ikepyonのお気楽な日々〜技術ネタ風味〜 このページをアンテナに追加 RSSフィード

気になった日々のニュースとメモのためのリンクと戯言のページ

To Do(というかやりたいこと。何時終わることやら)
-ITIL導入のための成熟度チェックシートみたいなの(あると便利だよね?)
-Hacknotes Web Security Portable Reference和訳(出版社募集中)
-Webアプリケーションセキュリティ検査ツールの改良(一応完成)
-Hacker HighSchoolの資料の日本語訳
-OSSTMMの日本語訳
-「燃えるセキュアプログラミング」若しくは「サルでも分かるセキュアプログラミング」とか書いてみたいなぁみたいな。

これだけはチェックしときなはれ!!受入れテスト用セキュリティチェックリスト公開中
Webアプリケーションセキュリティはてなぐるーぷ(テスト中やで)
SQL Injectionの仕組みと対策公開中
RSS feed meter for http://d.hatena.ne.jp/ikepyon/
Secure Coding に入ろう!! [MLの詳細]
メールアドレス
SKUF Meeting なかのひと

2007-03-30 咳が・・・

[]英語を完全攻略したいあなたへ,5つのアドバイス 英語を完全攻略したいあなたへ,5つのアドバイスを含むブックマーク 英語を完全攻略したいあなたへ,5つのアドバイスのブックマークコメント

http://itpro.nikkeibp.co.jp/article/Watcher/20070329/266856/?ST=watcher&P=1

なるほど、ちょっと試してみよう。

この間仕事外国人と話をしなきゃならなかったんですが、聞き取りはまあまあできるのに、話せないという致命的な問題があって、英語コミュニケーションしたいなぁと思ってたんですよ。

意外と聞き取りの方は、1週間もすれば出来るようになるんだけど、話す方が・・・orz

同じ会社の人が英語で会話しているのを聞いていると、それほど難しい表現を使ってるわけでもないので、簡単そうに思えるんだけど、いざ自分がとなると・・・

多分、知ってる単語が少なすぎるんでしょうけど。

メールでやり取りするときは、極力自分で英文を作って、確認のために翻訳サイト使ってるけど、こういう使いかたって、英語能力のためにはどうなんだろう?

ああ、英語しゃべれるようになりたいなぁ。

ミッキーミッキー 2007/04/01 09:06 「英語でコミュニケーションしたいなあと思っていたんですよ」を英訳するとどうなるか。

(1) I have been thinking to do communication in English.
(2) I have always wanted to communicate in English.
(3) I want to become able to communicate in English.
(4) I wish I could freely speak English.
(5) I want to be able to communicate in English.
(6) I have had a strong desire to become able to communicate in English freely.

このFreelyは「自由に」、「思い通りに」という意味です。

ミッキーミッキー 2007/04/01 09:10 今朝、投稿した内容は不達だったようです。

英語できるようになりたい、と思っている限り、絶対にできるようになります。喋れるようになりたい場合は、やっぱり声に出す回数を増やさないとダメです。トレーニングせずに試合に臨んでも、練習せずにリサイタルを開いてもうまくいかないのと同じです。要するに場数を踏むことですね。

現在の翻訳サイトは残念ながら、使い物になりません。特に和文英訳はNG。これは英文と日本語の文章構造が異なるからです。そのうち日経コラムにこの辺りをご紹介しますね。

ikepyonikepyon 2007/04/02 13:54 ありがとうございます。
なるほど、声に出すようにしないとダメですよね。まずは、機会を作らないと・・・

翻訳サイトは確かにあまり使い物にはなりませんが、自分で作った英文が、分かるかどうかを判断するために使ってます。
これも、あまり良くないのでしょうけど・・・
でも、翻訳サイトについてのコラム期待しています。

ミッキーミッキー 2007/04/06 09:31 4月5日号も読んでくださいましたか?
(翻訳サイトの話はまだ掲載にならないのですが)

声に出す機会ってあまりないでしょう?社内にガイジンがいるっていうのも珍しいでしょうし、道端で知らない外人に声をかけるのもちょっとためらわれるし。(お茶の間ノバってりう手もありますけど。)

だから声に出す機会はとりあえず「音読」ってことになるのです。会話集でもラジオ英語講座でも何でもよいのでとにかく声を出す機会を作ってみてください。

ikepyonikepyon 2007/04/09 18:33 なるほど、だから音読なんですね。ありがとうございます。
4/5分、やっと読みました。非常にためになります。
英文を考えるとき、日本語の文を英語に直すのではなく、日本
語で言いたいこと(not文章)をまとめて、その内容を英語に直接
表している気がします。
英語を和訳するときも然りで、英語のままで意味を大体理解し
てから、超意訳してることの方が多いです。
たまに、面倒になって翻訳サイト使ってしまいますが^^;

ミッキーミッキー 2007/04/10 14:03 使える翻訳サイトがあったら教えてください!
ビジネス英語専用とかIT業界専用とかいくつか翻訳サイトはあるみたいなんです。

ある程度自分でも意味ができる英文を翻訳サイトを利用して日本語に訳してみると、大抵の翻訳サイトは、「とりあえず意味は通じるはず」というレベル(もしくは(そのレベルにしかなっていない)という気がします。和文英訳した時にはあまり気がつかないけれど、英文和訳するとその限界がよくわかりますよね。
でも全く使えないわけではない。まず一次訳に使って、そこから順次、推敲して行ってもいいのではないでしょうか。(でも時間はかかりますが。)まあ、プロの翻訳者でなければそこまでしなくてもと思う反面、文章力で自分の能力を判断されるのであれば、ある程度のレベルはこなしておきたいし。 あ〜あ、英語ができるようになりたい!

ikepyonikepyon 2007/04/10 18:37 あまり、翻訳サイトのことは知らず、ITに特化したものがあるとははじめて知りました。たいていの場合、GoogleやExciteのサイトを使っているもので。いくつもの翻訳サイトを同時に翻訳してくれるので、http://sukimania.ddo.jp/trans/trans.phpを良く使っています。
ただ、以前聞いた話だと、翻訳プログラムはあまり多くなくて、辞書の種類が違うだけということです。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070330

2007-03-26 朝から最悪orz

今日は朝から電車止まってたしorz

先週末は朝帰りだったしorz

[]検査ツール進捗 検査ツール進捗を含むブックマーク 検査ツール進捗のブックマークコメント

週末は出かける予定が、朝帰りのためやめにして、内にこもって、コード書き書き。

後残るは検査実行用のアクションと、検査結果の表示のみ。

これが終わったら、デバッグデバッグw

そういや、もうすぐ情報処理試験やんけ。いつものごとく何も勉強してないけど、まあ、何とかなるでしょうw

トラックバック - http://d.hatena.ne.jp/ikepyon/20070326

2007-03-23 だるだる

どこかに消え去ってもいいですか?w

[]検査ツール 検査ツールを含むブックマーク 検査ツールのブックマークコメント

現在UIがらみの部分のコーディング&テスト中w

やっとここまできたって感じだなぁ。まあ、内部的なところはほぼ終えているので、残りはUIがらみと、検査モジュールってとこですか。検査モジュールは2個ばかり作る予定なんで、そっちさきに作るかなぁ。

次のソバまでには出来るといいなぁ。

[]検査ツールと攻撃ツール 検査ツールと攻撃ツールを含むブックマーク 検査ツールと攻撃ツールのブックマークコメント

この二つの境界って、使う人が何のために使うのか、何が出来るのかによるような気がする。

検査ツールとして有名なISSやAppSccan、WebInspectも穴を見つけて、その情報を元に攻撃するという使い方されたら、これらも立派な攻撃ツールだろうし。ブルートフォースのツールなども、簡単なパスワードを使っているユーザがいないかを確認するために使うのであれば、立派な検査ツールだろう。また、各種DoSツールなんかも、DoSに対する耐性があるかどうかとか、負荷かけたときも大丈夫かなんてことを調べるのであれば、立派な検査ツールになると思う。

まあ、ツールも包丁と同じで、使い方によって良くも悪くも使えるってのが真相だろうけどね。

[]JavascriptのJavaでの実装 JavascriptのJavaでの実装を含むブックマーク JavascriptのJavaでの実装のブックマークコメント

http://www.mozilla-japan.org/rhino/

とあることで使うかもということで・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20070323

2007-03-22 なんかねぇ

このところ、閉塞感を感じる今日この頃

[]セキュリティテストケース セキュリティテストケースを含むブックマーク セキュリティテストケースのブックマークコメント

この間から、Webアプリセキュリティをチェックするためのテストケース表があれば、うれしいかも。とか思ったりしてる。どこかに落ちてないかなぁ?なければ、暇なときに作るんだけど・・・

テスト手法は一応ざっと作ったけど、セキュリティテストケース表があれば、それを結合テストテスト項目に取り入れられて楽かも、とか思う。

よく使われる、テストケース表のフォーマットとかどこかに落ちてないかなぁ。

[]売買されるクレジットカード 売買されるクレジットカードを含むブックマーク 売買されるクレジットカードのブックマークコメント

http://zone-h.jp/content/view/167/9/

結構安いんだなぁ。もうちょっと高いかと思ってた。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070322

2007-03-19 ねすぎっ

[][]ISPへの検疫ネットワーク導入 ISPへの検疫ネットワーク導入を含むブックマーク ISPへの検疫ネットワーク導入のブックマークコメント

http://d.hatena.ne.jp/ripjyr/20070319/1174268517

コメントにも書かれている通り、導入するにはいろいろと障壁が高いわけで・・・

少なくとも、ウィルス対策ソフトベンダOSベンダに、UpdateやUpdate確認用のAPIを公開もしくは、統一化してもらう必要性があるかなぁとか考えるわけですよ。

それ以外にも、Agentが必要になったり、Agentがない場合はどうするかとか、ルータ使ってる場合は?とか、法律的問題は?とか、プライバシーは?とかとか、考えないといけないことは山ほどあるわけで・・・

とはいえ、一般人が安全に使うには結構いいかも、とか思うわけで。

それ以前に、費用という大きな問題があるんで、OSSな検疫システムがあると面白いかも、とか思うんですけど、無理だよなぁ・・・

[]ノートPCセキュリティ ノートPCのセキュリティを含むブックマーク ノートPCのセキュリティのブックマークコメント

http://blog.nikkeibp.co.jp/pconline/security/2007/03/sonoda017.html

今更だけど、ノートPCセキュリティ保持にUSBキーを使ったHDD暗号化とあるけど、実際問題、外出中にPCだけを紛失or盗難されるってことはないんじゃないかなぁとか、思っちゃうわけで。多くの場合ノートPCって使ってない場合は、かばんに入れてるだろうし、USBキーも同じかばんに入れてることが多いんじゃないのかなぁ?ってことは、かばんを紛失or盗難されただけでアウトやん。とか思っちまうんですが・・・こういう管理だと、指紋による認証とあんましかわんないよねぇとか思うんですよ。

だから、USBキーで暗号化しているから安全というわけでなく、USBキーとPCは別にして持ち歩きましょうといわないといけないと思うんですが、そういうこと言ってること聞いたことないなぁ(私だけかもしれないけど)。いやまあ、USBキーとPCは別に保管しましょうというのが、暗黙の了解ならいいんですけどね。

[]ブルートフォース対策 ブルートフォース対策を含むブックマーク ブルートフォース対策のブックマークコメント

ユーザ数がどれだけあるかに依存するけど、ブルートフォース対策には、ユーザが規定回数ログインに失敗したら、アカウントロックというだけでは、パスワードを固定して、ユーザを変化させるような攻撃には、あまり意味がない。したがって、この対策に、同じIPアドレスからの接続で、規定回数ログインに失敗した場合、ログイン行為が規定時間できなくなるようにする必要があると思う。こうすることで、パスワードを固定してユーザを変化させる攻撃を成功しにくくすることができると思う。

ただし、これはあくまで、攻撃は同じIPアドレスからしか来ないという仮定に則っているに過ぎない。なので、ボットネットからブルートフォース攻撃を受けた場合、意味がない対策となるのは当たり前。

根本的な対策は、簡単なパスワードを設定できないようにするということに尽きるとは思うんだけど、これも時間さえかければ・・・ということになってしまうんだけどねぇ。

ま、時間をより多くかけさせるためにアカウントロックアウトがあると思うんだけど。

yamagata21yamagata21 2007/03/19 21:07 この際、ログイン画面に CAPTCHA 付けるとか。(冗談w

ikepyonikepyon 2007/03/20 09:25 そうすると今度はOCR機能付きブルートフォースツールが出てきたりしてw

トラックバック - http://d.hatena.ne.jp/ikepyon/20070319

2007-03-16 のどが痛い

[]P2P P2Pを含むブックマーク P2Pのブックマークコメント

P2Pファイル共有システムの原理を使ったネットワークファイルシステムってできないかなぁ?でっかいファイルの共有はシステム上無理っぽいけど、ちっちゃいファイルを大量に共有するんだったら、特定分野で使えそうな気がするんだけど。

以前、メールボックスの冗長性を持たせる方法を考えてたら、非常に苦労したので、こういったネットワークファイルシステムがあれば、楽だろうなぁと思ったある初春の朝。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070316

2007-03-15 だるい

[]ネット証券のHP不正接続、日立製作所SEを逮捕 ネット証券のHPに不正接続、日立製作所SEを逮捕を含むブックマーク ネット証券のHPに不正接続、日立製作所SEを逮捕のブックマークコメント

http://www.yomiuri.co.jp/national/news/20070315i206.htm

フォーム認証のブルーフォースツールでも作ったのか、それとも、セッション管理に問題があったのか、どっちなんだろう?

ネット証券って結構攻撃の対象になりやすいと思うけど、IDパスワードのみの認証しかやってないところが多いんかなぁ?

追記

http://itpro.nikkeibp.co.jp/article/NEWS/20070315/265355/?ST=security

によるとブルーフォースツールだったらしい。しかし、動機が「プログラムがうまく作動するか確認したかった」って、おい。

そんなもんぐらいだったら、自分でサーバ立てて、それで試せよ。ほんとの動機だったら、単なるアホだなぁ。

しかし、ブルーフォースツールを作って、何がしたかったんだ? って、侵入したかったのかorz

[][]通じない - 極楽せきゅあ日記(from id:sonodamさんとこ) 通じない - 極楽せきゅあ日記(from id:sonodamさんとこ)を含むブックマーク 通じない - 極楽せきゅあ日記(from id:sonodamさんとこ)のブックマークコメント

前からちょっと思ってたんだけどISPとの接続に検疫ネットワークを使うって言うのはどうなんだろう?

ま、ちょ〜金かかる&色々問題発生するけど。

ISPとの接続時に、ウィルスパターンファイルOSパッチ情報を取得して、OKだったらそのまま接続、Noだったら、アップデートサイトにしかアクセスできないようにするとかw

ただ、サポートが大変だろうなぁとか思ったり。そのコストをどうやって取るかが問題だから無理かもしれないけど・・・

てか、無理だよねぇやっぱり。

yamagata21yamagata21 2007/03/15 19:37 UNIX とか、Mac とか使ってたらネットにつながらないとかw

ikepyonikepyon 2007/03/15 19:51 そこはそれ、MacとかLinux用にクライアント作るとか、うちのISPはWindows専用ですとかw

dacsdacs 2007/03/15 20:52 ISP検疫ネットワークについては自分も前から考えていたけど、コストがさっぱり分からない。総額(初期投資+維持・運用費)でどの程度なんだろう?ちょーと言われてもそれがどの程度非現実的なのかイメージが出来ないです。どれくらいを想定されています?

yamagata21yamagata21 2007/03/15 21:41 数あるプロバイダーの中から、わざわざそんな七面倒臭いプロバイダを選ぶような人なら、OS や パターンファイルは既に最新にしてそうな気もw (ま、実家の親のプロバイダをそこにしてあげる、とかいう使い方はあるかも知れませんけど。)

dacsdacs 2007/03/15 23:03 yamagata21さん。自分宛のコメントですか?であれば、仰る通りですが鼻で笑われるようなことを書いたつもりは無いので不愉快です。http://d.hatena.ne.jp/dacs/20070304/1172977349に示すように、現状に危機感を感じていて足りない知識の中で考えているのがそんなにおかしいことでしょうか?

yamagata21yamagata21 2007/03/15 23:22 いいえ、dacsさんのコメントへの返事ではありませんし、何かを鼻で笑ったつもりもありませんが、結果的に不快に思われたのであればスミマセン。

ikepyonikepyon 2007/03/16 09:42 前に話を聞いたら、クライアントソフト、その他もろもろの機器で万単位のクライアント数だと、軽く数十億かかりましたw
加えて、パッチ出たときにサポートにがんがんつながらね〜と電話がかかってくることを考えると実際問題軽く100億のオーダーはなんだかんだでかかるでしょう。
なんで、割に合わないかと・・・>dacsさん
だからネタですってw>yamagata21さん
現実に、そんな面倒なISPしかなければ可能でしょうけど、そんなことは絶対にないですしね。

defiantdefiant 2007/03/16 19:20 私の加入しているネット証券は全部ID/Password認証ですね.ただ,取引の際のパスワードがログインパスワードと別に決まっている所が多いです.銀行のように,別のセキュリティのあるところってないですね.

ikepyonikepyon 2007/03/16 19:46 なるほど、ID/Passwordのみの認証ですか・・・別途取引には別パスワードが必要といっても、ちょっと怖い気がしますね。
今回、自分のPCから直接やったから犯人が見つかったものの、ボットネットとか、匿名プロキシとか使われていたら、つかまらなかったかもしれないですよねぇ。それ以前に、ボット使われたら発見できなかった可能性が高いですし・・・

hasegawayosukehasegawayosuke 2007/03/19 10:48 検疫ネットワーク≒検閲なのでISPでの導入は難しいかと。

やたやた 2007/03/19 12:13 ISP入会時の申込書の規約に(会社の入社時の誓約書みたいに)
「このISPのネットワークは検疫やってます」みたいな
書き方されてる場合はどうなんだろ?
#それでも、通信事業者だからアウトかな?

ikepyonikepyon 2007/03/19 15:14 通信の中身を調べるわけではなく、あくまで接続する機器を確認するだけですから、通信の秘密には関係ないかもですよね。
どちらかというとプライバシの侵害に当たるかもですよ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070315

2007-03-14 円周率の日

[]アカウントロックアウト アカウントのロックアウトを含むブックマーク アカウントのロックアウトのブックマークコメント

またまた、某所にてアプリケーションブルーフォース対策の文書を読んでいたんだけど、数回連続してパスワードを間違えたら、アカウントロックアウトする仕組みを組み込む。なんて、記述があったので、思い立った疑問。

そのアプリケーションを使っている特定のユーザーパスワードを盗み出すというのであれば、これは有効だとは思うんだが、そのアプリケーションを使っているユーザーなら誰でもいいや、ってことになると、この対策って無意味だよねぇ。

だって、パスワードを固定して、ユーザーを変えていけば、ロックアウトしないんだから。ま、最もこんなこと、ログさえきっちり監視しておけばすぐに怪しいって分かるけどなw

とはいえ、大規模(千とか万の単位ユーザがいるアプリ)だったら、そのうち1割ぐらいは簡単なパスワードを使っているだろうし、結構パスワード固定によるブルーフォースって、攻撃する側にとって有効だと思うんだよねぇ。

だから、ブルーフォース対策としては、難しいパスワードしか受け付けないという仕様だと思うんだけど、どうだろう?

トラックバック - http://d.hatena.ne.jp/ikepyon/20070314

2007-03-13 ぐったり

[] を含むブックマーク のブックマークコメント

とりあえずTableViewerの問題はクリア

後はガリガリ書くだけだといいなあ。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070313

2007-03-12 ねむぅ

[]脆弱性の多い開発言語 脆弱性の多い開発言語を含むブックマーク 脆弱性の多い開発言語のブックマークコメント

ちと、某所にて、過去Webアプリ脆弱性をつらつらと眺めていたら、PHPが妙に多い。感覚的に7,8割はあるんじゃなかろうかと思う。

その点、.netJava(JSPを含む)はそれほど多くない気がする。まあ、OSSアプリが多いからPHPが多いんだとは思うんだけど、それを差し引いても、多いよなぁ。

.netJavaはそこそこセキュリティを考えた仕様があるので、うまく使えば比較的安全なアプリを作ることが出来るのが大きいのかも。

PHPってイヤンな仕様が多いから、そこら辺を知らなくてはまっているっぽいのもちらほら・・・

たとえば、register_globalsとか、magic_quote_gpcとか・・・型がないとか・・・

特にregister_globalsは結構はまるよねぇ。確かに作る側からすれば、楽チンなのかもしれないけど、そのリスクを考えたら・・・絶対、初期化忘れってありそうだし。

magic_quote_gpcはこれはこれで、一見セキュリティ対策っぽく見えるけど、弊害の方が大きいし・・・・

型がないから、プログラマが意識して、型を考えないといけないし・・・・

やっぱり、PHPってサクサクっとちっちゃなアプリを作るのには向いてるけど、大規模アプリには向いてない気がするなぁ。

でも、妙に人気が高いんだよねぇorz

まーまー 2007/03/15 00:39 PHPで開発しているのが「プログラマ」ならまだましかと・・。Perlと同じレベルで、本で読んでまねて書いたら動いたレベルの、なんちゃってプログラマもたくさん混じってますからねぇ・・。

ikepyonikepyon 2007/03/16 12:51 そのレベルに対しては、おきらく極楽PHPプログラミング本にセキュリティのこともっと書いてあればいいんでしょうけどねぇ、なかなか・・・

トラックバック - http://d.hatena.ne.jp/ikepyon/20070312

2007-03-09 疲れまくり

久々にハードな一週間でした

[] を含むブックマーク のブックマークコメント

EclipseのTableViewerだったかな?これがいまいち分からん

分かってしまえば対したこと無いんだろうけど…

さてアレも再開しないとなぁ

いろいろとやらないと いろいろとやらないとを含むブックマーク いろいろとやらないとのブックマークコメント

この頃忙しくて検証できて無いなあ

Hibernatephpバインメカニズムとか…

それにアッチの方も…コッチの方も…

トラックバック - http://d.hatena.ne.jp/ikepyon/20070309

2007-03-01 ぐすぐす(つ^T)

涙と鼻水止まりません(つ↑T)

[]事業継続に真剣に取り組む(from id:ripjyr さんとこ) 事業継続に真剣に取り組む(from id:ripjyr さんとこ)を含むブックマーク 事業継続に真剣に取り組む(from id:ripjyr さんとこ)のブックマークコメント

http://www.atmarkit.co.jp/im/cop/serial/bcp/01/01.html

最近この手の追ってなかったなぁ。ということで連載を読もうっと。

トラックバック - http://d.hatena.ne.jp/ikepyon/20070301

1900 | 01 | 06 |
2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 02 | 03 | 04 |
2011 | 01 | 02 |
Connection: close