  |
はてなキーワード: 漏洩とは
http://d.hatena.ne.jp/RoppongiExpress/20080826
仕事はレース活動を優先できるように授業数を減らしてもらって、週20時間の練習とレースに集中できるようにしてもらっている、と。
RoppongiExpressRoppongiExpress 2008/08/27 22:51 プロもしくは”プロみたいな選手”がホビーレースに参加する事自体が”問題”かどうかは分かりません。ホビーレースの定義もプロの定義(登録上ではありますが)も曖昧だし、レースエントリーに際し規制はありませんから。意識とモラルの問題でしょうかね。
アンカーやニッポの選手がホビーレースにエントリーして根こそぎ優勝をかっさらうことも可能であり、そうすれば大勢の目にチームが露出する事になりますが、そうすることによる一般サイクリスト達に好印象を与える(正の)宣伝効果があるとは思えません。だから当然そういう事はしないし、市民レーサーに走りを披露するにしても必ずオープン参加をしています。
私はTeam Fujiが勘違いをしてしまっていると考えています。プロ・コンチネンタル登録を目指している(既にしている?)チームのプロ登録をしている(らしい)選手が市民レースでブッチギリ優勝したのを大々的に宣伝に使用しているのは、私としては首を傾げたくなります。
今回のTeam Fujiの活躍(乗鞍はどうなるか分かりませんが)によりどのくらい日本のサイクリストに好印象を与え、Fuji Cycleの自転車が売れるようになるのか、見ものですね。
私に関しても、プロフィールに「おやっ?」と感じる人がいて、機材供給を受けているからホビーじゃなくて実業団に出ろ、と思っている人が少なからずいるのは承知しているので、この手の話は微妙でちょっと考えさせられます。
ただ私は、過去オリンピックにも出場した藤田選手が乗鞍の勝利に挑戦しているのを見て違和感を覚えないし、そんな藤田選手だって過去の戦績があるからと言って市民レースで圧勝できるわけでもないので、今の活動が間違っているとは思いません。引き続きのりくらおきなわのりくらおきなわ、と呪文のように唱えて練習しようと思います。
まあ、どのくらいの数の脆弱性オタがそういう彼女をゲットできるかは別にして、
「オタではまったくないんだが、しかし自分のオタ趣味を肯定的に黙認してくれて、
その上で全く知らない脆弱性の世界とはなんなのか、ちょっとだけ好奇心持ってる」
ような、ヲタの都合のいい妄想の中に出てきそうな彼女に、Webアプリ脆弱性のことを紹介するために
(要は「脱オタクファッションガイド」の正反対版だな。彼女に脆弱性を布教するのではなく
相互のコミュニケーションの入口として)
あくまで「入口」なので、時間的に過大な負担を伴うような図解などは避けたい。
できれば、秋葉原とか筑波とかから突っ込みがはいるような微妙な奴も避けたいのだけれど、つい選んでしまうかもしれない。
あと、いくら脆弱性的に基礎といっても古びを感じすぎるものは避けたい。
プログラム言語オタがCOBOLは外せないと言っても(いましたね)、それはちょっとさすがになあ、と思う。
そういう感じ。
彼女の設定は
セキュリティは専門でもなんでもないが、クロスサイトなんちゃらとか、SQLなんとかくらいは聞いたことがある。
サブカル度も低いが、頭はけっこう良い
という条件で。
まあ、なんで一番がSQLインジェクションじゃないんだよとも思うけれど、たいていのWebアプリに必ずあるという普遍性(日本語変か?)とか、文字コードネタのバリエーションとか、DOMが絡んでわくわくするとか、Same Origin Polic何じゃそりゃという点では外せないんだよなあ。長さも3文字だし。
ただ、ここでオタトーク全開にしてしまうと、彼女との関係が崩れるかも。
この情報過多な脆弱性について、どれだけさらりと、嫌味にならず濃すぎず、それでいて必要最小限の情報を彼女に
伝えられるかということは、オタ側の「真のコミュニケーション能力」の試験としてはいいタスクだろうと思う。
アレって典型的な「オタクが考える一般人に受け入れられそうな脆弱性(そうオタクが思い込んでいるだけ。実際は全然受け入れられない)」そのもの
という意見には半分賛成・半分反対なのだけれど、それを彼女にぶつけて確かめてみるには
一番よさそうな素材なんじゃないのかな。
「Webアプリの専門家からいえば、この二つはアプリネタじゃないと思うんだけど、率直に言ってどう?」って。
侵入先のファイルが見えてしまうというハッカー的なものへの憧憬と、これによる逮捕者がいるという法的な考証へのこだわりを
彼女に紹介するという意味ではいいなと思うのと、それに加えていかにもマニアックな
「よく眼にするけどあまり実害の思いつかない」/etc/passwd
「滅多に見られないけど、見つけたらゾクゾクする」/etc/shadow
の2ファイルをはじめてとして、オタ好きのするファイルを世界に公開(流出?うわ、日本語間違いが怖い)しているのが、紹介してみたい理由。
たぶん秋のDK収穫祭を見た彼女は「これCSRFだよね」と言ってくれるかもしれないが、そこが狙いといえば狙い。
そして、われらがアイドルはまちちゃんの紹介のおかげで、この脆弱性が日本で大人気になったこと、
「やっぱりWebアプリの脆弱性は個人情報DBなんかがあるサイトのものだよね」という話になったときに、そこで選ぶのは「SSIインジェクション」
でもいいのだけれど、そこでこっちを選んだのは、この脆弱性がふつーのホームページなどでも本当によく見つかるくせに、意外に問題視されていないレアっぽさが好きだから。
断腸の思いでJavaMailのAPIがTo欄やFrom欄に改行チェックいれているのに、なぜかSubject欄だけチェックがされてなくて脆弱性の原因になるかもって中途半端さが、どうしても俺の心をつかんでしまうのは、
その「チェックする」ということへの躊躇がいかにもオタ的だなあと思えてしまうから。
ほかのメールAPIでもチェックが不十分なものはあるし、そもそもsendmail呼び出すときはチェックはアプリ側でやるしかないとは思うけれど、一方でこれが
Microsoftだったら意外にきっちりセキュアに仕上げてしまうだろうとも思う。
なのに、安全なAPIを使わずに(知らずに?)脆弱性を混入してしまうというあたり、どうしても
「自分の過去から知っている書き方でないと書けないプログラマ」としては、たとえ脆弱性混入した奴がそういうキャラでなかったとしても、
親近感を禁じ得ない。脆弱性の高危険度と合わせて、そんなことを彼女に話してみたい。
今の若年層でディレクトリリスティングによる個人情報漏洩事件をリアルタイムで見聞きしている人はそんなにいないと思うのだけれど、だから紹介してみたい。
SQLインジェクションよりも前の段階で、個人情報の漏洩規模とかはこの脆弱性で頂点に達していたとも言えて、
こういう危険の高さが経産省あたりの個人情報保護ガイドラインにのっていたり、というのは、
別に俺自身がなんらそこに貢献してなくとも、なんとなく脆弱性好きとしては不思議に誇らしいし、
いわゆるインジェクション系でしか脆弱性を知らない彼女には見せてあげたいなと思う。
UNIXシェルの「セミコロン」あるいは「バッククォート」をオタとして教えたい、というお節介焼きから見せる、ということではなくて。
「ホワイトリストで対策すると安全なんだけど敢えてエスケープを究めたいマニア」的な感覚がオタには共通してあるのかなということを感じていて、
だからこそ佐名木版『セキュアWebプログラミングTips集』は20ページ以上もかけてOSコマンドインジェクション対策の説明しているのは、エスケープ手法以外ではあり得なかったとも思う。
「侵入先のコンピュータでコードが動いてこそなんぼ」というクラッカーの感覚が今日さらに強まっているとするなら、その「クラッカーの気分」の
源はOSコマンドインジェクションにあったんじゃないか、という、そんな理屈はかけらも口にせずに、
単純に楽しんでもらえるかどうかを見てみたい。
これは地雷だよなあ。昔だったら筑波方面、今だったら秋葉原方面から火のような「hiddenは危険脳」ブクマがつくか否か、そこのスリルを味わってみたいなあ。
こういう昔のIPA風味の解説をこういうかたちでブログ化して、それが非オタに受け入れられるか
突っ込みを誘発するか、というのを見てみたい。
9本まではあっさり決まったんだけど10本目は空白でもいいかな、などと思いつつ、便宜的にSQLインジェクションを選んだ。
XSSから始まってSQLインジェクションで終わるのもそれなりに収まりはいいだろうし、カカクコム以降のWebアプリ脆弱性時代の原動力と
なった脆弱性でもあるし、紹介する価値はあるのだろうけど、もっと他にいい脆弱性パターンがありそうな気もする。
というわけで、俺のこういう意図にそって、もっといい10パターン目はこんなのどうよ、というのがあったら
教えてください。
「駄目だこの増田は。俺がちゃんとしたリストを作ってやる」というのは大歓迎。
Inspired by アニオタが非オタの彼女にアニメ世界を軽く紹介するための10本
あ、個人情報の漏洩とかの発想は自分の中には全然なかった。
「誰」が「何」を買ったか分からないシステムのオークションって見たことなかったからな…。
個人的には先に入札している人間が「今までに同じような商品を落札したことがあるか」とか「過去にどの程度で落札したか」とかはかなり重要な情報だったんだよな…正直言って同じカテゴリーのもので同じ金額とかで入札する人って結構いるから、ある程度「抜ける/抜けない」の判断の参考になっていたわけで。
これって良くないことかも知れないけどさ、「あ、この人が入札してる。ってことは金額は3009円が一番考えられて、そうじゃなくても1000ぐらいで来てるだろうな」みたいなこと考えながら入札してた、自分は。そうでもしないと複数のものを狙ってるときとかは配分とか組み立てにくいし。大体狭いところだとそういう傾向が掴めてくるんだよね。流石にギリギリまで値段を上げて、抜きはしない、なんてことはしなかったけど(逆にされたことはある)。
こういう推測をたてながら入札するのって、今でもまったく不可能って訳じゃないけど、やっぱりやりにくくはなったな、と思う。相手がはっきりとはわからない訳だし。
しかし高額で落札→だんまりで悪いの評価を受けてるやつと競っているんじゃないかと思いながら入札するのはやっぱりつらい。評価の数字は見えてるけどさ、知りたいのはそんな「≒今までに取引した件数」みたいな情報じゃないんだ。先に入札している奴の評価が100だろうが10だろうが正直どうでも良いし。
広告メールのくだりにかんしては他の人が書いてたけど詐欺云々が既に横行してたみたいだね。これがID伏せるようになった決め手みたいだ。
今は出品してないからわからないけど、出品者にも名前がわからないのかな。
つうか前から思ってたんだが、ヤフオクで落札した商品名がわかるのって、個人情報の漏洩じゃないの?
普通、自分が買った商品の履歴が誰にでも見られるって、あり得なくない?
しかもヤフーが「××××」だったら、××××@yahoo.co.jpでメールが届くわけだから、
購入履歴から好きそうな商品の傾向を掴んで、広告メールを打つことも簡単にできるわけで。
規約でオープンにしてもいい、ってことになってるのかもしれないけど、おかしくねぇか?
せめて商品名出す・出さないを選べるようにするべきだろ。
つい最近、社内の重要なシステムに「'」を入れると、SQLサーバから「シンタックスエラー」とか言われる欠陥を発見してしまった。
っていうかこれってSQLインジェクションなんじゃ…orz
あの部分には「'」を入れることは滅多にないから気付きにくい。
そしてこのシステム、恐らくは完全にイントラ用。
社内にはクラッキングできる奴もいなそう。
仮にいたとしても、盗んだ情報を非常に持ち出しにくい(怪しい操作をする人間を特定しやすい)運用をしている。
けどこれってどうなんだ。
日頃から「情報漏洩しないようにがんばろー><」と派遣バイト・派遣社員・正社員含めてそこに勤務してるみんなが頑張ってる。
けど、これを無茶して(もしくは脅迫などして無茶させて)悪用する奴が現れたら一巻の終わりだよ。
※ちなみに最低でも毎日300人はそのシステムを操作しているし、その問題となる部分は権限上1000人以上の人間が操作可能と思われる。
一応、直属の上司に「これ、ヤバイエラーかもしれないんで、開発元に報告しておいてください」と報告しておいた。
時間があったので電話でちろりと問い合わせてみた。
派遣だかアルバイトだかの女の子を問い詰めても可哀相だなと思うので、
電話番号が漏れたみたいだが、どうせネットショップに出してる名前と電話だから仕方ないや。
(セールスの電話が掛かってくるのはこういう所から纏めて漏れてるのかな??)
担当者が変わった。
この度、当社の広告主のご担当者様情報を含む業務関連情報が、ファイル
交換ソフト「Winny」を通じてインターネット上に流出したことが確認されました
ので、以下の通りご報告申し上げます。
その前にこのwinnyで流出したという表現が疑問だったので、
ウイルスに感染したというのでなければ意図的にもらしたということになる。
そういうことですか?と聞いた。
そしたら的外れな答えが返ってきたのだが、その答えが驚くべき回答だった。
派遣がフリーメールのアドレスに自宅にデータを添付送信してwinnyで漏れたということ。
いやいやいやいや、ちょっとまて。
それはwinnyでなくてもフリーメールで送ってる時点でデータ漏れしてるだろ。
やっぱりどんな形式で漏れたのか気になる。
おまけ
平素はXXXXXXXをご利用いただき、誠にありがとうございます。 この度、当社の広告主のご担当者様情報を含む業務関連情報が、ファイル 交換ソフト「Winny」を通じてインターネット上に流出したことが確認されました ので、以下の通りご報告申し上げます。 このような事態が発生し、広告主の皆様に多大なるご迷惑とご心配をおかけ しておりますことを深くお詫び申し上げます。 1.流出した情報 広告主ご担当者様情報を含む業務関連情報が流出いたしました。 ご担当者様情報は、弊社の管理画面をお使いいただく際にご登録いただい ているご担当者様の氏名、Email、会社名、会社住所、電話番号等です。 ご登録いただいたパスワードおよびクレジットカード番号、銀行口座など一般 の方が入手して悪用できるような情報は含まれておりません。 なお、情報の流出が確認されたお客様のアカウントは以下となります。 XXXXXXXXXXXXXXX 2. 経緯 当社に2007年8月まで勤務しておりました元派遣社員が、自宅で作業をする ために広告主ご担当者様情報を含む業務関連ファイルを無断で自宅の個人 所有PCに保存しており、この情報がファイル交換ソフト「Winny」のネットワーク 上に流出いたしました。 3. 再発防止策 弊社は、これまでも、お客様の情報の保護を図るため、社内規程の制定をは じめとする安全管理体制の整備、アクセス制限やデータの保管ルールの徹底 等によるセキュリティの強化、従業員に対する継続的な教育研修、といった 種々の安全管理措置を講じて参りました。しかし、今回このような事態が発生 したことを厳粛に受け止め、従業員教育をこれまで以上に徹底し、退職や契約 終了時の情報漏洩対策を含む情報セキュリティ管理体制を一層強化すること により再発の防止に努め、お客様からの信頼の回復に全力を尽くして参ります。 4. 本件に関するお問い合せ このメールの返信にてお問い合わせいただきました場合には、ご返答までに かなりのお時間を要する可能性がございます。お問い合わせに関しましては、 下記フリーダイヤルにいただきますようお願い申し上げます。 フリーダイヤル: 0120-XXXXXXXX 受付時間: 9:00??18:00(土日祝日は除く) なお弊社では、情報流出が判明した場合、原則速やかに公表する方針として おります。しかし「Winny」を介しての情報流出の場合は、IPA(独立行政法人 情報処理推進機構)の指針を参考とし、公表を控えるという方針をとっておりま す。これは「Winny」の特性上、公表することによりお客様の情報が伝播する可 能制が高まり、更なるご迷惑をおかけする可能性も高まるからです。 今回の件は、この方針に基づき公表を控え、お客様に個別にご連絡を差し上げ ております。 この度は、広告主の皆様の情報が流出する事態となり、ご心配とご迷惑をお かけしておりますことを重ねて深くお詫び申し上げます。
縁がないということは、その人に対して責任がないということだ。それは相手にとっても同じこと。無責任な相手に情報を漏らすとどうなるかは、火を見るより明らか。どんな善良な人間だって、たまたま虫の居所が悪いときなんてあるもの。自分に火の粉のかからない情報漏洩なんて、ちょっとしたストレス解消にはもってこいですよ?
だから「闇サイトで知り合った3人組が強盗殺人」の事件は理解しがたいんだよね。
お互い名前も明かさない同士で悪いことをするなんで、そんなリスクの高いことをよくやる気になったもんだ。
知らない同士だから、誰かがビビッて警察にタレ込む可能性の検証もできない。
「裏切ったらひどいぞ」みたいに言っていたとしても、それを担保するものがなにもない。
携帯電話しか連絡を取る方法がなかったっぽいから、簡単にトンズラできちゃう。
首尾よく金を手に入れてから裏切られる可能性だってある。
まったく浅はかな連中だよ。
あはは、一見おもしろそうだけど、それはムリ。
何故ムリかというと、知り合いの知り合いの…で辿ってゆけば、世界中の任意の人が7人目まででつながるからだよ。
縁遠いといってもそこは極端に浅い。
しかも!
知り合って会話した瞬間、自動的に1人目でつながることになる。
加えて!
1人の人物が持つ属性は大抵3つ以上。あるコミュニティではばれてもいい内容が、他のコミュニティでは死ぬほどまずいということなんてざら。新たなコミュニティを作るということは、思わぬ情報の抜け道・架け橋を造る可能性を増やすということに他ならない。
さらに言えば!
縁がないということは、その人に対して責任がないということだ。それは相手にとっても同じこと。無責任な相手に情報を漏らすとどうなるかは、火を見るより明らか。どんな善良な人間だって、たまたま虫の居所が悪いときなんてあるもの。自分に火の粉のかからない情報漏洩なんて、ちょっとしたストレス解消にはもってこいですよ?
それでもまだやりたい?
【社会】“考査委員を務める” 新司法試験で慶大法科大学院教授に問題漏洩疑惑
725 :名無しさん@八周年:2007/06/25(月) 00:26:12 ID:ZP5KzVYm0
慶應ロー目指します
試験前に、予め、類似問題を教えてくれるんですよね!
他大学にはこんな力ない。要領悪くまじめに勉強して試験落ちてください
慶應命より
742 :名無しさん@八周年:2007/06/25(月) 02:17:52 ID:qugxSNR40
頭の悪い奴は一人で苦労してお勉強
世の中、万事がそういうもんだよね。
【社会】 "カネ・コネがない人は減点" 合格のはずの10人、不合格にされる…大分・教員採用汚職★8
