムについては、それが著作権上、正当な引用を含んで、クリアにされているのであれば、ネガティブではありませんし、それはそれで便利な仕組みが作れる可能性はあると思っています。利用者としても活用している側面があります。
ですが、私としてはこういった問題をクリアしたシステムを作る予定は今のところありません。上記で述べた様に、結構実現が難しいのです。むしろ、私の興味は、自分専用であることを前提とした機能の充実に向いています。

■ 関連記事

■2 国内のWebサーバーがフィッシングに悪用される,関係者は「全く気付かなかった」[http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20050222/156491/][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

佐賀県のWebサーバー上にフィッシングサイト、2週間にわたり開設[http://www.nantoka.com/~kei/diary/?200502c&to=200502211S2#T200502211S2] の続報。

2週間程度偽ページが放置されていたわけだが,同センターによると「ユーザーや担当者は気付かなかった。指摘されてサーバーを調査して初めて分かった」という。

ということだが、これだけ気づかないということは、 フィッシング詐欺用サイトとサイト改竄の違い[http://www.nantoka.com/~kei/diary/?200502c&to=200502221#T200502221] で述べた、3以降のケースだったのだろうか。
フィッシング詐欺サイト情報[http://www.rbl.jp/phishing/?mode=show&date=20050204] で見ると、「.(ドット)」から始まるURIを使っている例もある様だ。これはディレクトリを見た時に、管理者に気づかれにくいかも知れないが、逆にちょっと気が利いた管理者はドットファイルをチェックする様なcronを仕込んでいるものだ。お勧め。

■ 関連記事

■3 iPodの背面ボディーが新潟県燕市で作られている話[http://koshipa.net/archives/000463.html]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

新潟県燕市周辺の磨き職人のピンチを解決[http://www.nhk.or.jp/gokinjo/backnumber/041202.html] という番組を観て、日経に載っていたのを読んで、「そうだよ!その方向だよ!」と思っていたんですが、 ワールドビジネスサテライト[http://www.tv-tokyo.co.jp/wbs/2005/02/22/tokushu/o1.html] でも取り上げられた様です。
逆見本市 *1 とか積極的に参加すると、大手企業がどうやって量産するか一生懸命悩んでる事を、中小の町工場の人が「こんなの、ウチなら簡単にできるよ」っていう状況があるかも知れません。
このマッチングはきっと大きなビジネスチャンスを産み出しそうです。

*1: 普通の見本市は「ウチはこんなの作ってますよ」とか「こんな技術を持ってますよ」というアピールをするのだけれども、中小企業にとっては見本市に参加するのにもオカネが掛かるし、自分で売りだと考える技術と、求められている技術が違ったりして、なかなか商談までこぎ着けるのが難しかった様だ。逆見本市では、実現したい製品あるいはモック等を「これが量産(あるいは安価に実現)できる技術があるところありませんか」という展示を行う。一般に、量産をしようとする方が大資本なので、見本市で展示するコストを払いやすいし、町工場の側からはまさに必要とされている技術を待っているお客さんがいる訳なので、商談に結びつきやすいと期待されている。

■ 関連記事

■4テーマを変更してみた[hns]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

日記ページを見た時の先頭部分にPIMがあるのは、筆者にはある程度便利だけども、毎回、スクロールバーを操作しないといけないわけで読者には面倒なんじゃないかと感じていました。
ということで、サイドバーも取り入れつテーマを変更しつつあります。なるべく画面下の方に移動したりして、最新記事を先頭の方からご覧頂けることを目指しています。
自分自身がAirH"を良く使う様になった事情もあって、データとして読みたいものから送ってくれた方がありがたいということを身にしみて感じたので、サイドバーはhtml的には後で送って、CSSで左側に出しています。これはtableではできないことですね。

■ 関連記事

■5 デジタルアーツ、インターネットアクセス制御に関する特許を22か国で取得[http://www.computernews.com/DailyNews/2005/02/2005022213218FAC90F22020.htm]<< 前の記事 このエントリーをはてなブックマークに追加

Silphium Diary[http://aki.nekoruri.jp/diary/200502c#D22_1] より。
同社の プレスリリース[http://www.daj.co.jp/company/release/2005/r022101.htm] によると、日本では「特許第3605343号」で特許になっているということだから、 特許電子図書館[http://www.ipdl.ncipi.go.jp/] で調べてみた。出願は平成12年3月31日(特開2001-282797)。そこまで昔の話ではない。登録は平成16年10月8日。
請求項は14項あるけれども、結局、全て請求項1に係っていて、
【請求項1】
コンピュータを使用してインターネットを介して外部情報のアクセスを制御する方法であって、アクセス許可サイトのリストを含む第1データベース、アクセス禁止サイトのリストを含む第2データベース、禁止語キーワードを含む第3データベース、及び有益語キーワードを含む第4データベースを備えた前記コンピュータを使用してインターネットを介して外部情報をアクセスする際に、前記コンピュータが、前記第1データベースに含まれるサイトへのアクセスは許可し、前記第2データベースに含まれるサイトへのアクセスは禁止し、前記第1および前記第2データベースに含まれないサイトについては、当該サイトからの情報が前記第3データベースに含まれるキーワードを有しない時にはアクセスを許可し、当該サイトからの情報が前記第3データベースに含まれるキーワードを有する時は前記第4データベースに含まれるキーワードを有する時のみにアクセスを許可することを特徴とするインターネット閲覧制御方法。
少なくとも、
コンピュータを使用してインターネットを介して外部情報のアクセスを制御する方法
の内側だから、.htaccess等によるサーバ側でのアクセス制御には係ってこない様に読める。
要は、
  1. サイトの許可リスト
  2. サイトの禁止リスト
  3. キーワード禁止リスト
  4. キーワードの許可リスト
を持っていて、まず、1,2の順にサイトマッチをやってヒットすれば確定。
次に、3(禁止キーワード)になければ禁止。3にあっても4(特例許可キーワード)にあれば許可。
確かに効率の良い方法で、サイトリストがあればサイトマッチで条件を決めた方が良いし、一般的にはわいせつなどとして引っかかる単語も、特定の用語を術語として使う様な学校や職場では救いたいだろうから、特例許可リストが必要になる。
サイトの許可リストを用意しておかないと、配布されている禁止サイトの中に、どうしても必要なページがある時に困る。
平成12年3月当時に、この方法が一般的だったかどうかは分からないけれども、当業者が容易に思いつかないかと言われると微妙な気がする。
もっとも、先行特許がないということは「課題の発明」と言えなくも無いので、そこが新規性であると認められれば、こうやって特許になるということらしい。

■ 関連記事

詳細はこの日の詳細から

2005年02月24日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1テーマとスタイル調整中[hns] このエントリーをはてなブックマークに追加

なかなか難しい。
せっかくだからこの機会に、各ページの表示上のヘッダ部分とフッタ部分を統一しようと思ったんですが、なかなかうまい方法がなくて思案中。

■ 関連記事

詳細はこの日の詳細から

2005年02月25日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1新しいテーマ[hns]次の記事 >> このエントリーをはてなブックマークに追加

新しいデザインのスクリーンショット
日記のテーマを今風というか、デザインをある程度重視したものに変えてみようと思いながらいじりつつある。 作成中。こういうのはやはりセンスが重要だと思うし、デザインの才能はないなと痛感する。
実際にいじるのはなかなか大変で、まず、日記のサンプルを表示した状態でhtmlファイルを保存して、これを書き換える格好で、htmlとCSSを同時進行で編集していく。
theme.phでいじれるところとそうでないところは、大体見当が付いているのだけれども、あやしいところは確認しながら作業を進めるわけだ。
最初はtheme.phを直接編集してたのだけれども、試行錯誤をやる過程では、htmlファイルをいじって確認した方が早い様だ。
htmlファイルができあがった時点で、theme.phに反映させる事にする。
かなりCSS依存度の高いデザインになっているので、CSS非対応のブラウザで変な事になっていないかどうか、複数のブラウザで見栄えをチェックしながら作業していたけれども、まぁ許容できる範囲ではないかと思う。
本当はこの機会に、htmlの非推奨要素をクリアしようと思ったけれども、そこまでできそうにはなかった。カレンダーや他のサイトからの切り貼りもあることなので、妥協する事にした。
こうやって、複数ブラウザ開いたりすると、画面が広いのはすごく嬉しい。
作業中のデスクトップのスクリーンショット

■ 関連記事

■2 続・日本語.jpのフィッシング詐欺対策に「ソ二一.jp」問題は含まれているのか[?200502c&to=200502213#200502213][セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

日本語というか多バイト文字集合を持っている国では考えないといけないことが非常に多いのではないかと思う。
JPドメイン名は対策済みです[http://日本語.jp/access/phishing.html] には、
日本語JPドメイン名として使用できる文字を漢字・仮名・英数字に限定しています。そのため、キリル文字など英数字に非常によく似た文字が混在したドメイン名は登録できません。したがって、今回指摘された例にある不正サイトは、JPドメイン名には存在していません。
とある。確かに、「今回指摘された例にある」不正サイトは、JPドメイン名には存在しないかも知れないが、JPドメインを使うと同様の対策されていない問題にぶつかるのではないか。
日本語には字形の良く似た文字があって、画数が多い漢字は特にアドレスバーでは見分けが付かない文字が出てくる。例に挙げた「二」と「二」の他にも、これは探せばいくらでも出てくる。
もう一つ注意しないといけない問題があって、意味も読みも同じだけれども、文字コードとしては違うという文字もある。「瀧」と「滝」、「龍」と「竜」等が代表格だ。
秀逸な例を見つけた。 養老乃瀧.jp[http://養老乃瀧.jp/] というドメインは既に取得されているが、「養老乃滝.jp」は登録されていない。 「養老之瀧.jp」「養老之滝.jp」「養老の滝.jp」「養老の瀧.jp」等も登録されていない。
商標の場合は、発音や見た目、概念で類似している商標は受け付けないだけの審査をやっているけれども、日本語.jpが「対策済み」としている対策には、機械的なルールだとしても、その様な審査が入っているのだろうか。
もっとも、こういう問題は、ドメイン名にハイフンを含むか含まないか、ローマ字が訓令式かヘボン式か、外来語をローマ字読みにするか正しいスペルにするかといった事で、実は昔から存在した問題だ。日本語.jpではこの問題は解決できないと言ってしまうのは当然ありだ。
それを、
日本語JPドメイン名では、上述のような既存のドメイン名と視覚的に非常によく似たドメイン名を使用した不正サイトの存在は起こりにくくなっています。
IDNの導入で起こりえる問題を認識し、サービス導入時から対応策を実施してきている日本語JPドメイン名は、安心してご利用いただけます。
と言ってしまうのは、もし上記の様な問題が解決されていないのだとすると、「日本語.jpを使えば視覚的に非常によく似たドメイン名による詐欺に遭いにくい」という誤った思いこみを招くのではなかろうか。
  • 日本語JPドメイン名では、
  • 上述のような
  • 既存のドメイン名と視覚的に非常によく似たドメイン名
  • を使用した不正サイトの存在
  • は起こりにくくなっています。
「上述のような」は、キリル文字や半角、全角の話であって、「(キリル文字や半角、全角の錯覚を使用した)既存のドメイン名と視覚的に非常によく似たドメイン名、を使用した不正サイトの存在、は起こりにくくなっています。」と読むのかも知れない。だとすれば、この文章では漢字に関しては言及していない事になる。注意して読みとる必要がある。

■ 関連記事

詳細はこの日の詳細から

2005年02月26日()<< 前の日記 | 次の日記 >>
この日の詳細

■1SYA!nikki[SYA!nikki] このエントリーをはてなブックマークに追加

1620 おでかけ:

1700 京ぽんと比較:

こちらは京ぽんから、位置情報を入れられる様にしたいところ。
京ぽんと比較

1830 おかいもの:

■ 関連記事

詳細はこの日の詳細から

2005年02月27日()<< 前の日記 | 次の日記 >>
この日の詳細

■1「チェックコードが一桁あるので、セキュリティが低いとは言えない」[セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

報道特集「キャッシュカード被害〜偽造犯の供述内容は!」[http://www.tbs.co.jp/houtoku/2005/050227.html] より。
キャッシュカードのスキミングによる被害が急速に増加しているが、 カードに秘密情報が含まれていなければ、スキミングなどしなくても偽造カードが作れるのではないか[http://d.hatena.ne.jp/HiromitsuTakagi/20031127] という指摘がなされていた。
番組によると、この懸念は当たりだったようで、銀行コード、支店番号、口座番号が分かればカードが作られてしまう銀行もあるという *1
これを防ぐために、「チェックコード」というものが導入されている銀行もあるという。銀行コード、支店番号、口座番号が分かっても、「チェックコード」が一致しないとカード偽造ができないから安全だと言うのだ。
ところが、この「チェックコード」なるもの、あっても1桁か2桁。そんなものは、恐らくチェックデジットに過ぎない。秘密情報であっても、突破できるレベルだ。
実際、偽造カードを作ったという犯行が起きているのだから、口座番号などから算出できる数字を使っていたに違いない。新たに口座毎にランダムなキーを割り当てて、それを照合する仕組みにはなっていなかったのだろう。実際にそうするのならば、それで安全性を確保しようとする意図があって設計するのだから、もっと多くの桁数を割り当てる筈だ。
恐らくは、カードが正常に読めたかどうか判断するための、単なる「チェックサム」あるいは「チェックデジット」を「セキュリティコード」等と名付けて、「これで安全性が確保できています」と主張していたということだ。
「チェックサム」や「チェックデジット」は、読み間違いを検出するためにあるもので、番号の真正性を確認するために使うことはできない。たとえ計算方法を秘密にしても、セキュリティを確保することはできない。方法を秘密にすることによって、欠陥は見えにくくなるけれども、見えない穴は開いたままなのだ。
欠陥を見えなくして利用者には「安全ですよ」と主張しておいて、問題が起きたら責任を利用者に転嫁するシステムは許されてはならない筈だが、たいていの銀行のキャッシュカードは、現状、そういう状況にある様だ。
こういった中で自分の預金を守るためには、キャッシュカードを利用するための口座を別に作って、大きい金額が入った口座は別に持つ様にするしかない。
*1: 番組によれば1/3の銀行は、この情報だけでカードが作れるという。

■ 関連記事

■2SYA!nikki[SYA!nikki]<< 前の記事 このエントリーをはてなブックマークに追加

2113 おひなさま:

購入。
おひなさま

■ 関連記事

詳細はこの日の詳細から

2005年02月28日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・「チェックコードが一桁あるので、セキュリティが低いとは言えない」[?200502c&to=200502271#200502271][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

録画を見直してみた。
1850万円の預金が不正に引き出されるという事件が起きた。供述調書によれば手口は以下の様ものだ。

  1. キャッシュコーナーで預金を引き出す際に、暗証番号を盗み見られた
  2. 車のナンバーから持ち主を特定
  3. 銀行を装って電話を掛け、口座番号を聞き出す
  4. 偽造カードを作成して、全額を引き出す

1については、最近は目隠しを立てる様になってきているし、自分自身は以前から気を付けているけれども、確実に大丈夫かと聞かれると自信がない。混んでいる時など後ろの人が盗み見る積もりになれば読み取れるのでは無いかと思うし、ショルダーハックと比較して、テンキーを盗み見るのはかなり簡単だろう。
3でソーシャルな手法を使っているが、そもそも口座番号は秘密情報では無いので、聞き出すのは簡単だろうし、聞き出すまでも無く知る事ができる場合が多い。事業をやっている場合は、請求書に普通に印刷されていたりするし、名刺に印刷されているものも見た事がある。少し前までは、公共料金などの領収書に引き落とし口座が印字されていたものだし、今でも印字している例は多いかも知れない。

こうやって、預金を引き出された法人が、銀行を相手取って民事訴訟を起こした訳だが、その中で銀行側が主張したのが冒頭の言葉だ。

23の金融機関のキャッシュカードの磁気データを分析したところ、チェックコードを設けていないと考えられるものは8金融機関もあり、全体の3分の1以上ある状況に照らせば、1桁のチェックコードがある被告のセキュリティ技術が一般水準以下であるとは到底言えない。
1桁のチェックコードがあるのは安全な方だ

「1桁で安全」という主張にも驚くが、これが一般水準だったら、キャッシュカードは恐くて使えない。
番組でも「銀行カードに詳しい技術者」に大手7金融機関のカードを分析を依頼していたが、チェックコード無しが1行、チェックコード1桁が4行、チェックコード2桁以上が2行という結果だった。

番組中、技術者は「チェックコード」ではなく「チェックサム」と言っていた。チェックサムだとすると、2桁以上あっても全く安心できない。枚数をある程度集めれば、計算式が推測可能だからだ。桁数を多くしてもサンプルが多く必要になるだけの話だ。

キャッシュカードを使わない様にするとATMが使えないということになるので、実際は相当に不便になる。自分自身も対策をしなければいけないと思いつつ踏み切れていない。
ネットバンキングに切り替えて、キャッシュカードを持つのを止めるというのも考えているところだ。
バランスの問題だけれども、ネットバンキングはキャッシュカードに比べると、利用者が努力すればまだ安全性を確保できそうだ。暗証番号では無くて長いパスワードが使えるし、フィッシングもオレオレ証明書も自分で気を付ければ、ほぼ被害を無くす事ができる。問題は銀行のシステムに穴があった場合だが、その場合に、被害者が自分一人ということはほとんど無いだろうから、比較的安心できる。
残念な事に、キャッシュカードを持たないでネットバンキングを利用することができない銀行もある様な気がする。

■ 関連記事

■2 続・例示用には実在しないドメイン「example.com」等を[?200502b&to=200502173#200502173]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

携帯電話アクセス自動振り分け表示
ウチのドメインいつの間にか乗っ取られたかと思ってびっくりしますから、お願いしますよ。
それから、メールアドレスの正当性チェックと称して、「nantoka」を含むドメインをはじくのも勘弁して下さい。スクリプトを配布される作者の方は、サンプルには、bad.example.com等を使って下さる様にお願いします。
Webで入力されたメールアドレスが正しいかどうか調べるためには、 Email::Valid[http://perldoc.jp/docs/modules/Email-Valid-0.14/Email/Valid.pod] あたりをお勧めします。但し、実際に配送してみるまで(配送してみても)、メールアドレスが正しいものであるかどうかを確認する方法はありません。そういう厳密な確認が必要な時は、セションキーを割り当てて、メールにアクセスすべきURIを書いて送って、そのURIへのアクセスを確認する方法がありますが、もちろん、そのアドレスが将来にわたって有効である保証はありません。

■ 関連記事

■3 寝台特急さくら、あさかぜ歴史に幕 長崎駅などで出発式[http://www.asahi.com/national/update/0228/028.html]<< 前の記事 このエントリーをはてなブックマークに追加

ついに九州寝台特急の歴史に幕が下りたわけです。ノスタルジーだけではやっていけないけど、鉄道旅行の楽しみが食堂車についで消えたのは寂しい限りです。とってもひょっとすると、いつか他の寝台車両が九州まで来る事はあるかも知れない。
さくら号 さくら号Bソロ外観 さくら号Bソロ室内1 さくら号Bソロ室内2

トワイライトエクスプレス[http://www.nantoka.com/~kei/TwilightExpress/]:

はまだ現役。もう一度乗りたい。

■ 関連記事

詳細はこの日の詳細から

以上、28 日分です。

指定日の日記を表示

前月 2005年02月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

keikuma on Twitter

keikuma Name:前田勝之
Location:長崎市
Web:http://www.nantok...
Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

サイト内検索

Google AdSense

Powered by hns-2.19.9, HyperNikkiSystem Project