カテゴリー
Other

組み込み系の技術者って?!

お客様に関連することはブログで書かない方針なのですが、間接的に伝わる事を期待してあえて書くことにします。

組み込み系の技術者の方に

メールの情報からするとWindowsのストップエラーでUnknown Hardware Errorと出ていますが、PCサーバメーカのH/Wチェックプログラムを動作させて確認してください。

とメールをしたら

最初、設定Aの時にはOSのレベルのエラーが起きたが、Windowsを再セットアップして設定Bでテストした時にはエラーは発生しなかった。また設定Aに戻すとOSかH/Wレベルと思われるエラーが起きた。

だからH/Wチェックプログラムを動作させなくても、設定Aに何らかの問題があるのと考えている旨の返信が来ました。

そして、このようなエラーが発生する障害に無償で対処する当然の責任があるのは、Webシステムの構築と外部プログラム作成のコンサルティングをした弊社にあるそうです。

これらの判断基準が理解できないのは私がソフトウェア系のエンジニアだから?

# それにしても、他の件を含め、謎な判断基準が多すぎです…
# 仮に100歩譲ってWebシステムとしての完成品を売ったと仮定しても
# 「無償対処の当然の責任がある」と言う主張が認められるとは
# 思えません。

カテゴリー
Other

Googleの広告を付けてみる

このブログにGoogleのテキスト広告を付けて見るとどんな広告がでるのか見てみたくなったので付けて見ました。

トップページに表示されるコンピュータ系の広告が表示される、と予想したいたところ実際には広告はたった一つ出産のトピックが原因でマタニティ関係の広告が表示されました。

マタニティー関連キーワードでGoogleからこのブログに誘き寄せられた方はびっくり(?)ですよね。
# こんな事を書いているので更にキーワードとの
# 関連性を深めてしまったような気が…

カテゴリー
Security

パスワードはメモする!

メモしたパスワードを誰でも見れる場所にポストイットで貼り付けて置くことは悪いことですが、パスワードをメモする事は悪いことではありません。

機会があるときにはこの話をするのですが、私は更パスワードをメモすることも止めています。Webサイトのサービスなどは自分でもとうてい覚える事が不可能なパスワードを設定して忘れてしまいます。Webブラウザに記憶させ、Webブラウザのマスターパスワード+OSのファイルシステム暗号化機能を使う事にしています。

全てのWebサイトのサービスに同じパスワードを使っていると万が一パスワードが漏洩した場合、私に成りすまして他のサイトで悪事を働く、という事は十分考えられます。しかもパスワードはセキュリティを考えないWebサイトではSQLインジェクションで漏れたり、盗聴で漏れたり、内部の犯行でデータが持ち出されたり、と危険性を考えるといくらでも思いつきます。

パスワードが必要になったらどうするか? は通常Webサイトからメール送信でリセットできるようになっています。これを利用します。

突き詰めて考えると、パスワードのリセットがメールでできる事にも十分リスクがあります。しかし、どちらにしてもユーザはこの機能を無効にすることができないのでこのリスクは受け入れるしか無いでしょう。
# この機能が無効にできるWebサイトってあります?

カテゴリー
Security

クロスサイトスクリプティング問題

Xbox 360サイトにクロスサイトスクリプティング問題があったようです。

ところで、SQLインジェクションに比べて、クロスサイトスクリプティングを使ったクレジットカード情報の取得やユーザの成りすましは「技術的に」難しいと考える人もいるかも知れません。しかし、悪用には技術スキルは必要ありません。クロスサイトスクリプティングの仕組みや現在のインターネット環境を考えると脆弱性の悪用は非常に簡単です。

Step1 盗み出したクッキーを保存するサーバを設置(探せば乗っ取れるサーバは直ぐ見つかります)
Step2 ユーザを攻撃対象に誘導するWebサイトまたはメールを送信
Step3 Step1で盗み出したクッキーを使ってユーザに成りすまして悪事を働く

という簡単な手順で脆弱性を悪用できます。
本気のクラッカーならこの程度の事は簡単に実行できてしまいます。

カテゴリー
Computer

iTunes以外でiPod

iTunes以外でiPodを管理できるなったようです。

WinAmpのプラグイン、ml_iPodで更に便利にiPodが使えるようになるようです。

http://www.mlipod.com/

最初にml_iPodを開発したのは、ウィンアンプの作者で、オープンソースのピアツーピア(P2P)ソフトウェア『グヌーテラ』(Gnutella)の作者でもある

Guntellaを作ったり、ml_iPodを開発したり、JASRACACCSなどからは目の敵にされているに違いありません。

カテゴリー
Computer

Zone-HのWeb改ざんデータベース、100万レコード達成

Zone-HのWeb改ざんデータベースが100万レコードに到達した、とアナウンスがありました。

Today Zone-H has reached its millionth record in the defacement archive.

To be completely honest, I don’t know if we should somehow celebrate the event or we should fall on the floor crying desperately!

いつからデータが保存されているのか正確には判りませんが、Webからは2000年1月1日からのデータを参照できます。約4年半ほどで100万件ものWeb改ざん情報が記録された事になります。
# 1日600件ほどになりそうなので、実際にはもっと以前からのデータがあるのかも
# しれません。

Zone-HのWeb改ざんデータベースは主にWebサーバをクラックしたクラッカーによりデータが登録されていると思われます。この種のクラッカーはWebページを改ざんする事を目的としているのでそれ以上の攻撃をしない事が多いです。攻撃しているクラッカーはサイトが本当に悪意のある犯罪者に悪用される前に警告していると言う意識も強く、社会的にはその警告は役に立っている事実は否定できません。

しかし、本当の犯罪者はZone-HなどのクラックデータベースにWebページを改ざんしたり、不正なプログラムをインストールした事を公表しません。IRC、HTTPなどのプロキシをインストールしたり、更には金銭を騙し取る目的のフィッシングやファーミング、価格.comであったようなキーロガー付きのスパイウェアのインストールなどに利用されたWebページの改ざんは含まれていません。

ずさんな管理では法的責任を問われないとは言えません。
以前はWindowsのゼロデイアタック(脆弱性情報が公開されると同時にその脆弱性を利用した攻撃が開始すること)や既知の脆弱性を攻撃する事例が注目されていましが、今はLinuxサーバに対する既知の脆弱性を利用した攻撃が非常に多いです。「素人でもで構築できる自宅Linuxサーバ!」的なサーバ構築本が世界中で氾濫している事、動作すれば問題なしと勘違いしているシステム管理者が多いこと意味しています。

「Linux=安全」ではありませんから、きちんと設定し、安全に運用しなければ危険なシステムになってしまいます。

カテゴリー
Computer

ConecoのBBSがダウン

価格.comが落ちているのでconeco.netを利用してDDR2-533 ECCメモリの値段をチェックしていたのですが、BBSがダウンしていますね。

エラーメッセージからするとRedHat Linux/Apache 2.0.46で運用しているようです。

エラーページ

トップページをにはベータサービス、と記載されているのでメンテナンスかな?
しかし、デフォルトのエラーページは書き換えた方が良いと思います。折角のチャンスなのですから…

追記:
2005/05/22 22:24 JSTでは復帰していました。エラーが発生していたときはサーバはLinux/Apacheと表示していましたが、IIS/5.0になっていますね。