Blog
2006/08/01のBlog
[ 00:03 ]
[ 禁煙日記 ]
禁煙を開始してから60日が経過した。
ときどき「タバコ吸いたい」というフラッシュバックが襲ってくる。ニコチンはすでに100%体内から抜けているので脳内だけの反応だと思うが、頭がなんとなくボーとしているような軽い禁断症状のようなものが出ることがある。深呼吸かコップ一杯の水で消える。
前回こういう状況で禁煙に失敗しているので、ここは注意して渡ろう。
ときどき「タバコ吸いたい」というフラッシュバックが襲ってくる。ニコチンはすでに100%体内から抜けているので脳内だけの反応だと思うが、頭がなんとなくボーとしているような軽い禁断症状のようなものが出ることがある。深呼吸かコップ一杯の水で消える。
前回こういう状況で禁煙に失敗しているので、ここは注意して渡ろう。
2006/07/31のBlog
[ 01:20 ]
[ ネットの話題 ]
1年間、トップに掲載していました「心を操るウィルス「Musical Baton」ミームの感染記録」の案内を閉じます。
思い起こせば、黙ってじ~っと観測していたMusical Baton。あれから一年が経過した。歳を取るのは早い。
-----------------------
「心を操るウィルス「Musical Baton」ミームの感染記録」は、2005年7月の記事にあります。
心を操るウィルス「Musical Baton」ミームの感染記録(1)
心を操るウィルス「Musical Baton」ミームの感染記録(2)
心を操るウィルス「Musical Baton」ミームの感染記録(3)
心を操るウィルス「Musical Baton」ミームの感染記録(4)
心を操るウィルス「Musical Baton」ミームの感染記録(5)
思い起こせば、黙ってじ~っと観測していたMusical Baton。あれから一年が経過した。歳を取るのは早い。
-----------------------
「心を操るウィルス「Musical Baton」ミームの感染記録」は、2005年7月の記事にあります。
心を操るウィルス「Musical Baton」ミームの感染記録(1)
心を操るウィルス「Musical Baton」ミームの感染記録(2)
心を操るウィルス「Musical Baton」ミームの感染記録(3)
心を操るウィルス「Musical Baton」ミームの感染記録(4)
心を操るウィルス「Musical Baton」ミームの感染記録(5)
2006/07/28のBlog
[ 22:26 ]
[ ブログの話題 ]
6/16日のDoblogバージョンアップ以来存在した、たいへん危険だったセキュリティホールが塞がりました。
塞がれた穴は、2つです。
1:その一つは、以前にも問題にした、セッションIDが外部リンクを通じてRefererから漏れる問題です。漏れたセッションIDを利用して、ユーザのログイン中のセッションを横取りし、そのユーザがDoblog内で出来ることなら何でも行うことが可能でした。
2:もう一つは、未公表の問題です。これは、主要にはユーザのCookieを盗み出せるという問題で、Cookieに格納されているセッションIDを盗み出してログイン中のセッションを横取りし、そのユーザに成りすまして何でも出来るという問題でした。
この2つの問題とも修正されていることを、先ほど(7/28日 22時)確認しました。一番心配していた大穴が2つとも塞がりましたので、これでやれやれです。穴が開いたまま42日、長かった。はぁ。。
本日は速報のみ。どういう問題だったのかは、(書く気力があれば)後ほど。
---------追記(7/29)----------
7/24日の記事「余計なお世話なんだけど」のDoblog利用の注意事項のうち、現時点でまだ残っている危険なバグ(中程度)による注意は、
5の「ログインしたまま、うろうろしないようにしましょう。」のうち、信頼できないブログやサイトでそこにあるリンクをむやみにクリックしないようにしましょう。のみです。リンクをクリックするときは、そのリンク先がどこか、何をしようとしているのかチェックしてみるという注意が、一般的にも、必要です。
その他の注意事項は一般的な注意としてはまだ有効ですが、Doblogのセキュリティホールが塞がれたことにより、改修以前のようなラフな運用をしても安全になっています。
非公開にしていた記事、「事例研究:頭隠して尻隠さず」を公開にした。
塞がれた穴は、2つです。
1:その一つは、以前にも問題にした、セッションIDが外部リンクを通じてRefererから漏れる問題です。漏れたセッションIDを利用して、ユーザのログイン中のセッションを横取りし、そのユーザがDoblog内で出来ることなら何でも行うことが可能でした。
2:もう一つは、未公表の問題です。これは、主要にはユーザのCookieを盗み出せるという問題で、Cookieに格納されているセッションIDを盗み出してログイン中のセッションを横取りし、そのユーザに成りすまして何でも出来るという問題でした。
この2つの問題とも修正されていることを、先ほど(7/28日 22時)確認しました。一番心配していた大穴が2つとも塞がりましたので、これでやれやれです。穴が開いたまま42日、長かった。はぁ。。
本日は速報のみ。どういう問題だったのかは、(書く気力があれば)後ほど。
---------追記(7/29)----------
7/24日の記事「余計なお世話なんだけど」のDoblog利用の注意事項のうち、現時点でまだ残っている危険なバグ(中程度)による注意は、
5の「ログインしたまま、うろうろしないようにしましょう。」のうち、信頼できないブログやサイトでそこにあるリンクをむやみにクリックしないようにしましょう。のみです。リンクをクリックするときは、そのリンク先がどこか、何をしようとしているのかチェックしてみるという注意が、一般的にも、必要です。
その他の注意事項は一般的な注意としてはまだ有効ですが、Doblogのセキュリティホールが塞がれたことにより、改修以前のようなラフな運用をしても安全になっています。
非公開にしていた記事、「事例研究:頭隠して尻隠さず」を公開にした。
[ 10:59 ]
[ ブログの話題 ]
;)
2006/07/26のBlog
[ 00:20 ]
[ ブログの話題 ]
日曜に新たなバグレポートを何通か編集部に送ったのだが、火曜朝のタイムスタンプで返事が来ていた。
ご指摘いただいておりますバグについて改修が完了いたしましたので、ご連絡いたします。という内容だった。
あれ?確かにすぐ直せるバグもあるのだが、システム的な問題でそう簡単に、2~3日では直せないものもある。
ホントにこんな早く直したんだろうか。直したとしたらたいしたもんだ、と思って調べてみた。
簡単な問題も含めて、「改修が完了しました」というすべての問題が、ぜんぜん直っていなかった。
バグの内容を勘違いしたのか、よくメールを読んでいないのか、返信にコピペする文章を間違えたのか知らないが、直っているかどうかを調べるだけでもそれなりの時間が必要だ。レポートを放置されるよりはましだが、こういうのは勘弁してほしい。
ご指摘いただいておりますバグについて改修が完了いたしましたので、ご連絡いたします。という内容だった。
あれ?確かにすぐ直せるバグもあるのだが、システム的な問題でそう簡単に、2~3日では直せないものもある。
ホントにこんな早く直したんだろうか。直したとしたらたいしたもんだ、と思って調べてみた。
簡単な問題も含めて、「改修が完了しました」というすべての問題が、ぜんぜん直っていなかった。
バグの内容を勘違いしたのか、よくメールを読んでいないのか、返信にコピペする文章を間違えたのか知らないが、直っているかどうかを調べるだけでもそれなりの時間が必要だ。レポートを放置されるよりはましだが、こういうのは勘弁してほしい。
2006/07/24のBlog
[ 18:57 ]
[ ブログの話題 ]
Doblogバージョンアップ後のバグ、特に安全、安心にかかわることについて、編集部側の対応が遅々として進まず、また指摘する側も細切れの情報しか出していないため、情報が漠然として、かえって不安が増している様子もあるようです。
不安を解消するには、具体的にどんな問題があるのか、100%情報を明らかにできればいいのですが、そうもいきません。修正前に問題を具体化すると、特に影響の大きいものについては、悪用される恐れもあるためです。
そこで、どんな問題があるのかは省き、Doblogを安全、安心して使うために、当面これだけは注意して使いましょうということを、現在私が知っている情報をもとに書いておきます。
Doblogに預けてある個人に関する情報(メールアドレス、性別、誕生日、住居地域など)が漏れたり、自分の記事やコメントが勝手に変更、削除されるなど、あるいは、アカウントそのものを他人に奪われてDoblogにログインできなくなるなど、どんなことが起きても許せる方には、以下の注意は関係ありません。また、「世の中、そんな悪い人はいないよ」と人に全幅の信頼を寄せることができる方も関係ありません。ど~んと構えて今まで通り使えばいいでしょう。
----------------------------------------------
以下は、そうでは無い方へのDoblogを安全、安心して使うための当面のアドバイスです。この情報は、現時点で私が知っている情報に基づいて書いています。私の知らない問題もあると思います。当然そういう未知の問題に対する影響は考慮していません。
また、以下の注意は、Doblogにアカウントを持っていない方には関係ありません。
(1)Doblogに最初のアクセスをするときは、自分のブログページ、あるいはポータルに直接アクセスしましょう。
直接アクセスとは、ブラウザのアドレスバーにURLを直接打ち込むか、あるいは、自分で間違いなく設定した「お気に入り」からアクセスすることを指します。
Doblogへの最初のアクセスが、どっかのページに張ってあるリンクや、誰かからもらったメールにあるリンクをクリックしてアクセスしないようにしましょう。また、自分のブログやポータルページ以外の信頼できない他人のブログのページに最初のアクセスをしないようにしましょう。
上の注意は、罠(わな)のリンクなどに引っかからないための注意です。自分のブログとポータルページは信頼できる、ということを前提にしています。
(2)ページが表示されたら、ブラウザのリロードボタンを押して、表示内容を更新します。これで、URLにくっついていたセッションIDが消えますので、リファラからIDが漏れる恐れが無くなります。
(3)Doblogへのログインは、必要最小限にとどめます。記事やコメント、TBを書いたり、修正したり、あるいはMyDoblogの設定を変更したりする以外は、ログインしないようにし、用事が済めばさっさとログアウトします。
これは、ログイン中に情報が漏れないようにするための対策です。ログアウトしていれば情報が漏れたり、アカウントを悪用される恐れはありません。Doblogは、ブラウザが開いている間、同じセッションIDを使い回しますので、ログアウトする毎に、毎回ブラウザを閉じて再起動すれば、さらに完璧です。
(4)ログインは、自分のブログかポータルから行います。信頼できない他人のブログからはログインしないようにしましょう。(Doblogツールバーは使ったことがありませんので、安全性は確認していません。安全とも危険とも言えませんので、考慮の対象から外します。)
他人のブログに足跡を残したり、「MyBlog」という署名つきのコメントを残したい場合は、自分のブログまたはポータルからログインし、そのページに移動します。信頼できないブログのページからログインしてはいけません。用事が終わればさっさとログアウトします。ログアウトも自分のブログかポータルから行います。
(5)ログインしたまま、うろうろしないようにしましょう。ログインしたまま、信頼できない他人のブログを訪問したり、そこにあるリンクをむやみにクリックしないようにしましょう。罠(わな)のリンクが仕掛けてある可能性があります。罠は、リンクだけとは限りません。ブログにアクセスするだけで罠にはめられることもあります。ログアウトしていれば、うろうろしても関係ありません。
以上の注意をしていれば大丈夫ですが、もし、運悪く罠にはまった場合は、あきらめも肝心です。たかがブログです。他人の手に渡ったり壊されても、財産や命を奪われるようなことはありません。またアカウントを取って再開すれば済むことです。
不安を解消するには、具体的にどんな問題があるのか、100%情報を明らかにできればいいのですが、そうもいきません。修正前に問題を具体化すると、特に影響の大きいものについては、悪用される恐れもあるためです。
そこで、どんな問題があるのかは省き、Doblogを安全、安心して使うために、当面これだけは注意して使いましょうということを、現在私が知っている情報をもとに書いておきます。
Doblogに預けてある個人に関する情報(メールアドレス、性別、誕生日、住居地域など)が漏れたり、自分の記事やコメントが勝手に変更、削除されるなど、あるいは、アカウントそのものを他人に奪われてDoblogにログインできなくなるなど、どんなことが起きても許せる方には、以下の注意は関係ありません。また、「世の中、そんな悪い人はいないよ」と人に全幅の信頼を寄せることができる方も関係ありません。ど~んと構えて今まで通り使えばいいでしょう。
----------------------------------------------
以下は、そうでは無い方へのDoblogを安全、安心して使うための当面のアドバイスです。この情報は、現時点で私が知っている情報に基づいて書いています。私の知らない問題もあると思います。当然そういう未知の問題に対する影響は考慮していません。
また、以下の注意は、Doblogにアカウントを持っていない方には関係ありません。
(1)Doblogに最初のアクセスをするときは、自分のブログページ、あるいはポータルに直接アクセスしましょう。
直接アクセスとは、ブラウザのアドレスバーにURLを直接打ち込むか、あるいは、自分で間違いなく設定した「お気に入り」からアクセスすることを指します。
Doblogへの最初のアクセスが、どっかのページに張ってあるリンクや、誰かからもらったメールにあるリンクをクリックしてアクセスしないようにしましょう。また、自分のブログやポータルページ以外の信頼できない他人のブログのページに最初のアクセスをしないようにしましょう。
上の注意は、罠(わな)のリンクなどに引っかからないための注意です。自分のブログとポータルページは信頼できる、ということを前提にしています。
(2)ページが表示されたら、ブラウザのリロードボタンを押して、表示内容を更新します。これで、URLにくっついていたセッションIDが消えますので、リファラからIDが漏れる恐れが無くなります。
(3)Doblogへのログインは、必要最小限にとどめます。記事やコメント、TBを書いたり、修正したり、あるいはMyDoblogの設定を変更したりする以外は、ログインしないようにし、用事が済めばさっさとログアウトします。
これは、ログイン中に情報が漏れないようにするための対策です。ログアウトしていれば情報が漏れたり、アカウントを悪用される恐れはありません。Doblogは、ブラウザが開いている間、同じセッションIDを使い回しますので、ログアウトする毎に、毎回ブラウザを閉じて再起動すれば、さらに完璧です。
(4)ログインは、自分のブログかポータルから行います。信頼できない他人のブログからはログインしないようにしましょう。(Doblogツールバーは使ったことがありませんので、安全性は確認していません。安全とも危険とも言えませんので、考慮の対象から外します。)
他人のブログに足跡を残したり、「MyBlog」という署名つきのコメントを残したい場合は、自分のブログまたはポータルからログインし、そのページに移動します。信頼できないブログのページからログインしてはいけません。用事が終わればさっさとログアウトします。ログアウトも自分のブログかポータルから行います。
(5)ログインしたまま、うろうろしないようにしましょう。ログインしたまま、信頼できない他人のブログを訪問したり、そこにあるリンクをむやみにクリックしないようにしましょう。罠(わな)のリンクが仕掛けてある可能性があります。罠は、リンクだけとは限りません。ブログにアクセスするだけで罠にはめられることもあります。ログアウトしていれば、うろうろしても関係ありません。
以上の注意をしていれば大丈夫ですが、もし、運悪く罠にはまった場合は、あきらめも肝心です。たかがブログです。他人の手に渡ったり壊されても、財産や命を奪われるようなことはありません。またアカウントを取って再開すれば済むことです。
2006/07/21のBlog
[ 15:16 ]
[ ブログの話題 ]
;)
6月16日のDoblogバージョンアップ以来存在したDoblogの危険なバグ(中程度)が3つ、黙って修正されたことを確認しました。
<その1>
コメント削除問題
Doblogは、この間、誰の記事であっても、その記事についているコメントを、ログインユーザでなくても、誰でも自由に削除できるという状態でした。7月21日15時、この問題が修正されていることを確認しました。削除する権限がないコメントを削除しようとすると、写真のようなエラーメッセージが出ます。現在は、他人によってコメントが勝手に削除されてしまうことはありません。
<その2>
トラックバック削除問題
同様に、トラックバックも、誰でも自由に削除できるという状態でした。この問題も修正されていることを確認しました。現在は、他人によってトラックバックが勝手に削除されてしまうことはありません。
<その3>
下書き記事のコメント閲覧問題
Doblogは、この間、下書きにした記事についているコメントを、誰でも自由に読める状態でした。この問題も修正されていることを確認しました。現在は、下書き記事のコメントを他人が読むことはできません。
ただし、次の問題は修正されていません。修正されていませんが、危険度がより小さいと思いますので問題を公開します。下書き機能を主に使用している場合は注意したほうがいいと思います。
下書きにした記事についている、画像を見ることができる。
下書きにした記事についている、サムネイル画像を見ることができる。
<その他>
その他の把握している問題については、現時点でまだ修正を確認していません。
まだ危険度(高)の問題がいくつか残っています。
コメント削除問題
Doblogは、この間、誰の記事であっても、その記事についているコメントを、ログインユーザでなくても、誰でも自由に削除できるという状態でした。7月21日15時、この問題が修正されていることを確認しました。削除する権限がないコメントを削除しようとすると、写真のようなエラーメッセージが出ます。現在は、他人によってコメントが勝手に削除されてしまうことはありません。
<その2>
トラックバック削除問題
同様に、トラックバックも、誰でも自由に削除できるという状態でした。この問題も修正されていることを確認しました。現在は、他人によってトラックバックが勝手に削除されてしまうことはありません。
<その3>
下書き記事のコメント閲覧問題
Doblogは、この間、下書きにした記事についているコメントを、誰でも自由に読める状態でした。この問題も修正されていることを確認しました。現在は、下書き記事のコメントを他人が読むことはできません。
ただし、次の問題は修正されていません。修正されていませんが、危険度がより小さいと思いますので問題を公開します。下書き機能を主に使用している場合は注意したほうがいいと思います。
下書きにした記事についている、画像を見ることができる。
下書きにした記事についている、サムネイル画像を見ることができる。
<その他>
その他の把握している問題については、現時点でまだ修正を確認していません。
まだ危険度(高)の問題がいくつか残っています。
2006/07/16のBlog
[ 00:55 ]
[ ブログの話題 ]
;)
「セッション情報がだだ漏れなのです」という記事を書いて、スタッフブログにTBしたのが、6月22日。記事は、理由があって非公開にしたが、スタッフには読んでもらったと思っている。そして、7月12日には、CAMUSさんが、「ブラウザ起動後、はじめてDoblogにアクセスしたときにjsessionidが丸見えな件 」という記事をスタッフブログにTBされている。これもスタッフは読んでいるはずだ。それでもDoblogには何の動きもない。何故なのかさっぱりわからない。
CAMUSさんが、「どうやらセキュリティについて考えるのが苦手のようですね。」と書いているのが当たっているのかもしれない。
と思いつつ、あまり書きたくなかったが、CAMUSさんも書いていてもうすでに周知のことなので、新たな事実を出しておこうと思う。
写真(ちと細いが、クリックで拡大)は、確認くんで表示させてみた、このブログのリファラ(Referer)だ。リファラを通じて、ブログのセッションIDが漏れていることがわかる。
リファラとは、どのリンクをたどってそのWebサーバーにアクセスしているかを知らせる仕組みである。WEBサーバーは、このリファラでリンク元を知ることができる。この写真の場合だと、「確認くん」というWEBサーバーでは、
www.doblog.com/weblog/myblog/39230
というところに張ってあるリンクを辿ってアクセスがあったことがわかる。注目は、後ろにくっついている
jsessionid=DCC574D636E63D1242A5501BB3FBA1C4.apw1
というなんやら怪しい記号だ。これがセッションIDといわれるものである。
現在のDoblogでは、ブラウザを立ち上げ、最初にDoblogにアクセスしたとき、weblogというディレクトリを含むURLすべてに、このセッションIDがくっつく。
(以下、セッションIDの役目とそれが外部に漏れたとき何がおきるか等について、続く予定)
「続く予定」と書いてはみたが、やっぱり止め。当面様子をみよう。リークするのは、記事内リンクからだけではない。CSSを通じても漏れることがわかっている。これほど明確にセッションIDが漏れている事実を示してあるのだから、早急に何とかしてくれるだろう。ユーザを危険に陥れるバグは、最優先で直して欲しいものだ。
---------------------------------
「セッション情報がだだ漏れなのです」もこの際、公開にした。
CAMUSさんが、「どうやらセキュリティについて考えるのが苦手のようですね。」と書いているのが当たっているのかもしれない。
と思いつつ、あまり書きたくなかったが、CAMUSさんも書いていてもうすでに周知のことなので、新たな事実を出しておこうと思う。
写真(ちと細いが、クリックで拡大)は、確認くんで表示させてみた、このブログのリファラ(Referer)だ。リファラを通じて、ブログのセッションIDが漏れていることがわかる。
リファラとは、どのリンクをたどってそのWebサーバーにアクセスしているかを知らせる仕組みである。WEBサーバーは、このリファラでリンク元を知ることができる。この写真の場合だと、「確認くん」というWEBサーバーでは、
www.doblog.com/weblog/myblog/39230
というところに張ってあるリンクを辿ってアクセスがあったことがわかる。注目は、後ろにくっついている
jsessionid=DCC574D636E63D1242A5501BB3FBA1C4.apw1
というなんやら怪しい記号だ。これがセッションIDといわれるものである。
現在のDoblogでは、ブラウザを立ち上げ、最初にDoblogにアクセスしたとき、weblogというディレクトリを含むURLすべてに、このセッションIDがくっつく。
(以下、セッションIDの役目とそれが外部に漏れたとき何がおきるか等について、続く予定)
「続く予定」と書いてはみたが、やっぱり止め。当面様子をみよう。リークするのは、記事内リンクからだけではない。CSSを通じても漏れることがわかっている。これほど明確にセッションIDが漏れている事実を示してあるのだから、早急に何とかしてくれるだろう。ユーザを危険に陥れるバグは、最優先で直して欲しいものだ。
---------------------------------
「セッション情報がだだ漏れなのです」もこの際、公開にした。
2006/07/15のBlog
[ 00:02 ]
[ ブログの話題 ]
結局、今週も動きはなかった。コン競べですかい?毎日チェックするのもいいかげん飽きてきた。どうにでもなれ!ってなもんで、お手上げ、降参です。ハイ。明日から3連休。
2006/07/11のBlog
[ 22:29 ]
[ ブログの話題 ]
。。。。というレポートをここに書いたが、再度テストしてみると、まだ直っていなかった。
テスト方法を間違えたのか、システムが不安定だったのかよくわからない。たぶん、一度にたくさんのテストをしたので、間違えたのだと思う(あわてものめ)
記事の公開は、10分~20分程度だったが、その間、ここに書いていた記事を見た方、忘れてください。
「あなたは、ここで読んだ記事、何も覚えていな~い。忘れた~忘れた~忘れた~」
テスト方法を間違えたのか、システムが不安定だったのかよくわからない。たぶん、一度にたくさんのテストをしたので、間違えたのだと思う(あわてものめ)
記事の公開は、10分~20分程度だったが、その間、ここに書いていた記事を見た方、忘れてください。
「あなたは、ここで読んだ記事、何も覚えていな~い。忘れた~忘れた~忘れた~」