ConecoのBBSがダウン

ConecoのBBSがダウン

価格.comが落ちているのでconeco.netを利用してDDR2-533 ECCメモリの値段をチェックしていたのですが、BBSがダウンしていますね。

エラーメッセージからするとRedHat Linux/Apache 2.0.46で運用しているようです。

エラーページ

トップページをにはベータサービス、と記載されているのでメンテナンスかな?
しかし、デフォルトのエラーページは書き換えた方が良いと思います。折角のチャンスなのですから…

追記:
2005/05/22 22:24 JSTでは復帰していました。エラーが発生していたときはサーバはLinux/Apacheと表示していましたが、IIS/5.0になっていますね。

SATA IIのベンチマーク

メモ。ITMediaのSATA IIのベンチマーク。

SATA IIのNCD(Native Command Queuing)の効果は期待していたよりは効果が低いですがBarracuda 7200.8 SATA NCQ速いですね。

順次読込みは130Mバイト/秒に達している。これは、コントローラがPCI-Expressに接続されていないと性能をフルに発揮できないことを示している。

これって私のSATA IのLinux BOXでhdparmした時の倍くらいの速度です。130MB/秒だと1Gbpsを超える速度ですが、133GBプラッタのHDDはそんなに速い?! と思いSeagateのサイトに行きHDDのデータシートを見てみると

Sustained Transfer Rate (Mbytes/Sec) 65

と記載されていました。

NECが低価格水冷サーバ

冷却システムに水冷方式を採用し、ささやき声程度の30dB(デシベル)(注1)の静けさを実現した水冷式静音サーバ「Express5800/110Ga-C」を希望小売価格12万8千円にて製品化し、本日より販売活動を開始しました。

NECから発売だそうです。30dBは静かですね。

グーグル、パーソナライズ可能な新ホームページを公開

卓越した技術は既存のマーケットシェアを大きく変える可能性がある事を再確認させたのが、検索エンジンとしてGoogleでした。

紀元前Googleと今では、とてもGoogle無しの時代に戻る事は想像できません。今はYahoo!やMSNの検索エンジンもGoogleと同じ程度の検索エンジンを持っている、と言えますが検索エンジンとしてGoogleのシェアはダントツです。高性能な検索エンジンとしてYahoo!、MSNと一線を画してきたGoogleですがついにポータルとしてのページを公開しました。

Newsも結局気が付くとnews.google.comを見る習慣が付いているんですよね。
日本版がいつになるか楽しみです。

PS3の仕様

PS3の仕様もXbox 360に負けず劣らずすごいですね。

-7 x SPE @3.2GHz
-7 x 128b 128 SIMD GPRs
-7 x 256KB SRAM for SPE

7と中途半端な数字になっているのは1系統がスペアだからだそうです。歩留まりなどを考慮した結果だそうです。

当然BDも付いていますね。

Blu-ray Disc (PlayStation 3 BD-ROM, BD-Video, BD-ROM, BD-R, BD-RE)

いくらで売るつもりなのか楽しみですね。

話は変わりますが、消費者としてBDでもHD DVDでもどっちでも良いので統一して欲しいですね。個人的には多少大きくても、高くてもBDが良いです。

BDの方が小さい子供が扱っても大丈夫(!?)な気がします。

Netscape Browser 8.0 Released

もう出さないつもりかとばかり、勝手に、思っていました。

http://browser.netscape.com/ns8/

未だにIE5.5かNN4.7を利用しないと注文できないメジャーなサイトもあるくらいです。今ひとつなFirefox(Mozilla)対応が改善する一助になれば良いのですが。

今後はセキュリティアップデートだけは確実にしてほしいですね。

早速使ってみたところ、便利な機能なのですが「ちょっとなぁ..」と思えるのはSite Controlです。サイト毎にクッキーやJavaScript、Javaの設定を簡単に変えられるのは良いのですがSSLを使ったサイトで

http://browser.netscape.com/ns8/security/trust_partners.jsp

に載っているサービスの証明書しか信頼可能とマークされないのは良くない仕様ですね。この点は改善して欲しい物です。

使ってみるとまだまだ色々でてきそうですが、このくらいにしておきます。

不満をこぼす社員には要注意!?

このMYCOMの記事、当たり前と言えば当たり前です。メモとして。

今回の報告書では、内部関係者によって事件が起こる前に、サイバー攻撃を未然に防ぐことができなかったのかを主眼に調査が実施された様子もうかがわれ、約 4割のケースが、事前に発生を察知できる状況にあったとの分析も出されている。62%の事件は周到な準備の下に起きたとされ、実際の会話やEメールで周囲に不満を漏らしつつ、復讐心からサイバー攻撃に及ぶことを示唆していたケースも少なくなかったようだ。犯行に至った人の57%は、社内で日頃から何かと不平不満ばかりこぼす人と見られていたようで、逮捕暦のあった人も全体の3割を超えていたという。

不満をこぼすと目を付けられるかも!?

アメリカだと会社に対する不満は誰でも普通に言っていると思うのでレッテル貼りは禁物と思います。

逮捕歴があっても犯罪者とは限らないので3割という数字をどう見るか?は詳細な報告書を見ないと分からないですね。

報告書は次のURLからたどれるので後で読むことにします。
http://www.cert.org/insider_threat/insidercross.html

複数のWikiに脆弱性

セキュリティーホールmemoによると複数のWikiに脆弱性がある、記載されていました。以下が対象のWiki

PukiWiki
Wiki もどき
AsWiki
Hiki

私がWikiに使っているPukiwiki 1.4.5_1も含まれていますが、設定の関係上、指摘されている脆弱性の影響は無いと思われます。念のためにPukiwikiサイトのerrataの回避策も実施しました。

http://pukiwiki.org/index.php?%3AErrata#qf91cd08

予防措置: 「第三者によるファイル添付」を禁止する (下記のいずれか、ないし複数を実施する)

* (1) 1.4.5_rc1 以降のみ: pukiwiki.ini.php の先頭にある 定数 PKWK_READONLY の値を 1 にする
o ※この方法には副作用があります: PukiWiki全体がリードオンリーモードになるため、閲覧以外の多くの行為が同時に禁止されます。最も素早く実施/復旧する事が可能ですから、下記にある他の対応を行う前の準備段階に利用する事もできます。この機能の詳細はdev:BugTrack/744にあります
* (2) attachプラグイン(plugin/attach.inc.php)の先頭にある設定を変更し、管理者だけが添付ファイルをアップロードできるようにする
o 1.4.5_alpha以降: 定数 PLUGIN_ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
o それ以前: 定数 ATTACH_UPLOAD_ADMIN_ONLY の値を TRUE にする
* (3) attachディレクトリへの書き込み権限を取り除く (chmod a-w attach)
* (4) attachプラグイン(plugin/attach.inc.php)を削除する

対応後、本当ににアップロードの動作が禁止されているかどうかを確認して下さい。

デフォルト設定でPukiwikiをご利用の方は早急に回避策の実施をお勧めします。

もちろん他のWikiをご利用の方も対策が必要です。脆弱性がないWikiでもデフォルト設定やインストールマニュアル手順通りにインストールしていない場合は影響がある場合も考えられます。自身が無い場合はIPAの情報公開を待ち、安全であるか確認した方が良いと思います。

価格.comの発表…

【速報】価格.comがハッキングで閉鎖、閲覧者にウイルス感染の可能性も
カカクコム、23日めどに再開への続き

日経BPのITProのカカクコムがサイト閉鎖の経緯を説明,「当初は対策ソフトの多くが未対応,ウイルスを確認できず」によるとアンチウイルスソフトが対応していなかった為、ウィルスに関する情報が提供できなかったとしています。11日~14日までの3~4日間もの時間があった割には当初カカクコムのトップページに表示されていた情報はお粗末であったとと言われても仕方ないと思います。

同社では,不正アクセスを許した原因などについては「警察が調査中であり,今後の自社のセキュリティにも影響するので控えたい」(穐田誉輝代表取締役社長兼CEO)として,詳細を明らかにしていない。しかしながら,今回改ざんされたのは,動的にWebページを生成するプログラムだと考えられる。そのようなプログラムが改ざんされたために,閲覧するだけで,ウイルスを勝手にダウンロードさせられるWebページが,同社サイト上に置かれていたと考えられる。

カカクコムのルータはパケットを盗聴可能であった時期があったらしく、その時に盗まれたIDが利用された可能性も考えられます。それにしても、最近このように重大なセキュリティ問題があった会社にしてはセキュリティ対策が不十分すぎるように思えます。

「今後の自社のセキュリティにも影響するので控えたい」としていますが、セキュリティ対策が完了しているのであれば公表しても差し支えないはずです。OSS系のサイトではクラッカーの進入を許してしまった場合、その時の状況や悪用されたセキュリティホールを出来る限り詳しく公表しています。失った信用を回復するには何が問題であったかと隠し、一時しのぎをするのではなく、何が問題であったか全て明らかにする事が重要と思います。カカクコムの利用者はコンピュータに詳しい利用者が多いはずであり、なお更詳しい情報開示が利用者の信用の回復につながる事は明らかです。

ソフトウェアの違法コピー、日本は優秀(?)

違法コピーの割合が最も高かった国はベトナムで、コンピューターにインストールされたソフトのうち92%に達した。中国は90%と3番目に高く、日本は世界で8番目に低い28%、米国は最も低く21%だった。

という事らしい。日本は比較的違法コピーが少ない国になっていますが、1/4以上が違法コピーである、としています。

大学時代にサウジアラビア人の友人から「サウジアラビアにはソフトウェアの著作権という考え方はない、いくらコピーしても法律的にも問題ない」と言っていました。本当かどうかは知りませんが、サウジアラビアの著作権制度は変わって違法コピー(法律がなければ違法とはいえないですが)は少なくなったのかと思い調べて見ました。

このプレスリリースには1999年頃から急激にサウジアラビアの違法コピーが少なくなった、と記載されています。今は著作権関連の法律もできて(?)普通の国なった(?)のでしょうね。

調査方法なども違うと考えられるので単純に比較する事はできませんが、全世界でのソフトウェアの違法コピーによる被害は2001年の117億ドル(約1兆3000億円)から2004年の約327億ドル(約3兆5000億円)に大幅に増えているようです。

中国に進出している企業であれば注意していると思いますが、日本企業はソフトウェアの不正使用で摘発されるケースが多くあるようです。ご注意ください。

# 以前、中国では教育目的のソフトウェアコピーは許可されている、と
# 聞いたことがあります。実際、中国の複数の教育機関のWebサイトか
# らAdobe、Microsoft製品がダウンロードできるようになっていました。
# 昔から違法? それとも今はもう違法?
## WTOに加盟しているので違法ですよね??

ターボリナックスが中古パソコン専用のLinuxを提供開始

この中古パソコン専用!と言う部分ですが、TL10はxfce4をサポートしているのでxfce4がデフォルトのデスクトップ環境になっているディストリビューション、と言うことだと理解しました。間違っています??

手元にあるPCで256MB以下のPCが無いので解りませんが、128MB程度あればそれなりに使える速度で動作すると思います。

Turbolite 10
http://www.turbolinux.co.jp/10d/turbo_lite.html

少なくとも64MBや128MBメモリのPCでWindows XPを動作させてFirefoxを使用するよりかなり快適と思います。

マーケティングには色々な手法がありますが、このマーケティング、一般受けするのかな?

追記:
マーケティングの法則として適切なセグメンテーションは必須です。例えば、いくら良いカツラでも男性用と女性用は別にマーケティングしないとダメ等、があります。ページを見るとターボリナックスとしても中古もしくは古いPCに新たな投資をユーザが行うとは考えていない事は分かります。妥当な予測と思いますが、ビジネスになるか、それともマーケティングには色々な手法と同じくパブリシティの利用のみを考えているのか? 私は後者のような気がします。

私のEメールアドレスを偽称したメールに注意!

送信先のドメインはヨーロッパ系の国に対して送信していること、政治的か社会的な主張を掲載したWebページへ誘導すること、などから考えるとあまり気にする必要も無いとは思いますが念のためにブログにも記載しておきます。

yohgaki@ohgaki.net を送信元とし、大量のSPAMメールがヨーロッパ各国に送られいるようです。ご注意下さい。

# このようなケースは、初めてではないのですが… (苦笑

カカクコム、23日めどに再開へ

価格.comの件は多くのブログで書かれていると思いますが、この件で期待しているのは「何故クラックされたのか」が明らかになる事です。

事件後のコメントに「最高レベルのセキュリティ対策をしていたつもりだった」との発言もあったと聞いています。最高レベルと言うからには、IDSやIPSも当然含まれていたと思います。ウィルスを捲くために特定のサイトへアクセスするようになっていたらしいですが、何故IDSやIPSで防げなかったのか疑問です。IDS/IPSを導入していれば、攻撃元のIPアドレスが複数であったとしても、少なくともある程度は、防御可能であったように思えます。

情報の真偽は判断できませんが「社員がWebページを巡回して改ざんを確認し修正していた」という記事もあったので、本当に最高レベルのセキュリティ対策を行っていたのか、も疑問符が付きます。

東証1部上場企業
として恥ずかしくない情報開示を期待したいです。

追記:
こんな記事もあるんですよね…

どのような攻撃だったのか判りませんが、中国からの攻撃の可能性も高い、と聞いています。中国がボットネット大国であることは有名です。世界中では何十万台のPCがボットネットに組み込まれている、と言われています。「最高レベルのセキュリティー対策」であればこのような現状を認識した上での対策が取られていたはず、と思います…

allow_url_fopenは無効に設定

Webサイト構築で注意しなければならない箇所は決まりきっています。PHPのiniオプションでかなり危険な設定ですがデフォルトで有効かつシステムレベルでのみ設定変更可能なiniディレクティブ、allow_url_fopenがその内の一つです。

このオプションが有効な場合、ほとんど全てのファイル関数でローカルファイル以外にURL(HTTP、FTP)を利用しリモートファイルを読み込みます。インクルード系の関数も同様です。

include('http://code.example.com/script.php');

と記述するとリモートサーバに保存されたスクリプトを読み込んでローカルホストで実行します。先日のphpbbのセキュリティーホールはこのタイプのミスだったようですね。このタイプのセキュリティーホールは【緊急より更に上】レベルの重大な問題です。しかし、何度も同じようなミスは色々なプログラムで発生しています。

私も機会がある度にこのオプションの危険性について紹介していますがどうも不毛な気がしてきました。この際、この機能はデフォルト無効、有効にした場合もallow_url_fopenは利用可能なサーバを列挙可能なように仕様を変更した方が良いですね。

パッチの作成は簡単なのですが…

追記:
allow_url_fopenがINI_SYSTEMである件を「あれ?」と思ってちょっと調べて見るとPHP4.3.4からINI_ALLだったものがINI_SYSTEMになっていますね。この変更、かなりまずい変更だと思います… サーバ管理者がallow_url_fopenの動作を制限できるようにするなら、sefe_mode_url_fopen等のディレクティブを新たに作り管理者が制限できるように実装するべきです。INI_SYSTEMに変えてしまうと共有サーバでは設定変更ができない可能性があります。スクリプト中の特定箇所でのみallow_url_fopenを有効にする、などの現実的な対処も行えなくなります。どうしたものか…