2010年05月26日(水)
<< 前の日記 | 次の日記 >>
これまでの05月26日
編集
■1会社案内のページ[会社]次の記事 >>
Tweet
しばらく前から、会社のページを作らないといけないと思っているのですが、なかなか着手できないでいます。
紺屋の白袴と言いますか、ネットをビジネスにする会社が案内のページを作っていないというのは、お客さんに対して説得力を欠く訳で、これはいかんと思いました。
「デザインが…」とか「色のセンスが…」とか言う言い訳をやめて、まず企画から着手しようと思います。有言実行。
紺屋の白袴と言いますか、ネットをビジネスにする会社が案内のページを作っていないというのは、お客さんに対して説得力を欠く訳で、これはいかんと思いました。
「デザインが…」とか「色のセンスが…」とか言う言い訳をやめて、まず企画から着手しようと思います。有言実行。
■ 関連記事
- 続・おしごとしてくれる人募集2003-09-24
- 某FPB案件2002-06-13
- ドメインビジネス2000-05-25
- 不正中継対策サービス1999-06-05
- 日本語フォントの差し替え2010-06-06
- 新しいテーマ2005-02-25
- [単行本]説得できる図解表現200の鉄則―ロジカル思考をアピールする概念図はこう描く2009-12-10
- ネット「経路乗っ取り」防止へ監視網構築へ・総務省着手2005-06-09
- 煮豚、麻婆豆腐、野菜とひき肉の中華炒め2007-11-04
- hns-2.10-pl0-linkto.patch2002-01-25
- 東京都青少年の健全な育成に関する条例改正案2004-09-22
- ORBSに登録されたとTel2000-04-14
- [和書]生協の白石さん2005-10-20
- アンチパターン「永遠に続く設計」2005-07-12
- ブログにウサギ解剖写真、宮崎大生6人を停学処分2005-12-16
■2
robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕[http://www.asahi.com/national/update/0525/NGY201005250031.html][セキュリティ]<< 前の記事 | 次の記事 >>
Tweet
色々と突っ込みどころがあるニュースだ。
ウチのサーバにも中国方面からのボットが根こそぎコンテンツ収集にやってきまして、これはもう、毎秒1クエリなんてなんてものじゃありません。それでも色々工夫をして運用をしている訳です。
これが、警察に相談しに行ったら業務妨害で解決するんだったら、頼みたい人はたくさんいるんじゃないでしょうか。もっとも、相手は国内に限られるでしょうが。
ところで、 岡崎市立図書館のよくある質問[http://www.library.okazaki.aichi.jp/tosho/faq.html] のページですが、ボットでアクセスしてはいけないとか、スクレイピングしてはいけないとかいう注意事項はありません。 robots.txt[http://www.library.okazaki.aichi.jp/robots.txt] には指定がありますが、「robots.txtに従わなかったから業務妨害」ということができるのでしょうか。疑問が残ります。
中川容疑者は、4月2日から15日にかけて、岡崎市立中央図書館のホームページに、計約3万3千回のアクセスを繰り返し、ホームページを閲覧しにくい状態にした疑いがある。恐らく、蔵書DBを取ってきてスクレイピングする様なコードを書いてたんじゃないかと想像しますけれども、
同図書館のホームページ管理用サーバーには、3月中旬からの約1カ月間に、中川容疑者の自宅のパソコンなど特定の端末から計約6万4千回のアクセスがあり、その影響でホームページの閲覧は21回停止されていた。
同課によると、中川容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。
- その程度のアクセスで、サーバがダウンしたこと
- ダウンに対して、技術的な方策を打てなかったこと
- アクセスログから、何が起こっているのかを把握できなかったこと
- 警察に通報して解決してもらおうとしたこと
- 警察が業務妨害として受理したこと
- 業務妨害の意図があったかどうか定かでないのに、業務妨害で逮捕したこと
ウチのサーバにも中国方面からのボットが根こそぎコンテンツ収集にやってきまして、これはもう、毎秒1クエリなんてなんてものじゃありません。それでも色々工夫をして運用をしている訳です。
これが、警察に相談しに行ったら業務妨害で解決するんだったら、頼みたい人はたくさんいるんじゃないでしょうか。もっとも、相手は国内に限られるでしょうが。
ところで、 岡崎市立図書館のよくある質問[http://www.library.okazaki.aichi.jp/tosho/faq.html] のページですが、ボットでアクセスしてはいけないとか、スクレイピングしてはいけないとかいう注意事項はありません。 robots.txt[http://www.library.okazaki.aichi.jp/robots.txt] には指定がありますが、「robots.txtに従わなかったから業務妨害」ということができるのでしょうか。疑問が残ります。
■ 関連記事
- 3ヶ月目の近況報告2010-08-26
- 岡崎市立中央図書館事件に関する本日誌の記事一覧2010-08-17
- 続・ robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕2010-07-12
- クロールとDoSの違いと業務妨害罪と2010-06-24
- 続・robots.txtに従わず、図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕2010-06-21
- シリーズ・クロールとDoSの違いと業務妨害罪と - 関連記事一覧2013-02-09
- シリーズ・クロールとDoSの違いと業務妨害罪と(11) - 図書館HP閲覧不能、サイバー攻撃の容疑者逮捕、だが…2010-08-21
- スパイウエア使った不正振り込み、容疑で男逮捕 警視庁2005-11-10
- シリーズ・クロールとDoSの違いと業務妨害罪と(10) - 動かないコンピュータ2010-08-06
- シリーズ・クロールとDoSの違いと業務妨害罪と(9) - 関連リンク集2010-08-02
- シリーズ・クロールとDoSの違いと業務妨害罪と(15) - 岡崎市立中央図書館のホームページへの大量アクセスによる障害について2010-09-01
- シリーズ・クロールとDoSの違いと業務妨害罪と(4)2010-07-18
- 「ユニクロ」サイトに不正注文=在庫4000着以上発生−無職男を逮捕・警視庁2006-05-10
- 小林興起氏の秘書2人逮捕 他人装い投票の疑い2005-09-12
- シリーズ・クロールとDoSの違いと業務妨害罪と(36) - 「図書館ホームページ閲覧障害に係る経過等について」2011-02-26
■3ユニクロのフィッシング詐欺風サイトに見る群集心理[セキュリティ]<< 前の記事
Tweet
ユニクロ[http://www.uniqlo.com/jp/]
が、26周年を記念して、
Twitter連動型サイトを公開[http://japan.cnet.com/marketing/story/0,3800080523,20413873,00.htm]
している。
ユニクロは、これまでにもTwitter連動型の広告を送りだして来ており、上手くTwitterとの連携を模索しつつあるなと感心していたのだけれども、今回のは問題ありだ。
タイムラインで行列に並んでいる人を見つけて、特設サイトにアクセスすると、たくさんの人がつぶやきながら行列に並んでいる。
行列に並ぶボタンが設置されており、そのボタンをクリックすると、アカウント入力画面が表示されて、TwitterのIDとパスワードを入力しろという。
実際、多くの人が並んでいる訳だから、IDとパスワードを入力したのだろうけれども、こういうやり方を広めてもらっては、社会全体の、フィッシング詐欺に対するぜい弱性が低下する。
「みんながやっているから」「UNIQLOは信用できる会社だから」「クールに見えるサイトだから」「httpsになっているから」許されることではない。むしろ、信用されるサイトだからこそ、責任が重いと考える。
この特設ページは、きっと話題になって、他の会社がそのまんま真似た様なページを作ってしまうかも知れない。利用者のパスワードを入力させる仕様もそのままだ。
毎回、ユーザIDとパスワードを入力させるのは、嫌がられるという判断で、パスワードを保存してしまうサイトが作られるのは時間の問題であろう。
心あるプログラマーは、利用者のサードパーティのパスワードを受けとることは、自分のサービス以外の、責任負担不可能な責任を負うことになることを懸念するだろうが、上に作れと言われれば、良心に呵責を感じながらも実装せざるを得なくなることはたくさんの実例が証明している。
この様なサービスが増えてしまうと、社会全体のフィッシング詐欺耐性が著しく低下する。 ユニクロ[http://www.uniqlo.com/jp/] としても望むところでは無かろう。
利用者のパスワードは、利用者自身とサービス提供者だけが知りうる。他の第三者には絶対に明かさない。この原則が破られれば、パスワードによる認証は崩壊するのだから、危ない橋をみんなで渡る習慣を付けさせるのは止めて頂きたい。
まさにそのために、 OAuth[http://ja.wikipedia.org/wiki/OAuth] の様な仕組みがちゃんと用意されているのだから。
ユニクロは、これまでにもTwitter連動型の広告を送りだして来ており、上手くTwitterとの連携を模索しつつあるなと感心していたのだけれども、今回のは問題ありだ。
タイムラインで行列に並んでいる人を見つけて、特設サイトにアクセスすると、たくさんの人がつぶやきながら行列に並んでいる。
実際、多くの人が並んでいる訳だから、IDとパスワードを入力したのだろうけれども、こういうやり方を広めてもらっては、社会全体の、フィッシング詐欺に対するぜい弱性が低下する。
「みんながやっているから」「UNIQLOは信用できる会社だから」「クールに見えるサイトだから」「httpsになっているから」許されることではない。むしろ、信用されるサイトだからこそ、責任が重いと考える。
この特設ページは、きっと話題になって、他の会社がそのまんま真似た様なページを作ってしまうかも知れない。利用者のパスワードを入力させる仕様もそのままだ。
毎回、ユーザIDとパスワードを入力させるのは、嫌がられるという判断で、パスワードを保存してしまうサイトが作られるのは時間の問題であろう。
心あるプログラマーは、利用者のサードパーティのパスワードを受けとることは、自分のサービス以外の、責任負担不可能な責任を負うことになることを懸念するだろうが、上に作れと言われれば、良心に呵責を感じながらも実装せざるを得なくなることはたくさんの実例が証明している。
この様なサービスが増えてしまうと、社会全体のフィッシング詐欺耐性が著しく低下する。 ユニクロ[http://www.uniqlo.com/jp/] としても望むところでは無かろう。
利用者のパスワードは、利用者自身とサービス提供者だけが知りうる。他の第三者には絶対に明かさない。この原則が破られれば、パスワードによる認証は崩壊するのだから、危ない橋をみんなで渡る習慣を付けさせるのは止めて頂きたい。
まさにそのために、 OAuth[http://ja.wikipedia.org/wiki/OAuth] の様な仕組みがちゃんと用意されているのだから。
□ 個人情報が漏洩していると言われているのは誤解:
個人情報が漏えいしているという情報が流れているようだが、実際のところは、
従って、「個人情報漏えいが起きている」と言うのは誤解だと思われる。
http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txtと言ったURLから、行列に並んでいるユーザのIDやTweetが取得できるだけの様だ。
従って、「個人情報漏えいが起きている」と言うのは誤解だと思われる。
□ 残念ながら…:
世の中、アクセスする前に予めパスワードを変えておいたり、そもそも全てのサービスで全く関連の無いパスワードを設定している人ばかりでは無い。
マトリックス風にクルマを避ける能力がある人が、大勢で並んで赤信号を渡ることによって、真似して渡った子どもがはねられる様なことになってはいけない。
マトリックス風にクルマを避ける能力がある人が、大勢で並んで赤信号を渡ることによって、真似して渡った子どもがはねられる様なことになってはいけない。
□ UNIQLO LUCKY LINEに関するお知らせ[http://www.uniqlo.com/jp/corp/pressrelease/2010/05/052615_uq_web.html]:
公式見解が発表されたようだ。
問題はそこではなくて、「(ユニクロ以外の)第三者が運営するサービスのパスワードを入力せよ」言うことであり、また、その様なサービスを流行させることによって、第三者のサイトにパスワードを入力することの抵抗感を薄れさせていることにある。
ユニクロが盗むと疑っているのではなく *1 、類似のサービスが増えて、その中にパスワードを盗む目的のものや、パスワードが流出する様なものが登場してくることを懸念している。
当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。データベースに保存していない(と主張する)のは当然である。第三者のパスワードを説明に反して保存していたとすれば、それはもはや犯罪行為である。
問題はそこではなくて、「(ユニクロ以外の)第三者が運営するサービスのパスワードを入力せよ」言うことであり、また、その様なサービスを流行させることによって、第三者のサイトにパスワードを入力することの抵抗感を薄れさせていることにある。
ユニクロが盗むと疑っているのではなく *1 、類似のサービスが増えて、その中にパスワードを盗む目的のものや、パスワードが流出する様なものが登場してくることを懸念している。
□ 「nwitter」の違法性について考えてみる[http://takagi-hiromitsu.jp/diary/20080217.html#p01]:
高木先生も、
理由や目的の明示なく他サイトのパスワードを要求する行為は、必然性がないと言えるのであり、慎むべきである。と、やや抑えた表現をしているが、「重要なサービスでphishingサイトが区別されにくくなるという実害が生じる。」という点については、問題であると指摘されていた様だ。
*1: 漏れる心配が無いとは主張していない。
■ 関連記事
- 日本レコード協会のフィッシングサイト「LOVE MUSIC」2010-12-24
- 他のサイトのパスワードを聞き出すことを禁止できないものだろうか2010-07-13
- 「ユニクロ」サイトに不正注文=在庫4000着以上発生−無職男を逮捕・警視庁2006-05-10
- アメブロで情報漏えいなぅ2010-01-01
- チーズと小芋定食3000円2005-03-31
- (Apacheを)WinXPで動かすときのライセンス問題2003-01-14
- 天使のソリティア2008-03-01
- ひつまぶし2005-10-02
- Googleのトップページを開くと毎秒100回実行されるスクリプトを止めるユーザースクリプト2009-10-01
- 続・他のサイトのパスワードを聞き出すことを禁止できないものだろうか2010-07-15
- Nifty Corners: rounded corners without images2005-03-20
- 「首相官邸ブログ」と称する何か2009-12-07
- 幼稚園からのネットリテラシー教育2010-01-07
- ModRewriteの設定2000-04-02
- 機密情報の持ち出し、80%超の人が「バレないだろう」--トレンドマイクロ2009-11-12
■今日のつぶやき
- @makiuna あーそれはすごい!ぜひ見たいです。2010-05-26 07:00:04 Tweenで makiuna宛て
- おはようございます。最近は非常に規則正しい生活をしていますが、起きている間、つぶやき続けてるじゃん! http://tc.nantoka.com/keikuma #TweetClock2010-05-26 07:04:12 Tweenで
- カーリルが米国運営と言うのはそういうことかなぁと。日本の競争力が殺がれていく。 RT @milkya: 図書館OPACのクローラ作って動かしたら逮捕されちゃったみたいだよ!? http://bit.ly/bOjSQf2010-05-26 08:55:01 Tweenで
- つかまりますよ! RT @minemaz: /bin/ping -i 1 -q -c 100 某所 したままだったので停めた。もうウチが借りてるIPアドレスじゃないし2010-05-26 13:07:33 Tweenで
- 蔵書DBのスクレイピングか何かやろうとしてミスったかなぁ。DoSの意図が無かったとしたら、業務妨害にあたるかどうかあやしい - 図書館HPにアクセス3万3千回 業務妨害容疑で男逮捕 http://bit.ly/cEMHPZ2010-05-26 13:34:12 Tweenで
- robots.txtに従わなかったから業務妨害で逮捕! http://bit.ly/ciEz612010-05-26 13:51:35 Tweenで
- ユニクロの行列サイト。生のパスワードを入力させるのはマズイ。非常にマズイ。真似するヒトが増えたら取り返しのつかないことになる。ソーシャルウェブサービスに禍根を残す悪しき前例となりかねない。2010-05-26 13:59:46 Tweenで
- 生のパスワードが取れるわけじゃ無くて、こんなリストが取れる。しかし、パスワードの送り先が別の会社のサーバで暗号化も無しか… http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt2010-05-26 14:17:34 Tweenで
- FAOに対し、現段階では専門家を受け入れる考えはないと伝えたことを明らかにしています。 http://bit.ly/aj6F2I #kouteieki2010-05-26 14:23:12 Tweenで
- いやぁ。別に公開されてるものだから、見ても良いんじゃないの? RT @minemaz: @keikuma アクセスしちゃったじゃないですか。あぶねえ2010-05-26 14:23:53 Tweenで
- ユニクロの行列サイト。平文なのが問題では無くて、第三者のサイトのパスワードを要求するところが問題。みんなで並んで赤信号渡っちゃダメ。その内、まねして渡ってはねられる子どもが出る。 http://bit.ly/cN6ymx2010-05-26 15:00:58 Tweenで
- それをシステムで対応したのが日本のIT導入の躓き。IT化を機にルールを変えない限り、IT化は富をもたらさないのです。 RT @hotta: 施設予約で「前の会議が終わり次第」という開始時刻をどうやって実現するか。ちなみに、その次に控えている会議も同じ条件だったりw2010-05-26 15:12:18 Tweenで
- サードパーティのパスワードを入力させるサービスがひとたび疑われたら、信用はどこまでも失墜する。漏洩していないことを証明するのは悪魔の証明だからだ。李下に冠を正さず。瓜田に履を納れず。2010-05-26 16:25:17 Tweenで
- ユニクロの行列の一覧を某テキストファイルで見ているのだけど、「パスワードが暗号化されずに送られるから危険」という認識が多い。問題にしているのはそこでは無いのだが。 http://bit.ly/96gHrA #uniqlo_line2010-05-26 16:37:10 Tweenで
- httpsでアクセスする様に改良されている。素早い対応は感心だけれども… #uniqlo_line2010-05-26 18:05:47 Tweenで
- ボタン1回押したら毎秒1人行列に並ぶプログラム書いたら逮捕されるかなぁ #uniqlo_line2010-05-26 18:08:13 Tweenで
- UNIQLOのアレにOAuthを使ったとして、利用者の立場からリスクベネフィットを考えて、OAuth認証するかと言うと微妙なのだけど、OAuthだったら最悪、TLとDMを乗っ取られるだけで済むという安心感はあるな。2010-05-26 21:14:10 Tweenで
- 【ソーシャルネットワークサービスの危機】暗号化されていないからとか、外注会社のサイトだからという問題では無いのです。こういうサイトがたくさん登場したら、2010-05-26 21:23:06 Tweenで
- @seri_nazuna 恐らく、ユニクロ(と、その委託先)からパスワードが漏れることは無いだろうと思っています。ただ、こういうものが増えると、パスワードを詐取することを目的にする類似サイトも出てきて、容易に判断が付かなくなることを懸念します。2010-05-26 21:27:47 Tweenで seri_nazuna宛て
- SSLにしたって、さらにOAuthにしたところで、このサービスはTwitterアカウントの全権委任をするに値しないサービスに思える。行列の人数が、Twitterが信頼できるメディアに成り得ないことを証明している。 http://bit.ly/cN6ymx #uniqlo_line2010-05-26 21:35:37 Tweenで
- @seri_nazuna 慎重にならなくてはいけないのは残念です。ネットやセキュリティに関する知識が無くても、安心して使えてこそのネットなのです。「あぶないのを認識して避けて通ればいいじゃん」という考えでは、弱者はネットを安心して使えません。ネットの恩恵は弱者にこそ届くべきです。2010-05-26 21:47:41 Tweenで seri_nazuna宛て
- パスワードを保存していない証明は悪魔の証明だから、そんな証明が必要になる様な仕様は、企画段階で間違っていたと言えよう。 #uniqlo_line2010-05-26 21:49:59 Tweenで