カテゴリー「パソコン・インターネット」の22件の記事

2012年11月 7日 (水)

つぶやきやSNSへの書き込みで電話番号が漏れる?!

昨日始まったドラマの第1話で、
twitterのようなつぶやきや、SNS、掲示板などにハンドルネームを使って
匿名のつもりで書き込んでいたにもかかわらず、
別のハンドルネームの人に個人情報をつかまれ、その人から電話がかかって
くるという場面がありました。

たぶん、今後の展開とは直接関係なさそうな気はしますが…

こんなこと、有り得るんでしょうか?

そのカラクリは・・・

同じハンドルネームで複数のSNS等に書き込みを行っていた。
ハンドルネームを検索キーワードにして検索すると、
ごく断片でも、複数のアカウントにまたがって見ていくと、
行動範囲や趣味などがだんだん特定されていく。

また、ハンドルネームの付け方が、本名からの類推であったことも
災いして、ついに本名が割り出された。
あるSNSに本名が書かれていることが見つかってしまう。

そうすると、次には本名で検索されて、さらに詳細・具体的な
情報がもたらされていく。

そして、ある日の行動履歴が推測できるレベルまで情報が集まると、
知人などを装って、行動先から電話番号を聞き出すことができてしまう。

…これは結構現実に可能な気がしたので、なんらかの参考に書き留めて
おくことにしました。気をつけましょうね…。

最後の電話番号を聞き出す部分などは、正式な用語は忘れましたが
(ソーシャルエンジニアリングでしたっけ)実際のところ、セキュリティの
一番甘いところになる可能性が十分にあるところです。

| | コメント (0) | トラックバック (0)

2011年6月 5日 (日)

ファイルを削除するスクリプトを書くときの注意

もう10年くらい前の失敗談ですが、ふと思い出したので書いておきます。

クライアントマシン上のテンポラリファイルか何かの削除を自動化しようとして、ファイルを削除するスクリプト(Windowsバッチファイル)を書いたのですが、そのときロジックを、カレントディレクトリを当該の場所に移動してから、そのディレクトリ内の(というかディレクトリ無指定で)ファイルを削除する、というふうに書きました。

実行すると、カレントディレクトリの移動に失敗して、C:\Windowsディレクトリの中のファイルを削除してしまいました(^o^;。

Windowsが起動している間に、データファイルのバックアップをとりました。
マシンを再起動すると案の定、動かなくなりました。
一応Windowsを再セットアップして復旧できましたが、半日くらいつぶれました。

フェールセーフとか偉そうなことを言えませんが、このコマンドが動かなかったときに次のコマンドがどう動くかを想定して書くことが重要だということを学んだのでした。

これくらいならしょうもない笑い話なのですが、こういったコマンドレベルでの詳細検討は、たとえばクラスタ環境での常駐プログラム・サービス等を終了させるスクリプトなども同様に、動かないことを想定に入れたプログラミングが必要です。

| | コメント (0) | トラックバック (0)

2011年4月16日 (土)

ほしいもの伝言板、書き込みをツイッターにて自動でつぶやくようにしました。

東北地方太平洋沖地震の被災者の方に、いま欲しいもの、不足しているものを自由に書き込んでもらえるサイト「ほしいもの伝言板」ですが、本日から、書き込まれたほしいものを5分おきに自動的にツイッターアカウント hosiimonodengon でつぶやくようにしてみました。
これで参照する方への自動通知の代わりになるかと思います。

サイトはこちら→ http://hosii.sakura.ne.jp/
紹介ページはこちら→ http://homepage2.nifty.com/jr-kun/hosii/

まぁ完全に自己満足の世界ですね…。

ちなみに、さくらインターネットのサーバにCPANでNet::Twitterをインストールするのにえらく手間取りまして。最終的にはこちらのサイトの方法たぶんそのままで、とりあえずつぶやきできるようになりました。とっても助かりました。

| | コメント (1) | トラックバック (0)

2011年3月30日 (水)

ほしいものデータベース、改め、ほしいもの伝言板

東北地方太平洋沖地震の被災者の方に、いま欲しいもの、不足しているものを自由に書き込んでもらえるサイト「ほしいものデータベース」を3月27日に開設しましたが、翌日に名称を「ほしいもの伝言板」に変更いたしました。

紹介ページはこちら→ http://homepage2.nifty.com/jr-kun/hosii/
サイトはこちら→ http://hosii.sakura.ne.jp/

名称の変更が影響しているのかもしれませんが、まだ検索エンジンでうまくヒットせず困っています。

| | コメント (0) | トラックバック (0)

2011年3月27日 (日)

ほしいものデータベース

ほしいものデータベース
http://hosii.sakura.ne.jp/

このサイトは、東北地方太平洋沖地震の被災者の方に、いま欲しいもの、不足しているものを自由に入力していただき、一覧表示できるようにと作ったものです。

避難場所の格差も問題となっていますが、おそらく今後は、必要になる物資の種類や量もさまざまとなり、大量の情報を集約する必要が出てきます。

そこで一つの発想として、被災者の方にはお手数ですが各人から声を上げて(=入力して)もらい、それが自動的に一覧にまとまるデータベースがあると便利だと思って作成しました。

一応、携帯(iモード)でも使えるようにしたつもりです。

入力したデータは完全オープンになるので、個人情報管理上の問題もあり、結局うまく使えないのかもしれませんが、まあ駄目元で作ってみました。

(2011/03/28追記)
サイトの名前を「ほしいもの伝言板」に変更しました。

| | コメント (0) | トラックバック (0)

2010年11月14日 (日)

infoseek.co.jpの一部サイト(iswebライト)が突然終了 - Webサイト情報の寿命は意外と早い

インフォシークを買収した楽天が継続して提供していた、無料のWebサイトサービス「iswebライト」は2010年10月31日でサービス提供を終了した。

該当するのは以下のURLのサイト。

*.hp.infoseek.co.jp
*.at.infoseek.co.jp
*.ld.infoseek.co.jp

どうもサイト管理者への通知方法に問題があったらしく、気づかないうちにサービス終了してコンテンツが消えたという事例も発生したらしい。

自分も、ネット上でお世話になっていた方のサイトが1つ消滅した。幸い、今は引越しを完了している。

ネットの世界は、発信する場としては有用だが、情報を参照したり保存する場所としては、意外と寿命が短いもののようだ。

無料サービスは、どのようにして提供されているのか。学生あたりのボランティア精神とか、「寄付」とか、広告付きのビジネスモデルとか、いろいろあってよく分からないが、いずれにしてもそのエネルギーバランスが崩れると、廃止に追い込まれてしまう。
もっとも、有料だからといって安心というわけでもないが。

本当に必要な情報ならば、やはり(著作権を侵害しない範囲で)自衛するしか無いようだ。

ちなみに、2ちゃんねるより

> Internet Archive(インターネット・アーカイブ)
> http://www.archive.org/
> ここも利用しましょう。http://にアドレスを貼ってTake Me Backをクリックすると見れるかもしれません

ここも完全ではないようで、前述のサイトも、今年も更新があるのになぜか2007年までのものしか保存されていなかった。

…そもそも、このサービスもいつまで続けられるのかわかりませんし。

| | コメント (0) | トラックバック (0)

2010年9月12日 (日)

IT技術者がセキュリティを学ばなければならない理由

●セキュリティとは、提供してよい相手に対して情報を提供し、そうでない相手に対しては遮断すること。原理的には非常に単純であるが、技術的にはまさに矛盾した話であり難しいものである。

●実際にどのようなコードを書くと問題が起きるのか、勉強しておけば1つ1つはさほど難しいことではない。たとえばクラッキングに関する書籍を勉強すると、いかに多くの脆弱性を作りこみうるかということがよく分かる。ただし、どのようなコードにすれば問題が無いと言い切れるかは難しい。更に別の脆弱性が発生するかもしれないからである。逆に言えば、少なくとも、勉強しないで、問題が発生しないコードを書けるということを期待してはいけない。コードチェックツール等は最大限利用すべきであるが、その限界も熟知する必要がある。

●これは言い換えると、SIerは外注時においてセキュリティ要件を事前に具体的に伝えておかなければならない、また納品物を具体的にチェックしなければならないということでもある。

●システム全体を漏れなくバランスよく考慮しなければならない。いくら強力な暗号化方式を採用しても、パスワードが破られると終わりである。システムとインターネットの間のゲートウェイを強固にしたとしても、別の抜け道があればそこから侵入される。PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)はクレジットカードデータを扱う場合の実践例であり、種々のレイヤー・場面で種々の技術を使うことが推奨される、ということを述べているだけで数百ページの書籍になっているわけである。大変だが、1つ1つの技術はさほど難しいことではなく、また少なくともその規格制定時においては「漏れなく」にかなり近い状態であるので、これを漏れなく実践すれば、漏れを可能な限り排除したことについては自信が持てるはずである。

●セキュリティの脅威は日進月歩である。新しい攻撃方法が生まれ、あるいはコンピュータやインターネットの性能の進歩により攻撃可能になることがある。また、新しいソフトウェアには新しい脆弱性が内在している可能性がある。つまり、セキュリティレベルを一定に保ちたいならば、常に情報収集して対策を採り続ける必要がある。

●以上で述べたように、セキュリティレベルを保つためには知識のみならず手間とお金がかかるということ。これを理解しないで価格に文句を言う人間がIT技術者を名乗る者の中にも多すぎる。

| | コメント (0) | トラックバック (0)

2009年11月18日 (水)

Hibernateについて、いい本があったじゃないか!

「Hibernate イン アクション」
Christian Bauer, Gavin King 著

実は以前、Hibernateのキャッシュ機能を使うとサーバの限界までメモリを消費してしまうのではないかという疑問があった。本書によれば(2次)キャッシュはデフォルトでオフであること、使用時にもオブジェクト単位や最新のn個までといった方法で制御できると記載されている。すべての種類のキャッシュプロバイダで設定できるかといった細部は私は確認してませんのであしからず。:-)

また、HibernateはSQLインジェクション攻撃に対応していますか?(愚問) に書いたパラメータのバインドの話や、個人情報保護法に対応するときに必要な、監査ログの記録方法も記載されている。

またHibernateに限らずO/Rマッピングとその周辺の技術について概要を学ぶこともできる良書だと思う。

今は新品が手に入らない状態になっているらしく、それでもアフィリエイトを貼るのはどうかとも思うが、2006年の発売当時は書店に平積みになっていたらしい。それだけ自分の目が節穴だ orz ということであるが、店頭から消えた頃にその情報が必要になるということは結構有るような気もする。

| | コメント (0) | トラックバック (0)

2009年10月 4日 (日)

もし、海外のSaaSやクラウドから個人情報が漏洩したら?(愚問)

2002年発行の「IT法大全」という本の中に、米国企業であるYahooがフランスで訴訟を起こされたことが詳述されています。

フランス国内の法律ではナチスドイツ関連の物品を販売することなどが禁じられていますが、2001年当時Yahooからは購入可能となっていたため、法律に違反するとしてフランスから閲覧・販売をできなくすることを求めて、フランスの裁判所はそれを認めました。
困り果てた(※IT法大全の本の記述による)Yahooは、最終的にはナチスドイツ関連の物品をサイトから削除しましたが、それと並行してアメリカの裁判所に提訴。その結果、アメリカの裁判所は、フランス裁判所の判決内容がアメリカ国内においては効力が無いとの判決を言い渡しました。

このように国境を越える問題は非常に難しい側面がいくつか有るわけですが、そこで以下の疑問を考えてみましょう:

もし、海外にサーバがあるSaaS・クラウド、SalesforceしかりMicrosoftしかり、から個人情報の漏洩事件が発生した場合、刑事責任や賠償を問えるか?

| | コメント (0) | トラックバック (0)

2009年6月10日 (水)

HibernateはSQLインジェクション攻撃に対応していますか?(愚問)

「Hibernate(などのO/Rマッピングツール)はSQLインジェクション攻撃に対応していますか?」

これ自体かなり愚問ではあるのだが・・・

一般にJDBCからアクセスする場合、SQL文の文字列を自前で組み立てるよりも、RDBMSのバインド変数等(RDBMSの種類によって異なる)の機能を使用するようにコーディングすることによって、かなりのSQLインジェクション対策になる(但し100%ではなかったような・・・)。

Hibernateについては、Hibernateクエリ言語(HQL)の文字列中に、パラメータのバインドを記述することができる。
http://www.redhat.com/docs/manuals/jboss/jboss-eap-4.2/ja_JP/html/Hibernate_Reference_Guide/Executing_queries-Bind_parameters.html

(※この記述を行えば必ずRDBMSのバインドが使われるか実際に自分は確認してませんが、一応信用するとして)

逆にいえば、Hibernateにおいては明示的にパラメータのバインドをコードに記述する必要がある、ということだ。この点ではJDBC経由で直接使う場合と手間は変わらないことになる。

Hibernateを直接使う場合はまだいいが、「Hibernateを使う」アプリケーションやライブラリ等がある。
これらがSQLインジェクションにどれくらいの耐性があるかは、「Hibernateのバインド機能」をそのアプリケーションの中で使用しているか、または使用可能かを個々のアプリケーション毎に調査しなければ分からない。

「めんどくせ~」という声が聞こえてきそうだが、めんどくさいこと自体は問題ではない。そのアプリケーションにSQLインジェクション対策を組み込むのにかかる手間がどれだけの量なのか見積もれなかったり、あるいは対策を組み込むことそれ自体が可能かどうか分からないとか、対策できているかどうかチェックする方法が分からないのだとすればそれがリスクなのだ。

→関連記事:Hibernateについて、いい本があったじゃないか!(2009/11/18)

| | コメント (0) | トラックバック (0)