月: 2006年3月

Microsoft Origamiプロジェクト

PDAをフル機能PCにしてしまおう、というプロジェクト(?)らしい。

http://www.origamiproject.com/ によると、3/9(EST?)に詳細は発表するそうです。

OrigamiはTunamiと同様に英語かな?と思い検索してみると

http://www.onelook.com/?w=origami&ls=a

広く認知されている用語ではないようですね。

参考:
http://news.com.com/Intel+shows+Origami-like+device/2100-1044_3-6046793.html

太陽の嵐が衛星を利用したシステムに影響

The next 11-year solar storm cycle should be significantly stronger than the current one, which may mean big problems for power grids and GPS systems and other satellite-enabled technology, scientists announced today.

今後11年間は現在よりかなり強い太陽の嵐が予測されるそうです。身近なところでは衛星放送に影響があるのかな?

Listservに深刻な脆弱性

listservに深刻な脆弱性だそうです。最近はlistservを使っているMLはあまり見ませんが、だからこそ危ういのかも知れません。3ヶ月は脆弱性の詳細を公開しないそうです。

Peter Winter-Smith of NGSSoftware has discovered a number of vulnerabilities
in L-Soft’s LISTSERV list management system. The worst of these carries a
critical risk rating.

Affected versions include:

– LISTSERV version 14.4, including LISTSERV Lite and HPO
– LISTSERV version 14.3, including LISTSERV Lite and HPO

And possibly all prior versions of LISTSERV which are installed with the web
archive interface, which is currently the default installation behaviour.

The vulnerabilities which have been fixed can, in the worst of cases, allow
a remote unauthenticated attacker to execute arbitrary code on the system
hosting the LISTSERV archive web interface.

This issue has been resolved in the latest release of L-Soft LISTSERV
(version 14.5), which may be downloaded from:

http://www.lsoft.com/download/listserv.asp
http://www.lsoft.com/download/listservlite.asp

NGSSoftware are going to withhold details of this flaw for three months.
Full details will be published on the 3rd June 2006. This three month
window will allow users of L-Soft’s LISTSERV the time needed to apply the
patch before the details are released to the general public. This reflects
NGSSoftware’s approach to responsible disclosure.

NGSSoftware Insight Security Research
http://www.ngssoftware.com
http://www.databasesecurity.com/
http://www.nextgenss.com/
+44(0)208 401 0070

Thunderbirdのパフォーマンス改善方法

最近使い物ならないくらいThunderbirdが遅くなってきていました。理由は簡単で「フォルダの最適化」を自動で行わないようにしていたのでゴミが大量に溜まったことが原因でした。

フォルダの最適化を自動化した場合、多くのフィルタルールがあるとエラーが発生する場合が多くあります。この為、手動でフォルダの最適化を行わないようにしていた事を忘れていました。早速フォルダの最適化を行いました。改善はしたのですがどうもまだ遅いままでした。

ちょっとググると.msfファイルを消すと症状が改善されると書いたページを見つけました。プロファイルディレクトリの.msfファイルを全部消してThunderbirdを起動すると随分パフォーマンスが改善されていました。

まだ遅いと思える動作があるのですがとりあえずこれで様子見。

SPAM対策

コメントSPAM対策にBBQあらしお断りシステムのチェックを入れてみました。コメントの送信時にのみチェックするようになっているので参照だけであればどこからも参照できると思います。もし問題があった場合にはご連絡いただけると助かります。

BBQの使い方

b2evolutionへの変更(htsrv/comment_post.phpのはじめの辺り)

// SPAMMER check
$srv_name = implode('.', 
     array_reverse(explode(".", $_SERVER['REMOTE_ADDR'])) ) . '.niku.2ch.net';
if ( checkdnsrr($srv_name, 'A') ) {
  require(dirname(__FILE__)."/../b2evocore/_410_stats_gone.page.php");
}

中国版、.fletsの様な物

中国が独自にトップレベルドメインを作成・運営するのでは?という話。

インターネットの専門家らは、今回の動きが、中国が別に専用サーバを立て、独自にトップレベルドメインを管理するという事態に発展することを懸念している。このような事態が発生した場合、インターネットの分裂につながることが予想できるからだ。

勝手にトップレベルドメインを作り出したら面倒なことになります。インターネットの管理、特にDNSに関しては言いがかりとしか思えない議論もあったそうなので、それが原因なのかも知れませんね。

.flets を国レベルで運営する、と考えたら許せる?

誰かが.comドメインの管理でVeriSignが儲けている金額を見て、新たな利権を作るためのトップレベルドメインだったり?

ルートサーバの信頼性に疑問がある場合、ファーミングが可能になるなど、セキュリティ上大きな問題となります。ルートサーバの管理を分散しろ、などの無謀な議論には反対ですが勝手に作って勝手に運営するのは自由にすればと思います。

セキュリティポリシーって?

Winnyで機密情報が流出事件が相次いでいますが、ほとんどが

「ファイル交換ソフトを入れたPCでの閲覧は禁止していた」

と報道されています。

Winnyで情報漏えいがあった組織のセキュリティポリシーは本当に「ファイル交換ソフトが入ったPCで閲覧は禁止する」と書いてあるのでしょうか?

そもそも勝手にソフトをインストールするのは一切不可にすべきです。データを持ち出して自分のPCで参照するのも当然不可にするべできす。自衛隊などが取り扱う機密情報は公開ネットワークに接続しているまたは接続する可能性があるコンピュータからデータ参照は禁止すべきだと思うのですが….

セキュリティポリシーがどうなっているのか気になる所です。公共系の組織はISO9000やISO14000を取得する前にISMSを取得した方がよいのではないでしょうか?

もしかして立派なセキュリティポリシーがあるけれど、広報担当でさえ内容を知らない状況なのでしょうか?

gmailのXSS

GoogleにXSSの情報の出所はBloggerユーザのブログだったようです。

http://ph3rny.blogspot.com/2006/03/vulnerability-in-gmail.html

予想に反してSubjectにスクリプトタグを入れるとJavaScriptを埋め込めるという単純なミスだったようです。

日本人のWebプログラマなら「Subjectがエンコードされている」いるのは常識ですがシングルバイト圏のプログラマには常識ではなかったりします。エンコードされたSubjectヘッダに対してフィルタ処理を行っていたのでしょう。(多分)

コーディング処理が終わった後にフィルタ処理を行っていない間違いはメールに限った事ではありません。PHPはブラウザからの入力は自動でデコーディングするのでこのようなミスは発生しづらいのですがPerl等のWebプログラムではよくある間違いの一つです。

F-Secueのウィルスマップ

F-Secureのウィルスマップは現在のウィルス感染状況が地図で分かるようになっています。過去の履歴も参照できるようです。

私が日本の地図を参照したときは三浦半島だけウィルスが流行している状況(Epidemic)に分類されていました。

このマップ、なかなか良くできています。

Intel Mac miniの中身

リンク先に写真が載っています。

当り前と言えば当り前かも知れませんが、Mac miniはBIOSではなくEFIだそうですね。

# 実はG5 Dualを持っていたりします。

追記:
ところでEFIのMacに別のWindowsXPを入れる方法を発見した場合、懸賞金が貰えるそうです。(URL失念…)何も無い状態でEFIコンソールに入る方法が見つかっていないのでかなりハードルが高いらしいです。Windows Server 2003/Windows VISTAはEFIをサポートしているのでEFIとサポートしていないWindowsXPだけが対象です。自身のある方は是非Mac miniを1台購入されてはどうでしょう?

懸賞の情報が書いてあるブログ(私は見たときは懸賞金額は1万ドルを超えていたような気がします)
http://staraxis.kazelog.jp/okiraku/2006/01/intelmacwindows_2666.html

もう少しリンクを辿るとありました。
http://windowsxp.onmac.net/The%20Contest.html
懸賞金が1万2千ドルを超えてますね。期限は3月30日までです。もう時間があまり無いですね。

PHPのStrictセッション

Strictセッション管理パッチのダウンロード数がやっと?100を超えました。

PHP5用のパッチなのが一番の問題なのでしょうか?非常にダウンロード数が少ないように思えます。私はこのパッチはセキュリティ上かなり重要なパッチだと思っています。

PHP4のパッチが必要なのかな? 枡形さんが作ってましたっけ?

関連:
http://blog.ohgaki.net/index.php/yohgaki/2006/02/02/strict_sessioncric_a_a_a
http://blog.ohgaki.net/index.php/yohgaki/2006/02/05/phpa_rsession_fixationa_ei
http://blog.ohgaki.net/index.php/yohgaki/2006/02/27/a_ma_sa_sa_ma_ca_a_ma_a_sa_f

日本ではFirefoxは不調

最も高いのが欧州で20.10%、次いで豪州近辺の18.60%、北米の15.88%、アフリカの9.41%、アジアの8.81%、南米の5.79%だった。日本は中でも低く4%台だという。リリー氏は、「欧州ではかなり人気が高い。これはオープンソース好きという民族性だからだろうか。日本はそれに比べてかなり低いが、正直なところ主な原因は分かっていない。

日本のMicrosoft好きは今に始まったことではないです。WindowsNTが出たときも海外ではまだまだだった時から日本ではかなりの人気でした。日本人はMicrosoft好きという傾向はかなり強いようです。書籍も「Windowsに対応」と書いたり最初のほうに「C:\」が含まれている本の方が桁違いによく売れる(らしい)と聞いています。
# 最近新しい本を書き終えましたが、この法則に従っていませんね :p

だたIEはお勧めできるブラウザではないのは確かです。MS製品が嫌いという事ではないのですがIEは「個人的には怖くて使えない」が本音です。今年に入ってからもかなり過激なセキュリティホールがレポートされていますが、乗り換え組みはまだまだ少ないのですね。

そう言えば、このブログでもGoogleのFirefox Toolbarの紹介リンクを作っていますが紹介料って無かったか、有っても1回ぐらいだったような気がします。本当にあまり使われていないのかな?!

関連
IE, Firefox, Opera? どれを使う?

1秒で100万人の顔を識別し認証

 NEC (金杉明信社長)は、顔認証技術を利用した製品・システム開発用の顔検出・顔照合エンジンソフトの最新版「NeoFace Ver2.4」を発表した。業界最高速レベルとなる1秒間で100万人の顔データが照合できるのが特徴。5月から出荷を開始する。税別価格は250万円から。

100万人/秒とはすごいですね。従来型でも40万人/秒だったらしいです。

顔認証で時刻を登録する出退勤管理システム「NeoFace朝顔」を4月3日、3月6日にそれぞれ発売する。

ということらしいですが、この手の認証は再生攻撃に弱いので学生の出席確認などに利用すると再生攻撃が実際に行われそうです。(顔写真を機械に見せる)

「フェイスキーキャビネット」は事前に登録した顔データを鍵としてキャビネットの扉の開閉管理と利用者すべての操作履歴の顔画像を記録するシステム。不正利用者の特定やオフィス内の重要書類や機密データの流出を防止に利用する。

再生攻撃対策が行われているのでしょうか? 今時はデジタルカメラ・カラープリンタはどこにでもあります。写真での再生攻撃対策に2つくらいはカメラが付いているのかな?

警察に買ってもらいATM等のカメラと連動させれば、犯罪者を逮捕する為に使えそうな気がします。精度も問題ですが100万人/秒ならかなり使えそうな気がしますが、検証する部分を減らしているので変装に脆弱なのかもしれませんね。

顔認証ねたが他のサイトでもありました。

賛否両論ですが顔認証はやはり便利かも?!

商売的にはどうかというと

ドゥーシッチ氏によると、バイオバウンサーは3月中の発売を予定しているという。初期費用は7500ドルで、年間の利用料およびサポート料が6000ドルかかる。これだけの費用が必要になるにもかかわらず、すでに米国内、オーストラリア、ニュージーランド、イタリアから引き合いを受けていると、ドゥーシッチ氏は話す。

ということらしいです。NECさん、キャビネット作っている場合ではないかも?!

Thunderbirdの脆弱性に注意

Thunderbirdでリモートのリソース(Webビーコンの画像ファイルなど)を読み取らない設定にしていてもリモートリソースを取得してしまう問題があるそうです。メールが読まれたか分かってしまうのでSPAMメールなどには特に注意が必要です。

GoogleにXSS

詳しくはリンク先を見ていただくとして(脆弱性の詳しい情報は書いてありません)、パーソナライズド機能やgmailは修正されるまで使わない方がよいらしい。