2005-11-11 鍼
■[写真][cat] 「「ARRAY(0x1bb4fac0)」から、冷房機に登って。 - ノンセクションの1」から、ちょ!そこ、換気扇…! 
■[Ajax][Javascript][リッチクライアント][@IT] http://www.atmarkit.co.jp/fwcr/rensai/ajax_photoalbum01/01.html, そもそもJavascriptを書けないのですがorz 
■[Ajax][Javascript][リッチクライアント][book]
- 作者: 高橋登史朗
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2005/11/15
- メディア: 単行本
- 購入: 3人 クリック: 86回
- この商品を含むブログ (101件) を見る
まあ、時間があれば手を出そう。 
- 作者: 高橋登史朗
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2005/11/15
- メディア: 単行本
- 購入: 3人 クリック: 86回
- この商品を含むブログ (101件) を見る
http://jsgt.org/ajax/newmon/GoogleMapsAPI.htm
- 作者: Ryan Asleson,Nathaniel T. Schutta
- 出版社/メーカー: Apress
- 発売日: 2005/10/17
- メディア: ペーパーバック
- クリック: 2回
- この商品を含むブログ (2件) を見る
- 作者: David Crane,Eric Pascarello,Darren James
- 出版社/メーカー: Manning Pubns Co
- 発売日: 2005/11
- メディア: ペーパーバック
- この商品を含むブログ (14件) を見る
■[IT][security] http://d.hatena.ne.jp/sonodam/20051110#p1 電源ブチンの前に、取れる証拠は取っておきたいですね。それと関係者への連絡と協力要請。 
■[antiSPAM][SPAM][security] SPAM対策ソフトウェア「SMTPGuard」をオープンソース・ソフトウェアとして公開 〜100万アカウント規模の国内ISPにおいても高評価のSPAM対策ソフトウェアをソースコード公開〜 プレスリリース 2005 年 11月 8日 VA Linux Systems Japan株式会社 
FlexGuard | Free software downloads at SourceForge.net
http://d.hatena.ne.jp/sonodam/20051109#p1
ニュース - オープンソースSPAM対策ソフト「SMTPGuard」をVAリナックスが公開:ITpro
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__SMTPGuard
untiじゃ無くてantiだってば! 悲しいtypoを修正。
■[security] http://d.hatena.ne.jp/sonodam/20051109#p1 
詐欺本って例のこれ?
初心者向けで良い本ですよ。でも本当の初心者はこれすらも読んでくれないorz。
■[TikiWiki][Wiki][CMS][Full-disclosure][security] [Full-disclosure] Multiple security issues in TikiWiki 1.9.x 
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051110_various
■[MS][PC][security][Spyware] 『no title』更新、『no title』が加わったのですかね? 
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__protect
■[個人情報][紛失][security][Interop][InternetWatch] 「Interop Tokyo 2005」の主催者、会場で個人情報入りサーバー紛失, 無くならないですね、こういう事故。 
http://www.medialive.jp/press-release/inner.php?news_c=1053
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__Interop
■[不正使用][検知][security][IM][Skype][@IT] 業務中にSkypeやIMを使っているのは誰だ? − @IT, 要するにSIM(Security Information Management)で監視しろと。 
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__SIM
■[内閣官房][内閣][security] no title, no title, アンテナに入れました。 
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__bits
■[security][App][Symantec][コンサル][ITPro] 「セキュアなアプリはこう作る」、シマンテックがコンサル・サービス開始 - ニュース:ITpro, むしろ今まで手をつけていなかった事が驚きか。 
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2005/11.html#20051109__symantec
■[Spyware][security] 朝日新聞デジタル:どんなコンテンツをお探しですか? 
http://www.jiji.com/cgi-bin/content.cgi?content=051110202426X165&genre=eco
城北信金を装うCD-ROMが顧客ポストに直接投函〜不正振込被害はなし
ここ最近こんなのばっかりですね。
http://d.hatena.ne.jp/hoshizawa/20051110/p3
http://d.hatena.ne.jp/hoshizawa/20051110/p2
■[phishing][Web][Mail][security] Yahoo!オークションの評価メール装う日本語のフィッシングメール - ITmedia エンタープライズ, 騙されるな! 
http://www.rbl.jp/phishing/siteimg/yahoo051110mail.txt
http://www.rbl.jp/phishing/index.php?UID=1131576074
ニュース - Yahoo!オークションをかたる日本語フィッシングが出現:ITpro
セキュアブレイン : Yahoo!オークションのフィッシングサイトが出現 -セキュアブレインが警告 | RBB TODAY (エンタープライズ、その他のニュース)
http://d.hatena.ne.jp/hoshizawa/20051111/p1
■[CSRF][security] CSRF | 鳩丸ぐろっさり (用語集), CSRFについてきっちり説明できますか、と問われたら自信が無いな、勉強しよう。 
微妙に誤解されている? CSRF | 水無月ばけらのえび日記
スクリプト無効でも被害に遭う可能性があるのですが、そこが誤解されていないかちょっと心配ですね。
クロスサイト・リクエスト・フォージェリ - Networkキーワード:ITpro
http://bakera.jp/hatomaru.aspx/ebi/2005/4/19
http://www.gungho.jp/important/2005_10_13.asp
http://internet.watch.impress.co.jp/cda/news/2005/10/14/9488.html
http://takagi-hiromitsu.jp/diary/20050703.html#p01
CSRF対策が遅れる理由
センスある開発技術者の立場からすれば、「あんな対策も必要、こんな対策も必要」と言われることは、プログラミング美学に反すると感じられることもある。
XSSやSQLなどのインジェクション系の脆弱性は、脆弱性であるという以前に、本来正しいコーディングをしていればそういう穴にはならないのだから、美学に反するものではない。バッファーオーバーフローもそうだ。センスある開発技術者にとっては「対策」不要というのが美学だ。
その点、CSRF対策が必要というのは、どうにも気持ち悪いものとなる。画面の遷移をすべてチェックするというのであればまだわかるが、一部の画面に姑息な手段で対策を仕掛けないといけないとなると、なんだか美しくないように感じられる。
対策方法はできるだけシンプルであるのが美しい。CAPTCHAなどという大掛かりなものまで持ち出されたら、「なんか違うんじゃないか?」とか、「えーそこまでしないといかんの??」という反応になるだろう。
対策が美しくないのだとしても、ユーザに重大な脅威をもたらすCSRF攻撃の弱点があるならば、対策はしなくてはならない。しかたがない。だが、ユーザに致命的な被害が及ばない種類の脅威、つまり「荒らし対策」のような種類のものについてまで、「直せ」と外部から言われたら、開発技術者は反発してしまうかもしれない。
確かに。
荒らし攻撃の部類に入るものまで、IPAに届け出られるのではないかと心配になった。
サイト運営者に修正を促すような脆弱性報告をするときは、その脆弱性によってもたらされる脅威の重大性を示した上で報告するべきである。
うーん、「荒らし攻撃の部類」はIPAに届けてはいけないのだろうか?「脅威の重大性を示」すことは大切だとは思いますが。
http://takagi-hiromitsu.jp/diary/20051020.html#p01
■[JVN][security][Web][ブラウザ][JavaScript] JVN#31226748 複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性 
http://www.ipa.go.jp/security/vuln/documents/2005/JVN_31226748_MultiBrowser.html
古い情報だけど…。
■[JPCERT/CC][security]インターネットセキュリティに対するJPCERT/CC 2005 年第3 四半期活動報告(2005 年第3 四半期2005 年7 月〜9 月) 
フィッシングに関する報告件数が高水準を維持
そうですか。
フィッシングとは【phishing】(フィッシング詐欺) - 意味/解説/説明/定義 : IT用語辞典
フィッシング詐欺対策ソリューション|基本情報|日本ベリサイン, こういうものも有るのですか。
■[security][IPA][Event] 情報処理推進機構:情報セキュリティ : 暗号技術:IPA Cryptography Forum 2005の開催について 
暗号研究の世界的な権威、RSA暗号の発明者(Sの字はShamir教授のS)であるイスラエルのシャミア先生をお招きしまして、「IPA Cryptography Forum 2005」と題しまして下記のとおり講演会を企画いたしました。
1.日時:平成17年 12月2日(金) 10:30 〜 12:30 (受付10:00〜10:30)
(場所の詳細は、http://www.ipa.go.jp/about/ipajoho/location.html)
3.講演者及び講演内容
講演1:Shamir教授招待講演(英語によるご講演【同時通訳は行いません】)
・講演者:Adi Shamir 教授
Weizmann Institute of Science
・講演題目:Practical software attacks on AES-like cryptosystems
・講演内容:
概要:.
近年、新手の攻撃手法として注目されているキャッシュ攻撃について、実際に実装を行い、その有効性の評価を行った結果を示す。キャッシュ攻撃とは、一般のマシンのキャッシュに蓄えられる情報を利用した攻撃手法であり、暗号化・復号を行う際のメモリアクセスパターンを解析することにより暗号化・復号に使われている秘密鍵を推定する、ソフトウェアサイドチャネル攻撃である。キャッシュ攻撃の具体的手法および、指標としてAESを対象としたキャッシュ攻撃の実装結果を示し、更にこれらの攻撃の脅威を軽減させる為のいくつかの対策について言及する。
講演2:「Toyocrypt解読実験に関する講演」
・講演題目:Toyocrypt解読実験について
・講演内容:
概要: 9月26日にプレス発表したToyocryptの解読実験について、開発の背景、
実験内容、成果についての発表を行う。
4 .参加費:無料
(暗号の技術者及び研究者を対象とした専門的な内容ですので、あらかじめご了承ください。)
5 .申し込み方法:
件名に「IPA Cryptography Forum 2005 (12月2日)参加申し込み」とご記入の上、下記のフォームを利用して、次のアドレスまで電子メールをお送りください。
以下略、ページを参照。
難しそうで手が出ません。
■[security][Webビーコン][Web] Web バグは画像とは限らないはず | 水無月ばけらのえび日記 
ちなみにbugって言葉はプログラムのbugを連想するので、私はWebビーコンの方を好んで使います。
■[WebLogic][WLP8.1SP4][WLP] http://www.beasys.co.jp/e-docs/workshop/docs81/relnotes/relnotes.html#known_limitations 
RowSet および Oracle 9.20 TIMESTAMP を使用する場合の変換例外
ORACLE 9.20 SQL 型の TIMESTAMP は WebLogic Server RowSet で現在サポートされていません。Oracle TIMESTAMP データは 11 バイトのデータとして保持され、このオブジェクトを対応する java.sql 型に正しく変換する変換コードはありません。この問題を解決するには、getObject() から返される 11 バイトの表現を java.sql.Timestamp オブジェクトに変換する Rowset フォーム マッピングを作成します。
バイト 表すもの
0 世紀 (1990 の場合は 119)
1 10 年間 (1990 の場合は 190)
2 月
3 日
4 時
5 分
6 秒
7 ナノ秒
8 ナノ秒
9 ナノ秒
10 ナノ秒
oracle.sql.TIMESTAMP クラスの詳細については、Oracle サイトの Javadoc を参照してください。
■[security][PCWeb][BlackHatJapan][BlackHat] 【レポート】Black Hat Japan 2005 - Unicode文字によるDirectory Traversal攻撃 (1) 文字コードでフォレンジックに関係しそうな領域はそれほど広くないはずだが…… - 伊原氏 | ネット | マイナビニュース 
http://d.hatena.ne.jp/hasegawayosuke/20051108#1131410804
http://d.hatena.ne.jp/hasegawayosuke/20050823#1124761789
http://d.hatena.ne.jp/hideakii/20051108
■[Web][security][Event] http://forensic.netagent.co.jp/announce/20051122.txt 
2005年11月04日
※以下の内容は当日変更される場合があります※
15:00〜16:00 Q&A
各セッション毎に 10 分程度の休憩を挟みます
日時 : 2005 年 11 月 22 日 (火曜日)
会場 : カメリアプラザ 9F 商工情報センター 第二研修室
: http://homepage3.nifty.com/l-koto/sisetu/sisetu_shoko/sisetu_shoko.html
時間 : 13:00〜16:30(12時30分より受け付け開始)
定員 : 20 名(定員に達し次第締め切り)
参加費 : 3,000円(税込み)
参加条件: 法人様のお申し込みに限ります
行けませんorz
http://d.hatena.ne.jp/hideakii/20051107#1131320026
■[SIP][security] 【レポート】Black Hat Japan 2005 - Unicode文字によるDirectory Traversal攻撃 (2) 多くのSIP関連製品は未だに1999年レベルのセキュリティに留まっている - Ejovi Nuwere氏 | ネット | マイナビニュース 
またNuwere氏がそれ以上に問題だとするのが「米国で販売されるSIP対応デバイス(電話機、VoIPアダプタなど)のほとんどにはアップデート機能が組み込まれていない」点。このためもしそれらのデバイスに組み込まれているSIPスタックに脆弱性が見つかった場合、その脆弱性を修正するには製造元に製品を送り返して修理を依頼するしか方法がないことから、「これでは対応が完了するまでに相当時間がかかるし、何万台という数のデバイスがメーカーに送り返されることから物流の面でも支障をきたす」とNuwere氏は語った。
それは技術的に解消できるはず。
Nuwere氏はSIPスタックにおいて「扱う必要のある変数が非常に多い」点がそもそも本質的な問題だと語り、「1ヘッダ当たり5〜6個の変数要素があり、全体を合計すると100以上の変数になる」ため、全てをテストするのが非常に難しい点が脆弱性の発見をより困難にしていると述べた。
そうなのか。
Nuwere氏は具体的な脆弱性の例として「(Via:ヘッダに入力する)SIPバージョンのフィールドに非常に長い文字列を入れることで Overflowを起こす」「Content-Length:ヘッダの値として『-1』のような異常な値を入れることでソフトがロックする」「同じヘッダ (Nuwere氏はAccept:ヘッダの例を挙げた)を複数回送信することでメモリリークを起こす」といった例が過去に存在したと語り、実際にそれらの脆弱性を利用してSIPクライアントのソフトを異常終了させるなどのデモを披露した。
つまり、過去の苦い経験が生かされていないって事ですよね。ここらへん、もうちょっと何とかできないものか…?
■[CD][注文][Jazz]
- アーティスト: 出口誠トリオ
- 出版社/メーカー: インディーズ・メーカー
- 発売日: 2005/08/24
- メディア: CD
- この商品を含むブログ (2件) を見る
買お! 
- アーティスト: 出口誠トリオ
- 出版社/メーカー: インディーズ・メーカー
- 発売日: 2005/08/24
- メディア: CD
- この商品を含むブログ (2件) を見る
