月: 2005年4月

2ポートディスク?

この記事に書いてある「2ポートディスク」ですが、個人的にはあまり必要性が感じられませんが何か見落としているのでしょうか?

「2ポートディスク」とは2つのポート（I/F）を持つHDDの事だそうです。一つは読み込み専用、もう一つは書き込み専用だそうです。Linuxの場合、同じパーティションを何度でもマウントできます。例えばApacheは読み込み専用でマウントされたマウントポイントを利用し、コンテンツの編集者は読み書き可能にマウントされたマウントポイントを使用すれば良いように思えます。
# SELinuxにすれば、という話もありますが。

同じCPUに接続されているHDDが2つポートを持っていてもマウントオプションで読み込み専用と読み書きを使い分ける方法と違いがあまり無いので、共有ディスクにして、という話なのでしょうね。詳しい情報が書いてないのでメモとして。

クロスサイトリクエストフォージェリ（CSRF）

クロスサイトリクエストフォージェリ（Cross-Site Request Forgeries – CSRF）の話。名前はともかくこれが新しい攻撃ではないことは高木さんも書かれている通り。誰でも思いつくセキュリティ上の不備ではないでしょうか? 私はもう何年も前からこういった事が起きないようライブラリ化しています。

HTTP Response Splitting Attackの時もHTTPヘッダに出力する値を確実にコントロールするのは当たり前。おかしなヘッダを送信させられるとキャッシュがおかしくなる事はまっとうなWebシステム開発者なら解っていて当たり前、と思っていたのですが…

セキュリティ関係の話をする時にはいつも言うことですが、「間違いを探すのではなく正しい事を確認するように」を実践していれば、なんだか訳の分からないセキュリティ用語が飛び出してきても慌てることは無いはずです。

参考：
http://d.hatena.ne.jp/hoshikuzu/20050130
いろいろリンクがあって参考になります。

追記：
入力済みの値の再検証を防ぐ方法（つまり期待したとおりの入力であること保障する方法）をいくつかのセミナーで説明したと思います。前のフォームに入力された値をメッセージダイジェストで確認していればCSRF問題は発生しません。フォーム毎にIDを発行し、再投稿を防ぐなど処理を行っていれば完璧です。

プライバシー保護の難しさ

PCが期待通りに動作しないとフラストレーションが溜まりますよね。特に理由も分からずクラッシュるのは腹立たしい限りです。オープンソース製品ばかりであればデバックオプションを付けてビルドしてデバッガーでバックトレースをとって確認する事は簡単です。

Windowsの場合、利用してるアプリケーションのほとんどはオープンソースでは無いですしWindowsアプリの開発者でもない限り開発環境は持っているはずもありません。

Microsoftはクラッシュレポートの機能を強化したいようです。クラッシュ時に動作していた全てのアプリケーションやアプリケーションが利用していたデータ等を含むさらに詳細な情報を収集できるようにするようです。この機能が会社等でどの様な意味を持つかはCNET Japanの記事に記載されています。

この機能、このままリリースされる事になるのか興味深いですね。

追記：
プログラムのディバックをした事がある方なら誰でも理解できると思いますが、クラッシュした時のデータが全てそろっているのと全く無いのでは効率が全く異なります。データがあれば一目で解ることが、データが無ければ見当がつかない場合も多くあります。この仕組みを取り入れれば製品品質の向上につながる事は確実と思います。クラッシュ情報から会社の社員がクラッシュした際に何をしていたか解ってしまう、という仕組みは会社でのPCの乱用を防ぐ効果があってある意味良い事かも?

RFIDの普及と健康の因果関係?

FUD(Fear, Uncertainty and Doubtの事)を流したい訳ではないのですが、この記事はFUDと思って読んでください。専門家ではないので詳しい事は知りません。

さてRFIDのチップから情報を読み取るには電波を当てる必要がありますが、生体への影響って研究が進んでいないような気が… 大丈夫なのかな?と思い簡単に調べてみる事にしました。

調べるきっかけになったのは、どこの国か忘れましたがヨーロッパのどこかでは保育園は高圧線から結構離れた場所でないと作れないとか、直ぐしたには家が作れないとか規制されている事を知っていたこと、大阪の高圧線が非常に密集している地域では白血病や癌の発病率が高い事、冷戦時代旧ソ連がアメリカ大使館に対してマイクロ波を照射していた事などを知っていたからです。携帯電話の電波が数分で脳細胞の細胞膜を破壊していることはニュースで大きく取り上げられたので広く知られていると思います。

RFIDと言っても色々種類があり読み取り距離は色々あります。読み取り距離が短い場合はRFIDのリーダ／ライターが健康への影響はないと思います。しかし、読み取り距離の長い物には出力がかなり大きな物もあります。

周波数 通信距離 電波法
UHF帯（860M〜960MHz） 日本は利用不可＊1，米国は7m，EUは3m 米国は4Wまで，EUは0.5Wまで
2.45GHz帯 日本は1m，米国は2m，EUは0.7/2m 日本は0.1〜1W，米国は4Wまで，EUは屋外0.5W/屋内4Wまで

出典：ITPro

無線LANの出力がピーク値22mW程、PHSが80mW、携帯電話が200～800mWであることに比べると大きな出力である事が分かります。電池を持たないICチップに電流が流れICチップの情報を読み取れるだけの電波出力を得る為には大きな電波をあてる必要があるのは当然と言えます。

無線電波の人体への影響についてによると、電磁界による健康ヘの影響を指摘する報告は統計精度が低い、結果に一貫性が無いなどの問題があるため信用性が低いとしています。イギリスで発表され話題になった「携帯電話で脳腫瘍になる」という説もラットによる実験で脳腫瘍の発生に及ぼす影響は無いとしています。このレポートを作成した社団法人日本電気制御機器工業会はRFIDを推進する立場にあるので健康に影響があるとするレポートを公開するとは思えませんが…

確かに一定以下の出力で適切な距離、離れていれば問題は少ないかも知れません。しかし、違法な電波出力で個人情報収集やマーケティングを目的にRFIDチップ情報の読み取りを行う人達が必ず現れると思われます。これなら大丈夫というデータではなく、ここまでやると影響があるというデータを取りこれくらいなら大丈夫、と言えるデータを取らなければ信憑性を疑いたくなります。

セキュリティ面でRFIDの危険性を指摘されている場面は頻繁に聞くのですが、健康面ではどうなんでしょうか?九州総合通信局の基準によるとかなり高出力でも生体への影響は大きくないとも読めますね。時間があるときにこれらのリンク先を読んでみることにします。

リンク：
電磁界と健康
電磁波ナビ
電磁波が健康に及ぼす影響について
電波防護ための基準
電波の生体への影響

天災にも負けず、人的ミスにも負けない重要インフラ防護策を——政府委員会

政府の情報セキュリティ基本問題委員会は4月22日、電力やガス、金融や情報通信をはじめとする重要インフラのセキュリティ強化策を「第二次提言」として取りまとめ、公開した。

基本的には歓迎しますが効率的に実施される事を望みます。専門家ではないので具体的な数値はないですが日本は同じ事をするにはアメリカに比べて多くのコストがかかり過ぎているように思えます。

NSAの予算は確か4000億円/年くらいだったと思います。アメリカの交通信号の同期化はあまり進んでいないらしくアメリカ全土の信号を同期化するには1000億円くらい必要とニュースで言っていました。どちらも日本で同じ事を行うとすると、この金額の数倍は必要！となるように思えます。

# アメリカの信号は交差点の真中に一つあるだけの場合が
# ほとんどなので日本より安くなっても当り前と言えば当
# り前ですが。

安全性(それも求められる最低限の安全性)、リスクそしてコストとのバランスを良く考え、実効性がある対策をお願いしたいです。

参考：
内閣官房情報セキュリティセンター（NISC；National Information Security Center）