月: 2005年5月

IIS 7.0

「IISおよびASP.NETの両方で、Windows認証のような設定を2度行う必要がなくなるだろう」(Isakson)

「開発者なら、IIS7を必ず気に入るはずだ。IIS7では、開発者が必要とする設定を、管理者に依頼しなくても自分で調整できるようになるのだから」(Isakson)

という事らしいです。
なんとなくセキュリティーホールを作る危険性も増えるような気配がします。
サーバとしての出荷数でWindowsがUNIX系サーバを超えた、というニュースもありましたがMicrosoftにとっては試金石になるかもしれませんね。

アメリカでも同じとは….

国の出先機関などの仕事をする際にセキュリティ確保が難しいとは思っていたのですが、アメリカの安全保障に関わる機関も

米国土安全保障省(DHS)は同省に課されたサイバーセキュリティに関する責任を果たせず、緊急事態に対しても全くの「無防備状態」である可能性がある。連邦会計監査官らは米国時間26日に発表した報告書の中でDHSをこう酷評した。

という状況らしい。

日本の場合、民も官ももっとおおらか(?)なので良いターゲットにされないように気を付けないとならないですね…

OZMallもSQLインジェクションに脆弱だった!?

価格.comもですが、OZMall(オズモール)もSQLインジェクションに脆弱だったようです。

私は両方のサイトの登録ユーザでは無いため直接の影響はありませんが、もし仮にユーザだったとしたらSQLインジェクションに対して脆弱な場合、UNIONクエリが可能な脆弱性だったかが気になります。

少しWebセキュリティに詳しい方ならご存知とは思いますが、UNIONクエリが可能な場合、SQLインジェクションを直接行えるテーブル以外のテーブルの情報を自由にアクセスできます。システムカタログへのアクセスも可能な場合は最悪の事態です。

価格.com、OZMallともに登録ユーザには案内しているのかも知れませんが、どの程度の問題だったか正確の公表しないとならないと思います。

既に価格.comは詳細を公表しないと発表していますが、盗まれたメールアドレスを利用したフィッシング詐欺などがあった場合はどうするのでしょうか? 価格.comはメールを通じてユーザに連絡するつもりなのでしょうか? メールは送信元が判りづらいため、この様なケースの場合、メールを利用した連絡はフィッシング・ファーミングを誘発する原因になりかねません。

もし私が両サイトのユーザであれば、パスワードの変更と共用したいたパスワードを全て変更します。
# Webサイトのパスワードは覚えない主義ですから、私の場合は他のサイト
# のパスワードを変更する必要はないですが。

高橋メソッドの高橋さんとうどん

先日の土曜、高橋メソッドで有名な高橋さん、STLUGの方とうどんを食べに行きました。
# 本当はRuby関連著書、Rubyの会で有名な方ですが..

Rubyユーザで10人集まってそのうち4人がテレビを持っていない人であった、とか色々楽しい話を聞かさせて頂きました。

高松にいらしたのはWeb+DB Pressに書く記事の打ち合わせが目的だそうです。近日中(?)にRuby用Webフレームワークの記事が載るらしいので楽しみです。

仕事ではPHPも利用されているようで話が合ってよかったのですが、PHPのダメな部分をばらしすぎたかも(笑

暑い季節、PCが壊れる季節が来ましたね..

VMwareが入っているテスト用PCの電源が勝手に切れていました。どうもハードウェア的に自動シャットダウンしてしまったようです。一応エアコンは入れっぱなしなんですけどね… 電源を入れるとコンデンサが焦げている匂いがします…

これはテスト用のPCなので勝手に電源が切れても困りませんでしたが、これから暑くなりPCには厳しい季節です。気を付けないとならないですね。

不正アクセスの方法?

 不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」

別に価格.comから情報を出すまでも無く、不正アクセスの方法はいくらでも出回っています。問題を公開すると具体的な不具合の数やその他の情報を公開しないとならなくなる為非公開にしている、と思われても仕方ありません。

例えば、SQLインジェクションに対して脆弱であった場合「SQLインジェクションでメールアドレスのみではなく、ユーザが使用していたパスワードが盗まれた可能性はあるのか?」と言った質問に答えなければならないからでしょう。

パスワードはコピーする!を読んで頂ければ分かりますが、Webサイトのパスワードがメールアドレスとセットで盗まれて困るユーザは多いのではないでしょうか?
# 私は困りませんが :)

組み込み系の技術者って?!

お客様に関連することはブログで書かない方針なのですが、間接的に伝わる事を期待してあえて書くことにします。

組み込み系の技術者の方に

メールの情報からするとWindowsのストップエラーでUnknown Hardware Errorと出ていますが、PCサーバメーカのH/Wチェックプログラムを動作させて確認してください。

とメールをしたら

最初、設定Aの時にはOSのレベルのエラーが起きたが、Windowsを再セットアップして設定Bでテストした時にはエラーは発生しなかった。また設定Aに戻すとOSかH/Wレベルと思われるエラーが起きた。

だからH/Wチェックプログラムを動作させなくても、設定Aに何らかの問題があるのと考えている旨の返信が来ました。

そして、このようなエラーが発生する障害に無償で対処する当然の責任があるのは、Webシステムの構築と外部プログラム作成のコンサルティングをした弊社にあるそうです。

これらの判断基準が理解できないのは私がソフトウェア系のエンジニアだから?

# それにしても、他の件を含め、謎な判断基準が多すぎです…
# 仮に100歩譲ってWebシステムとしての完成品を売ったと仮定しても
# 「無償対処の当然の責任がある」と言う主張が認められるとは
# 思えません。

Googleの広告を付けてみる

このブログにGoogleのテキスト広告を付けて見るとどんな広告がでるのか見てみたくなったので付けて見ました。

トップページに表示されるコンピュータ系の広告が表示される、と予想したいたところ実際には広告はたった一つ出産のトピックが原因でマタニティ関係の広告が表示されました。

マタニティー関連キーワードでGoogleからこのブログに誘き寄せられた方はびっくり(?)ですよね。
# こんな事を書いているので更にキーワードとの
# 関連性を深めてしまったような気が…

パスワードはメモする!

メモしたパスワードを誰でも見れる場所にポストイットで貼り付けて置くことは悪いことですが、パスワードをメモする事は悪いことではありません。

機会があるときにはこの話をするのですが、私は更パスワードをメモすることも止めています。Webサイトのサービスなどは自分でもとうてい覚える事が不可能なパスワードを設定して忘れてしまいます。Webブラウザに記憶させ、Webブラウザのマスターパスワード+OSのファイルシステム暗号化機能を使う事にしています。

全てのWebサイトのサービスに同じパスワードを使っていると万が一パスワードが漏洩した場合、私に成りすまして他のサイトで悪事を働く、という事は十分考えられます。しかもパスワードはセキュリティを考えないWebサイトではSQLインジェクションで漏れたり、盗聴で漏れたり、内部の犯行でデータが持ち出されたり、と危険性を考えるといくらでも思いつきます。

パスワードが必要になったらどうするか? は通常Webサイトからメール送信でリセットできるようになっています。これを利用します。

突き詰めて考えると、パスワードのリセットがメールでできる事にも十分リスクがあります。しかし、どちらにしてもユーザはこの機能を無効にすることができないのでこのリスクは受け入れるしか無いでしょう。
# この機能が無効にできるWebサイトってあります?

クロスサイトスクリプティング問題

Xbox 360サイトにクロスサイトスクリプティング問題があったようです。

ところで、SQLインジェクションに比べて、クロスサイトスクリプティングを使ったクレジットカード情報の取得やユーザの成りすましは「技術的に」難しいと考える人もいるかも知れません。しかし、悪用には技術スキルは必要ありません。クロスサイトスクリプティングの仕組みや現在のインターネット環境を考えると脆弱性の悪用は非常に簡単です。

Step1 盗み出したクッキーを保存するサーバを設置(探せば乗っ取れるサーバは直ぐ見つかります)
Step2 ユーザを攻撃対象に誘導するWebサイトまたはメールを送信
Step3 Step1で盗み出したクッキーを使ってユーザに成りすまして悪事を働く

という簡単な手順で脆弱性を悪用できます。
本気のクラッカーならこの程度の事は簡単に実行できてしまいます。

iTunes以外でiPod

iTunes以外でiPodを管理できるなったようです。

WinAmpのプラグイン、ml_iPodで更に便利にiPodが使えるようになるようです。

http://www.mlipod.com/

最初にml_iPodを開発したのは、ウィンアンプの作者で、オープンソースのピアツーピア(P2P)ソフトウェア『グヌーテラ』(Gnutella)の作者でもある

Guntellaを作ったり、ml_iPodを開発したり、JASRACACCSなどからは目の敵にされているに違いありません。

Zone-HのWeb改ざんデータベース、100万レコード達成

Zone-HのWeb改ざんデータベースが100万レコードに到達した、とアナウンスがありました。

Today Zone-H has reached its millionth record in the defacement archive.

To be completely honest, I don’t know if we should somehow celebrate the event or we should fall on the floor crying desperately!

いつからデータが保存されているのか正確には判りませんが、Webからは2000年1月1日からのデータを参照できます。約4年半ほどで100万件ものWeb改ざん情報が記録された事になります。
# 1日600件ほどになりそうなので、実際にはもっと以前からのデータがあるのかも
# しれません。

Zone-HのWeb改ざんデータベースは主にWebサーバをクラックしたクラッカーによりデータが登録されていると思われます。この種のクラッカーはWebページを改ざんする事を目的としているのでそれ以上の攻撃をしない事が多いです。攻撃しているクラッカーはサイトが本当に悪意のある犯罪者に悪用される前に警告していると言う意識も強く、社会的にはその警告は役に立っている事実は否定できません。

しかし、本当の犯罪者はZone-HなどのクラックデータベースにWebページを改ざんしたり、不正なプログラムをインストールした事を公表しません。IRC、HTTPなどのプロキシをインストールしたり、更には金銭を騙し取る目的のフィッシングやファーミング、価格.comであったようなキーロガー付きのスパイウェアのインストールなどに利用されたWebページの改ざんは含まれていません。

ずさんな管理では法的責任を問われないとは言えません。
以前はWindowsのゼロデイアタック(脆弱性情報が公開されると同時にその脆弱性を利用した攻撃が開始すること)や既知の脆弱性を攻撃する事例が注目されていましが、今はLinuxサーバに対する既知の脆弱性を利用した攻撃が非常に多いです。「素人でもで構築できる自宅Linuxサーバ!」的なサーバ構築本が世界中で氾濫している事、動作すれば問題なしと勘違いしているシステム管理者が多いこと意味しています。

「Linux=安全」ではありませんから、きちんと設定し、安全に運用しなければ危険なシステムになってしまいます。

ConecoのBBSがダウン

価格.comが落ちているのでconeco.netを利用してDDR2-533 ECCメモリの値段をチェックしていたのですが、BBSがダウンしていますね。

エラーメッセージからするとRedHat Linux/Apache 2.0.46で運用しているようです。

エラーページ

トップページをにはベータサービス、と記載されているのでメンテナンスかな?
しかし、デフォルトのエラーページは書き換えた方が良いと思います。折角のチャンスなのですから…

追記:
2005/05/22 22:24 JSTでは復帰していました。エラーが発生していたときはサーバはLinux/Apacheと表示していましたが、IIS/5.0になっていますね。

SATA IIのベンチマーク

メモ。ITMediaのSATA IIのベンチマーク。

SATA IIのNCD(Native Command Queuing)の効果は期待していたよりは効果が低いですがBarracuda 7200.8 SATA NCQ速いですね。

順次読込みは130Mバイト/秒に達している。これは、コントローラがPCI-Expressに接続されていないと性能をフルに発揮できないことを示している。

これって私のSATA IのLinux BOXでhdparmした時の倍くらいの速度です。130MB/秒だと1Gbpsを超える速度ですが、133GBプラッタのHDDはそんなに速い?! と思いSeagateのサイトに行きHDDのデータシートを見てみると

Sustained Transfer Rate (Mbytes/Sec) 65

と記載されていました。