暑い季節、PCが壊れる季節が来ましたね..
VMwareが入っているテスト用PCの電源が勝手に切れていました。どうもハードウェア的に自動シャットダウンしてしまったようです。一応エアコンは入れっぱなしなんですけどね… 電源を入れるとコンデンサが焦げている匂いがします…
これはテスト用のPCなので勝手に電源が切れても困りませんでしたが、これから暑くなりPCには厳しい季節です。気を付けないとならないですね。
不正アクセスの方法?
不正アクセスの手口は「判明している」(穐田社長)としながらも「類似犯罪のヒントとなる情報は出したくない」
別に価格.comから情報を出すまでも無く、不正アクセスの方法はいくらでも出回っています。問題を公開すると具体的な不具合の数やその他の情報を公開しないとならなくなる為非公開にしている、と思われても仕方ありません。
例えば、SQLインジェクションに対して脆弱であった場合「SQLインジェクションでメールアドレスのみではなく、ユーザが使用していたパスワードが盗まれた可能性はあるのか?」と言った質問に答えなければならないからでしょう。
パスワードはコピーする!を読んで頂ければ分かりますが、Webサイトのパスワードがメールアドレスとセットで盗まれて困るユーザは多いのではないでしょうか?
# 私は困りませんが :)
組み込み系の技術者って?!
お客様に関連することはブログで書かない方針なのですが、間接的に伝わる事を期待してあえて書くことにします。
組み込み系の技術者の方に
メールの情報からするとWindowsのストップエラーでUnknown Hardware Errorと出ていますが、PCサーバメーカのH/Wチェックプログラムを動作させて確認してください。
とメールをしたら
最初、設定Aの時にはOSのレベルのエラーが起きたが、Windowsを再セットアップして設定Bでテストした時にはエラーは発生しなかった。また設定Aに戻すとOSかH/Wレベルと思われるエラーが起きた。
だからH/Wチェックプログラムを動作させなくても、設定Aに何らかの問題があるのと考えている旨の返信が来ました。
そして、このようなエラーが発生する障害に無償で対処する当然の責任があるのは、Webシステムの構築と外部プログラム作成のコンサルティングをした弊社にあるそうです。
これらの判断基準が理解できないのは私がソフトウェア系のエンジニアだから?
# それにしても、他の件を含め、謎な判断基準が多すぎです…
# 仮に100歩譲ってWebシステムとしての完成品を売ったと仮定しても
# 「無償対処の当然の責任がある」と言う主張が認められるとは
# 思えません。
Googleの広告を付けてみる
このブログにGoogleのテキスト広告を付けて見るとどんな広告がでるのか見てみたくなったので付けて見ました。
トップページに表示されるコンピュータ系の広告が表示される、と予想したいたところ実際には広告はたった一つ出産のトピックが原因でマタニティ関係の広告が表示されました。
マタニティー関連キーワードでGoogleからこのブログに誘き寄せられた方はびっくり(?)ですよね。
# こんな事を書いているので更にキーワードとの
# 関連性を深めてしまったような気が…
パスワードはメモする!
メモしたパスワードを誰でも見れる場所にポストイットで貼り付けて置くことは悪いことですが、パスワードをメモする事は悪いことではありません。
機会があるときにはこの話をするのですが、私は更パスワードをメモすることも止めています。Webサイトのサービスなどは自分でもとうてい覚える事が不可能なパスワードを設定して忘れてしまいます。Webブラウザに記憶させ、Webブラウザのマスターパスワード+OSのファイルシステム暗号化機能を使う事にしています。
全てのWebサイトのサービスに同じパスワードを使っていると万が一パスワードが漏洩した場合、私に成りすまして他のサイトで悪事を働く、という事は十分考えられます。しかもパスワードはセキュリティを考えないWebサイトではSQLインジェクションで漏れたり、盗聴で漏れたり、内部の犯行でデータが持ち出されたり、と危険性を考えるといくらでも思いつきます。
パスワードが必要になったらどうするか? は通常Webサイトからメール送信でリセットできるようになっています。これを利用します。
突き詰めて考えると、パスワードのリセットがメールでできる事にも十分リスクがあります。しかし、どちらにしてもユーザはこの機能を無効にすることができないのでこのリスクは受け入れるしか無いでしょう。
# この機能が無効にできるWebサイトってあります?
クロスサイトスクリプティング問題
Xbox 360サイトにクロスサイトスクリプティング問題があったようです。
ところで、SQLインジェクションに比べて、クロスサイトスクリプティングを使ったクレジットカード情報の取得やユーザの成りすましは「技術的に」難しいと考える人もいるかも知れません。しかし、悪用には技術スキルは必要ありません。クロスサイトスクリプティングの仕組みや現在のインターネット環境を考えると脆弱性の悪用は非常に簡単です。
Step1 盗み出したクッキーを保存するサーバを設置(探せば乗っ取れるサーバは直ぐ見つかります)
Step2 ユーザを攻撃対象に誘導するWebサイトまたはメールを送信
Step3 Step1で盗み出したクッキーを使ってユーザに成りすまして悪事を働く
という簡単な手順で脆弱性を悪用できます。
本気のクラッカーならこの程度の事は簡単に実行できてしまいます。
iTunes以外でiPod
iTunes以外でiPodを管理できるなったようです。
WinAmpのプラグイン、ml_iPodで更に便利にiPodが使えるようになるようです。
http://www.mlipod.com/
最初にml_iPodを開発したのは、ウィンアンプの作者で、オープンソースのピアツーピア(P2P)ソフトウェア『グヌーテラ』(Gnutella)の作者でもある
Guntellaを作ったり、ml_iPodを開発したり、JASRAC、ACCSなどからは目の敵にされているに違いありません。
Zone-HのWeb改ざんデータベース、100万レコード達成
Zone-HのWeb改ざんデータベースが100万レコードに到達した、とアナウンスがありました。
Today Zone-H has reached its millionth record in the defacement archive.
To be completely honest, I don’t know if we should somehow celebrate the event or we should fall on the floor crying desperately!
いつからデータが保存されているのか正確には判りませんが、Webからは2000年1月1日からのデータを参照できます。約4年半ほどで100万件ものWeb改ざん情報が記録された事になります。
# 1日600件ほどになりそうなので、実際にはもっと以前からのデータがあるのかも
# しれません。
Zone-HのWeb改ざんデータベースは主にWebサーバをクラックしたクラッカーによりデータが登録されていると思われます。この種のクラッカーはWebページを改ざんする事を目的としているのでそれ以上の攻撃をしない事が多いです。攻撃しているクラッカーはサイトが本当に悪意のある犯罪者に悪用される前に警告していると言う意識も強く、社会的にはその警告は役に立っている事実は否定できません。
しかし、本当の犯罪者はZone-HなどのクラックデータベースにWebページを改ざんしたり、不正なプログラムをインストールした事を公表しません。IRC、HTTPなどのプロキシをインストールしたり、更には金銭を騙し取る目的のフィッシングやファーミング、価格.comであったようなキーロガー付きのスパイウェアのインストールなどに利用されたWebページの改ざんは含まれていません。
ずさんな管理では法的責任を問われないとは言えません。
以前はWindowsのゼロデイアタック(脆弱性情報が公開されると同時にその脆弱性を利用した攻撃が開始すること)や既知の脆弱性を攻撃する事例が注目されていましが、今はLinuxサーバに対する既知の脆弱性を利用した攻撃が非常に多いです。「素人でもで構築できる自宅Linuxサーバ!」的なサーバ構築本が世界中で氾濫している事、動作すれば問題なしと勘違いしているシステム管理者が多いこと意味しています。
「Linux=安全」ではありませんから、きちんと設定し、安全に運用しなければ危険なシステムになってしまいます。
ConecoのBBSがダウン
価格.comが落ちているのでconeco.netを利用してDDR2-533 ECCメモリの値段をチェックしていたのですが、BBSがダウンしていますね。
エラーメッセージからするとRedHat Linux/Apache 2.0.46で運用しているようです。
トップページをにはベータサービス、と記載されているのでメンテナンスかな?
しかし、デフォルトのエラーページは書き換えた方が良いと思います。折角のチャンスなのですから…
追記:
2005/05/22 22:24 JSTでは復帰していました。エラーが発生していたときはサーバはLinux/Apacheと表示していましたが、IIS/5.0になっていますね。
SATA IIのベンチマーク
メモ。ITMediaのSATA IIのベンチマーク。
SATA IIのNCD(Native Command Queuing)の効果は期待していたよりは効果が低いですがBarracuda 7200.8 SATA NCQ速いですね。
順次読込みは130Mバイト/秒に達している。これは、コントローラがPCI-Expressに接続されていないと性能をフルに発揮できないことを示している。
これって私のSATA IのLinux BOXでhdparmした時の倍くらいの速度です。130MB/秒だと1Gbpsを超える速度ですが、133GBプラッタのHDDはそんなに速い?! と思いSeagateのサイトに行きHDDのデータシートを見てみると
Sustained Transfer Rate (Mbytes/Sec) 65
と記載されていました。
NECが低価格水冷サーバ
冷却システムに水冷方式を採用し、ささやき声程度の30dB(デシベル)(注1)の静けさを実現した水冷式静音サーバ「Express5800/110Ga-C」を希望小売価格12万8千円にて製品化し、本日より販売活動を開始しました。
NECから発売だそうです。30dBは静かですね。
「法則に反する」ムーアの法則
メモ。結構面白かったので。
グーグル、パーソナライズ可能な新ホームページを公開
卓越した技術は既存のマーケットシェアを大きく変える可能性がある事を再確認させたのが、検索エンジンとしてGoogleでした。
紀元前Googleと今では、とてもGoogle無しの時代に戻る事は想像できません。今はYahoo!やMSNの検索エンジンもGoogleと同じ程度の検索エンジンを持っている、と言えますが検索エンジンとしてGoogleのシェアはダントツです。高性能な検索エンジンとしてYahoo!、MSNと一線を画してきたGoogleですがついにポータルとしてのページを公開しました。
Newsも結局気が付くとnews.google.comを見る習慣が付いているんですよね。
日本版がいつになるか楽しみです。
PS3の仕様
PS3の仕様もXbox 360に負けず劣らずすごいですね。
-7 x SPE @3.2GHz
-7 x 128b 128 SIMD GPRs
-7 x 256KB SRAM for SPE
7と中途半端な数字になっているのは1系統がスペアだからだそうです。歩留まりなどを考慮した結果だそうです。
当然BDも付いていますね。
Blu-ray Disc (PlayStation 3 BD-ROM, BD-Video, BD-ROM, BD-R, BD-RE)
いくらで売るつもりなのか楽しみですね。
話は変わりますが、消費者としてBDでもHD DVDでもどっちでも良いので統一して欲しいですね。個人的には多少大きくても、高くてもBDが良いです。
BDの方が小さい子供が扱っても大丈夫(!?)な気がします。
Netscape Browser 8.0 Released
もう出さないつもりかとばかり、勝手に、思っていました。
http://browser.netscape.com/ns8/
未だにIE5.5かNN4.7を利用しないと注文できないメジャーなサイトもあるくらいです。今ひとつなFirefox(Mozilla)対応が改善する一助になれば良いのですが。
今後はセキュリティアップデートだけは確実にしてほしいですね。
早速使ってみたところ、便利な機能なのですが「ちょっとなぁ..」と思えるのはSite Controlです。サイト毎にクッキーやJavaScript、Javaの設定を簡単に変えられるのは良いのですがSSLを使ったサイトで
http://browser.netscape.com/ns8/security/trust_partners.jsp
に載っているサービスの証明書しか信頼可能とマークされないのは良くない仕様ですね。この点は改善して欲しい物です。
使ってみるとまだまだ色々でてきそうですが、このくらいにしておきます。