  |
はてなキーワード: エスケープとは
start mailto:****@****.jp?subject=ほげほげ&body=メッセージ&cc=???@???.net
のような書き方でコマンドプロンプトや.NET Framework の Process.Start() その他から呼び出したりすると、うまくメーラーが起動して subject (引数の先頭)は反映されるが、bodyやccは反映されない。& を & と書いてもだめ。
これはコマンドプロンプト上で & (アンパサンド)が特殊文字に解析されるため。
^& と、前に^をつけてエスケープすれば大丈夫。すなわち mailto:****@****.jp?subject=ほげほげ^&body=メッセージ^&cc=???@???.net
新卒で入社したA社は、親会社B社のシステムの内製と、B社の顧客層向けのパッケージソフトウェアを制作販売するソフトウェアハウスだった。
入社1年目の自分は、いくつかの細かい業務を平行して担当することになったが、その中にホームページの管理があった。主な業務は、ページの文章の更新と確認、誤字脱字の修正、古く間違ったHTMLの修正など。
会社のホームページには自社のサービスや製品だけを扱う小さなショッピングシステムがあり、ユーザ登録・ログイン・購入・履歴確認など一通りの機能を持っていた。このシステムを改修したり更新したりする予定はなかったが、せっかく担当となったわけだし、以前から興味のあったWebアプリケーションのセキュリティを勉強しようと、徳丸本を購入した。(当時は紙の本しかなかった)
http://tatsu-zine.com/books/sbcr-taiketekinimanabu
この本は説明不要の名著で、平易な文章で細かく正確な記述がなされている。Webアプリケーション制作に携わる新人プログラマは必読だ。
頭から読み進める。1章に用語の整理があるおかげでだいぶ理解しやすい。2章の実習環境の用意は、都合がつかず読み飛ばした。3章は流し読みし、いよいよ4章。様々な脆弱性を個別にとり挙げ、原因と対策について具体的な説明がされており、非常に興味深い。
なるほど、XSS(クロスサイト・スクリプティング)という言葉は知っていたが、具体的にこういうものなのだな。入力ボックスに入力した内容が遷移後のページに表示されるというUIはよくあるから、気をつけなければ……そういえば、会社のホームページにも検索機能があって、「検索ワード:○○」と表示されるところがあったな。あれもXSS対策がされているはずだ。どれ、見てみよう。テスト用サーバで画面を表示して、<script>alert(1)</script>(本当は半角)と入力……
検索ワード: +----------------+ | | | 1 | | [ OK ] | +----------------+
なるほどこれがXSSか。実習環境の用意はしなかったが、実物を拝むことができたぞ。脆弱性の修正の実習もできるな。
このようにして、徳丸本を読み進め、(テスト用サーバで)攻撃を実践しながら、脆弱性を直していった。覚えている限りでは、以下の実習ができた:
ショッピングシステムの中身が、フレームワークやライブラリなし・SQL発行共通関数なし・オブジェクト指向なし・数万行の巨大ファイル1つであることを知ったのは、脆弱性の修正にとりかかってからだった。その他のシステムもすべてこのショッピングシステムを参考に作られているらしく、プレースホルダもエスケープもない文字列組み立てSQL発行があらゆる場所に散乱していた。とても直し甲斐があるシステムであった。
これらのシステムは、日付zip以上のバージョン管理が行われていなかったため、該当部分を誰が書いたのかはわからなかった。そんな状況であったので、大量に報告された脆弱性の始末書は、すべて現在の担当である自分が書くことになった。
自分が入社するより前からあった、誰が作ったのかもわからない脆弱性を、探し修正し始末書を書いた。「私が担当になる前からあった脆弱性なので、原因はわかりません。おそらく不勉強が原因です。対策は、勉強会とコードレビューとバージョン管理です。」などと書いた。今思えば、"よい始末書"の書き方を勉強する機会を逃していたのかもしれない。
自分の作業はすべてgitで記録していたので、自分が担当になったときにはすでに脆弱性があったと主張したが、「自分だけバージョン管理などという便利なものを使っていてずるい」と怒られて終わった。(なお、それよりも前に社内でのバージョン管理ツールの使用は提言していたし、それが「よくわからないから」と却下されてからは、自分だけで使う許可は得ていた。)この経験から、バージョン管理をしていない、もしくはクソみたいな管理しかしていない組織内で、自分だけでも上手く管理する方法についての知見を得た。
こうして、徳丸本の内容を実践しながら学習できたので、セキュリティ分野についての興味はより高まり、知識も増え、A社に対する信頼はほとんど失われたので、さらに勉強し、3年目に入るころには情報セキュリティスペシャリスト試験に合格し、転職した。
Webサービスのセキュリティを勉強したいと思ったならば、徳丸本を読んで、実践しながら勉強することを強く推奨する。紙の本には実験用環境のCDもついているので、A社でホームページを担当していなくても、実践しながら勉強することが可能だ。(電子版の場合はどうなのだろうか。申し訳ないが各自確認していただきたい。)
前に先輩に迷惑かけてばっかりで死ねばいいのにとか言われて死ぬしかないなって泣き言吐いたらここで病院勧められて受診して目出度くメンヘラの仲間入り
一年半くらい、誰にも言わずに通院投薬してボロボロで仕事してたら、いつの間にか後輩が全員辞めていて問題になったところでようやく人事課が介入して、初めてきちんと残業時間全部申請できたら課内全員が産業医送りになって、結果、自分含めて三割が精神科だの心療内科だの送りになり、少なくとも私は会社公認のメンヘラに。
会社公認後半年で別の部署に異動できて、何とか薬なしでやって来てそろそろ一年
でも、そこも結局スケープゴートがいて成り立ってる平穏があるだけで、スケープゴートがいなくなったら自分が次のターゲットになりそう
なんてことをここ半年くらい考え続けてたら、案の定元スケープゴートはエスケープし、お鉢が私に回ってきたようだ
こいつらのいうことにも一理あると思うこともある、でもいい年の大人がする振る舞いとは到底思えない
原因不明の下痢頭痛発熱嘔吐、きっとびょにかかっても自律神経失調症とか適応障害とかって言われるんだろうな、って症状も出始めた
夢の中に出てきた家族が私を騙そうとしていると思って飛び起きて、上司からの電話で声が詰まって話せないこともある
今は、辞めて逃げるっていう選択も増えてるし、死んで逃げるっていう選択肢の順位は少なくとも1位ではないことは理解してる
その上で、どう動くのかが決められない
このモラハラは誰に訴えればよいのか?訴えていいのか?どう訴えれば聞いてもらえるのか?
このまま続けるのか?それとも一度休むのか?休んだとして復帰できるのか?
HTMLとCSS, JavaScriptはちょっとだけ分かる
dotinstallとか見てブラウザでタイマー作ってわーいって喜んでるくらいのスキル感。
→本を買ってやるのは安上がりだけど途中で挫折しそう
→じゃあお金稼ぎながら学んだらいいんじゃ
バイト始めることになった
バイト始まる
課題を出されて、できたら業務に入れる
誰も教えてくれない
ググってググってググりまくる
ひーひー言いながら2~3週間でなんとか終えた
なんとかなった
このときくらいにパーフェクトPHPを読んだ。FWは、つくれる!
あーようするにURLを受け取って振り分けたり、DBからデータ引っ張ってきて画面に表示させたりするのね
分かった気になる←分かってない
GET/POSTでごにょごにょすればいいんだね楽勝だわ←全然分かってない
FuelPHPを聞きかじって、何をトチ狂ったのか在宅でwebサービスの受託をやる
まあ良い経験になった
フレームワークいくつかやって、web開発のいろんな概念やtipsがたくさん頭に入ってきて、
あーあれかーくらいには思えるようになった
DBのCRUD操作, ORM, DBマイグレーション, RESTfulとは, コマンドラインでコード生成,認証周りのプラクティス ...
さて、バイトが本格的?になってくる
一人で開発 責任おもい
でもなんか躓いた。
書いたコードに自信が持てない
これでいいのか不安になって手が進まない
セキュリティで手直しはたくさんもらった
フレームワークにはDB操作のライブラリがちゃんとついてるのにそれ見ずに自分でSQL組み立てて案の定エスケープしてないし、とか
でも、なんとか完成させた
プッシュして、マージされて、できちんと本番環境で動いてる。やったね。
Rubyを知った
PHPと違って()が殆ど無いし、;ないし、do~endとか何だよって感じだった。
Railsも知った
それからは空いている時間の大半をRubyとRailsにつぎ込んだ
まずはRailsTutorialをやってみた
テスト周りでつまづいたけどなんとか終わらせた
dotinstallやらミニツクやら、検索して出てきた記事・チュートリアルはとりあえず手をつけて学んだ
はじめはRubyを理解せずにRailsをやっていたけど、すぐにRuby自体に興味が出てきた
はじめてのRuby・はじめてのプログラミング・たのしいRuby・プログラミング言語Ruby... 入門系の本を乱読した
PHPでさんざん苦労していたからか、Rubyでオブジェクト指向を学ぶとなんの無理もなく頭に入ってきた
その後、パーフェクトRubyで標準ライブラリやらGemやらSinatra(支那虎じゃなかった)やらについて学んだり、
メタプログラミングRubyで黒魔術を学んだりした。巻頭のMatzの言葉痺れたなー
バイトのほうも何とかこなせるようになってきた 成長すげー
Vagrantをかじる
AWSでいろいろ遊ぶ
webスクレイピングとか検索APIとか使ってムフフな画像をアハーンしたりして遊んでた
Rubyで言語をつくろうだの、スクリプティングを極めようだの、JavaとRubyがどうだの。
メタプログラミングだの、デザインパターンだの、テストだの、リファクタリングだの。
借りられる本は借りて済ませた。全部買ってると破産する
他にもRubyとつかない本もいろいろ。
プログラマが知りたい97の何とか。いい本
Rubyの関数オブジェクトからのつながりで関数型プログラミングにも手が伸びる
OOPと全く違う。
就活はじめるよー
まあ、エンジニア枠で探すことにする
エントリーめんどくさい
ので、1社受けて落ちたら次の会社エントリーするという作戦にした
無計画玉砕作戦
とはいえ、なんとかなると思ってやってく
気を揉む期間
やたらパララックスつかってゴテゴテにしてるわりに、何が言いたいのか伝わってこない
せめてよく使ってる言語くらいはのっけておいて欲しい。
で、1社選んで応募して、選考が始まった
面接、失敗したなと思ったところもあったが
嘘つかない
知らないことを知ってるように話さない
は通せたので良かったと思う。
で、進んでいって最終面接。これもなんかよく分からないうちに終わってた
相手が適宜フォロー入れて話しやすいようにしてくれたのは覚えてる
うん、ぜひ当社にご入社いただけたらと思いますとのこと。やったね。
前から気になってた会社ではあった。勝手にリスペクトしてた会社。
自分が憧れてる技術者さんたちが在籍してる会社でこれから働くことができる
いろいろと運が良かった。嬉しい
他の会社はどうしようかな。
受けてみたい気もするけれど、エントリーがめんどくさい
続けるかどうかは未定だけど、ひとまず休憩することにする
住所 34 Conut Drive,San Pedro,Ambergris Caye,Belize
info@clculbub6vwl1vmn.com // http://clculbub6vwl1vmn.com 同じページだ
+44-117-230-2607
MAILER-DAEMON Inbox spam2
MAILER-DAEMON@gfcdvb.com <MAILER-DAEMON@gfcdvb.com> Mon, Sep 9, 2013 at 6:xx PM
This message was not sent to Spam because of a filter you created. Edit Filters
To: xxxxxxxxxxx
Reply | Reply to all | Forward | Print | Delete | Show original
片道22㎞。職場近くのばあちゃん家(現在空き家)でシャワーを浴びて、帰りはまっすぐ帰っている。
・
なんで電動アシストかというと、途中で標高360mの山を超えるからだ。
地図の等高線を信用するなら、自宅も職場も標高10メートルくらい。
だいたい5㎞くらい登って、下る。鹿やイノシシも飛び出してくる無人の山道。
流石、ヤマハのアシスト付自転車はすごくて、初日でも問題なく登れた。
が、最近はだいぶ慣れてきた。脚力にも自信がついた。
・
具体的にいえば、クロスバイク入門車種と名高い、ジャイアント・エスケープ・R3を買いたい。
・
ただ、すでにPASを購入しているので、嫁さんの視線は冷たい。
あと半年も乗れば、減価償却するんだけどね。なかなか理解はしてくれない。
・
ていうか、どうなんだろ、R3でも坂道行けるかな~。
まーたF1ファンの他競技disかよ。INDYが危険性を楽しむスポーツだったらどうしてダンの死亡事故の後でレギュレーションが変わったの?あのダサいタイヤカバーもF1における段差ノーズと同じように、見た目より安全性を重視した結果でしょ。二輪のMotoGPでは鈴鹿は安全基準を満たさないとされ日本GPは茂木でやるようになったけど、どうしてF1では今も鈴鹿で開催し続けてるの?複数のF1ドライバーが鈴鹿はエスケープゾーンが狭すぎるって危険性を指摘してるけど、何か重大事故が起こるまで無視するつもりなの?
どのモータースポーツ競技だって与えられた条件内でどうやったら安全になるのか検討され続けてるし、死亡事故が起きて嬉しいモータースポーツファンなんてめったにいないんだよ。F1だけが特別みたいな言説はもううんざりだ。
元記事が消えた時のために転載。
【PC遠隔操作事件】「真犯人」からのラストメッセージ(江川 紹子) - 個人 - Yahoo!ニュース
http://bylines.news.yahoo.co.jp/egawashoko/20130810-00027167/
■はじめに お疲れ様でした。 冬山はいかがでしたか? 私は紅葉のはじめの頃に行ったので快適でしたが、雪が積もった山は大変だったと思います。 さて、これまでメールにてさまざまな質問が寄せられました。 関連報道で謎とされている部分もあります。 それらについてFAQ形式でお答えしたいと思います。 ■なぜこうしたことをなさったのですか 警察・検察にどんな恨みがあったの?動機について詳しく教えて。 私もまた、間違った刑事司法システムの被害者です。 ある事件に巻き込まれたせいで、無実にもかかわらず人生の大幅な軌道修正をさせられた人間です。 それがどんな事件だったのかは詳しくは言えません。 サイバー関係ではありませんが、彼らが間違いを犯した原因の趣旨は、その事件も今度の事件も大して変わりは無いものです。 刑事司法の問題点として良く出てくるキーワード、「自白偏重」「代用監獄」「人質司法」「密室取調」「作文調書」...etc 私はそれらを実体験をもって知る人間です。 そして、そのとき私は負けてしまった。やってないのに認めてしまった。 起訴された。公判で「反省している」と発言した。 おかげで刑務所に行かずに済んだが、人生と精神に回復不能な大きな傷を残した。 一連の事件は、私が「負け犬」から復帰するためのリベンジと言えます。 『先に償いをさせられた人間はその分の犯罪を犯してもいい』という持論。 あなたは間違っている、たとえどんな理由があっても許されない、そういう突っ込みがあることを理解する程度の理性はあります。 でも、それが私だけの哲学であり、誰にも軌道修正されない行動原理です。 いつかのDigで誰かが「犯人は壊れている」と表現していました。 そう、壊れている。私を壊したのは奴らだから。 ■警察・検察をナメてるの? 慇懃無礼な文面から「ナメている」「グリコ森永事件みたいだ」などと言われてますが、そんなことはありません。逆です。 警察・検察の怖さは思い知っています。 どれほど怖いか、どれほどしつこいかを。 それを知っているからこそ、ここまで神経症・偏執狂とも言えるまでに厳重な注意を払って動いてきました。 ほとんどの人は、それだけの体験をしたなら、「もう警察には逆らってはいけないのだ」「目をつけられないようコソコソ生きよう」そういう卑屈な人生を送るのでしょう。 しかし私はその気持ちのベクトルが逆に働きました。 恐ろしい警察・検察に挑戦し、乗り越えることこそが私の人生に課せられた試練であり、それ無くしては一生負け犬として生きていくしかないと思いました。 ■自殺予告について。 ・ミス 「ミス」は嘘です。ごめんなさい。自殺する気は全く無かったです。 11月10日前後に、どこかの記事で「犯人が致命的なミスか?」「Torを使わず直接書き込んだ箇所」というのが載ったのがきっかけです。 決定的なミスで警察も期待しているかのような報道だったゆえ、ちょっと乗せられてみました。 結論を言うとその書き込みもTorです。 Torに割り当てられる出口ノードによっては2ch書き込み可能なところもあります。 たまたまそのとき書けるところに当たったので、わざわざシベリアの依頼スレを使わなかったというだけの話です。 結局何だったのかというと、一部メディアが言っていた「観測気球」という表現が半分合っていて、あとの半分は「面白半分」です。 ・新聞紙 「予告犯」という漫画を読んで、とても共感を覚えました。 特に、登場人物の犯人グループの一人である「ゲイツ」君の境遇には自分と重ね合わせできるものがありました。(11月に入ってからはじめて単行本で読んだので、このマンガに感化されて一連の事件を起こしたというわけではありません。念のため) その作品に出てきた、新聞紙を使う手口をちょっとだけ真似てみたというわけです。 ・写真の位置情報 恥ずかしいことに、これは本当にミスしました。 保土ヶ谷の適当な住宅地の緯度経度を入れたつもりが、10進数→60進数の変換を忘れてしまいました。 これは本当に私の無知であり、ラックの西本さんに「犯人は教養がない」と言われても仕方ありませんねw 結果的には、保土ヶ谷の団地が捜索され、意図どおりにはなりましたが。 ■決して死を選ばす、生きてすべての真実を明らかにしてください。 死を選ぶつもりはありませんが、自首することもありません。 もし仮に捕まったとして、私が白旗を掲げて自白したとしたなら、動機について「逆恨み」と表現されることでしょう。 「前科者が前に捕まったことを逆恨みしてまた犯罪を犯した」と、報道各社は警察発表そのままに垂れ流すでしょう。 私が前に経験した事件の判決が覆ることも無いでしょう。 もっと掘り下げてくれるほどマスメディアの皆さんのジャーナリズムを信用していません。 記者クラブで警察とベッタリなのは分かっているから。 「真実を明らかに」という点ではこのドキュメントだけでも十分なのではないですか? これだけ詳細に書いたなら、あと残りの謎なんて、私の住所氏名年齢程度の些細なことでしょう。 そんなことで事件の全容が変化するわけでもないです。 ■ご本人について・・・お名前、性別、年齢など可能な限り、ご本人様について教えてください。 ご想像にまかせます ■取材させてください できません。 このドキュメントを持って、私から発信すべきことはもうありません。 余談になります。基本的に面会取材は一切受けるつもりは無かったのですが、英国のBBCの方から取材依頼のメールが来たとき、ちょっとだけ気持ちが動きました。 以前見た「ポチの告白」という映画を思い出したのです。 警察腐敗、刑事司法の問題、記者クラブ制度の病巣、そういう部分を明らかにした、社会派な内容です。 登場人物が警察腐敗を暴こうとするも、記者クラブ制度に漬かった国内メディアには全く相手にされず、普段記者クラブから締め出されている海外メディアを頼るシーンが出てきます。 そのシーンを思い出し、BBCの取材依頼なら受けてもいいかな?と傾きましたが、やっぱり止めました。 そこまで出しゃばり屋でもないし、「凄腕ハッカー」のような扱いで出されても困る。(そこまで誇れる技術力があるつもりもない。) 「刑事司法の問題」という部分で言いたいことはいくらでもあるとは言え、私程度が言えることは誰かもっと頭のいい専門家が既に言っています。 だからわざわざ出る必要も無いと思い、他のメディアと同じようにBBCのメールも無視しました。 落合洋司先生がBBCの取材を受けていたようなので、それで私が言いたいこと、世界に向けて言うべきことは言ってくれたと思います。多分。 ■どんなことを考えていますか?世間の反応についてどう思いますか? 警察が誤認逮捕をやらかす、世間が騒ぐ、という意図どおりの結果になったとは言え、反響が予想以上に大きく戸惑っています。 同時に達成感も大きいものとなっています。 正直なところ、もともと犯行動機は私怨が主で、あまり政治的自己主張は考えていませんでした。 警察・検察・世間が騒いであたふたしたら嬉しいな、自分の溜飲が下がる、それだけでした。 「刑事司法の矛盾を暴く」というような高尚な目的意識も高くはありませんでした。 また、神保哲生さんが、「ダウンロード刑罰化・ACTA・サイバー犯罪条約・児童ポルノ単純所持処罰などのネット規制の動向に抗議する意図も犯人にはあったのではないか?」のように分析していましたが、そのあたりについても全く考えていませんでした。 それらについては、事後に専門家のコメントを見て深く考えるようになりました。 もともとネット規制は私もどちらかというと大反対です。 刑事司法の諸問題、ネット規制に関する諸問題、どちらについても国民の自由が奪われる方向に向かっていくことは防がないといけないと思っています。 後付けの動機となってしまいますが、今となって思えば、自分の行為がその一助になれたら本望です。 (もっともネット規制のほうは私のせいで逆に締め付けが強くなりそうですが) 余談です。 家電量販店のウイルス対策ソフトのコーナーでは、「遠隔操作ウイルスの脅威」のように煽るPOPを付けて売っていますね。 私はそういうところに立ち寄り、一連の事件の社会的影響を確認したりしています。 売り場に立っているソフトメーカーの販促スタッフに、ぱそこんしょしんしゃの振りをして神妙な顔で、「最近ニュースで話題の遠隔操作ウイルスがすっごく不安なんです(>_<)」のように話しかけてみました。 すると「この製品が一番最初にiesysに対応したんですよ!」と、とても嬉しそうにアピールされました。 何だかおかしかったです。 今まさに目の前に真犯人がいるとはこの人は微塵も思ってないんだろうな・・・と内心考えながら、説明をしっかり聞いてあげました。 ■目的通りに誤認逮捕を招き、警察・検察が謝罪しているが、今どのように感じているか 警察官や検察官はもっと人並みに、人の話をちゃんと聞く姿勢があれば1件も誤認逮捕など起こさなかったのでは?と。 あの人たちはコミュニケーション能力以前の問題、日本語というか地球語が通じない宇宙人です。 彼らにそういう能力が無いことを分かっていて試した私も私ですが。 結合試験のテストパターンを作って流したら再現性のあるバグの結果が得られた、そんな感想です。 テスト結果を全国に、全世界に提示できたことは大変有意義だと思います。 ■警察の技術レベルについてどう思われたか CSRFについては見破られると思っていました。 後述のようにいろいろ工夫したとは言え、「2秒で送信」問題は消せなかったので。 私の知っている警察のしつこさは、被疑者をシロにする方向には働かなかったのだなと再確認。 iesysについては見つけられなくても仕方が無いです。 投入前に、主要なウイルス対策ソフトの体験版をいくつか試用し、検知に引っかからないことを確認しました。 完全自作プログラムだったので定義ファイルにパターンマッチすることは無いですが、ヒューリスティック検知に引っかかるかも?と興味を持ちテストしました。 特にキーロガー機能でOSのキーボード・マウス入力命令をフックしているあたり、「怪しいプログラム」アラートぐらい出てもおかしくないと推測。 結果的にはどの製品でも引っかかることはありませんでした。 あの手の「ヒューリスティック検知搭載」と謳って売っている製品が、それをどのような基準で行っているのか興味深いところですね。 警察の技術レベルが高いか低いかですが、今回の失態の趣旨は、デジタルとは関係ない部分での捜査手法の欠陥のほうが、原因の多くを占めていると思います。 技術レベルは高いところもあれば低いところもあるのでしょう。少なくともサイバー課をナメてはいないし油断してもいません。 140人の捜査体制だ、FBIに協力要請だ、そういうのを見て正直プレッシャーを感じてもいます。 最近の動向として、「犯人がアクセスした可能性のある90億ログを解析している」という。 これについては、直接関連するサイトへのアクセスは下見閲覧段階も含めて完全にTorを使っています。 たとえば横浜市のサイトやJALのサイトなど、一度も生IPでアクセスしたことはありません。 この時点で9割5分、捜査線上に挙がることすら無いと思っています。 しかし全てのアクセスでTorを使ったわけではない。 間接的に関連するようなサイトは、普通に閲覧したところもあります。 ビッグデータ解析のようなことをして、「こいつはこのサイトとこのサイトを見ているので怪しい」という、 100人か200人かの「犯人候補」の中に絞り込まれることも無いとは言えないです。 全国津々浦々、それら犯人候補のところに一人ずつ家庭訪問すれば、どこかで私に突き当たるかもしれない。 その可能性も予測しているため、油断は一切していません。 前に述べたようなオンラインでのアクティビティだけではなく、自分しか触らないローカルPCの中身までも偏執的なまでに注意を払っています。 つまり、私のPCを調べたところで証拠は何も出ません。他の100人200人の犯人候補者と同様に。 犯行に使った罠Javascriptやトロイのソースファイルそのものから、細かいメモに至るまで、ファイルを置く場所については厳重に管理していました。 そしてそれらが存在した記憶媒体、およびそれらを開いたことのあるシステムの記憶媒体は全部、とっくに完全消去の後、スクラップにして燃えないゴミに出してしまいました。 現在うちにあるシステムや外部記憶媒体全部、どんな高度な復元やフォレンジックを行おうと関係ありそうなものは何も出ません。 令状なしで来ても「どうぞどうぞ」と見せてあげますよ。 エロ画像の10枚や20枚は普通にあるので、それだけ鑑賞してお帰り下さい(笑) それとも、犯人候補の中からあてずっぽうに選んでお得意の自白強要しますか? 「真犯人」を追求したつもりが、「新犯人」を作ることにならないといいですね。 私は根っからのカタギであり、ヤクザや過激派セクトの人のような海千山千な犯罪者ではないですが、経験者であるだけに、否認なり黙秘なり適切に対応する自信はありますよ。 「テメエコノヤロウ」とか、「お前の関係先にガサ入ってガチャガチャにしてやるからな!」(原文ママ)とか同じようなセリフを言われても今度は負けませんよ。 ■一体、このゲームをどこまで続けるおつもりですか?どのように決着をつけるつもりでしょうか。 もうやめます。 私の気が済むまでやって捕まらなければ勝利、という条件を設定していましたが、ここまで反響が大きいと、私の溜飲は下がりました。もう負け犬ではないです。 私が巻き込まれた事件のことも、私が起こした事件のことも、全部忘れて再出発します。 ■誤認逮捕された4人の男性への謝罪の気持ちはありませんか。 こうでもしないと警察・検察を自省させることはできなかった、仕方の無いこととは言え、大変申し訳ないと思っています。無関係の4人を巻き込んだこと、軽く考えてはいません。 自分は悪くないなどと言う気はないです。償わなければならない罪を犯したことは分かっています。 でもそれ相当の罰は先に受けている。だからこれ以上責任を負うつもりはないです。 罪と罰の因果の逆転。そういうことが起こっていることを分かってください。 ■横浜事件 ・●●小学校 横浜市サイトに脆弱性があったのを見つけたので、横浜市の小学校一覧から無作為に選んだだけです。 ・「鬼殺銃蔵」の意味 「餓鬼殺し」を省略して「鬼殺」。また、日本酒の商品名とかけたというのも合ってます。 殺し屋であるゴルゴ13、「こち亀」に登場したパロディキャラ「後流悟十三」、あと昔読んだ「隣人13号」の主人公の「村崎十三」、そのあたりのキャラクターをイメージし、「じゅうぞう」という読みに決め、「銃蔵」と当て字にして完成。 それほど深く考えて決めたわけでもない、30秒ぐらいで決めた名前です。 ・本文 猟銃で射殺していく内容は、春ごろに読んだ小説「悪の教典」を参考にしました。 ・CSRFについて補足説明 CSRFの仕組み自体はオーソドックスだったのですが、ちょっと工夫を入れました。 1)犠牲者は最初の一人のみに絞った 不特定多数が見る掲示板に貼るという性質上、複数の人が踏むのは当然。 そして複数の人から一字一句違わない脅迫文言が届いたら、どんなに警察がお馬鹿でも何らかの仕掛けを疑うでしょう。 サーバ側のPHPで制御することで、最初に踏んだ一人にのみ有害CSRFが発動し、2人目以降は無害なリダイレクトが発生するだけという仕組みになっていました。 2)キャッシュで罠スクリプトを発見されない工夫 A「直接踏ませるスクリプト。BをJSONPでクロスドメイン読み込みして実行する」 B「CSRFを行う有害スクリプト。Aとは別サイトに設置。」 の2部構成。 Bの側に、1)で書いた制御を入れました。 そして、Aでは、 「Bを読み込んで変数に格納(B1)→Bを再度読み込む(B2)→B1を実行」 というフローで動作します。Bを2回読み込むというのが肝心です。1)の制御により、B1はCSRF、B2は無害スクリプトになります。 永続性記憶装置に保存されるブラウザのキャッシュには、B1はB2に上書きされ、B2だけが残ります。 変数に格納されただけのB1は実行後、DRAMから揮発してしまいます。 ただし再読み込み時、キャッシュ再利用の挙動はブラウザごとに異なります。 IE等では、2回目の読み込みは発生せず、キャッシュから拾ってきてしまいます。(2回目もB1になる。) URLの語尾にgetクエリでユニーク文字列を付加するというのがキャッシュリサイクル対策の常套手段ですが、 これをするとどのブラウザでも全く別のURLとして扱われ、キャッシュも個別に残ってしまうのです。 解決方法が思い浮かばなかったので、Aの時点でダメブラウザは入り口で弾くようにしておきました。 3)エスケープ 一応気休めで、文言も含めたスクリプト全体を、encodeURI()関数でエスケープしてありました。 仮に有害スクリプトのキャッシュが残ってしまっていたとしても、発見しづらくなる効果を狙いました。 その時刻付近のブラウザキャッシュに対し、脅迫文言の一部で機械的にgrep検索をかけたとしても、罠Javascriptの構文は引っかからないはずです。 もっとも2)がちゃんと機能していれば別に平文のままでも良かったのですが。一応念のためにという感じ。 4)iFrameにより関連サイト4~5箇所次々と読み込む 単に文言を送信させるだけなら、所定CGIにリクエストパラメータ付きでPOSTする仕組みで良かったのですが、 それだけではなく、「犯人性を高める」工作を入れました。 明大生のPCに小学校のサイト等へのアクセス記録があったというのはこれのことです。 「小学校のサイト」「横浜市トップページ」「入力フォームのページ」などを読み込ませることで、あたかも自分でアクセスしたようなブラウザログ・キャッシュが出来るのを狙ってのことです。 何の前触れも無くいきなりCGIだけを触った痕跡しかなかったとしたら、警察の捜査員が見ればどう考えても何らかの仕掛けを疑うと思ったため。 もっとも、開かれている数秒のあいだに全て終了させた以上、「2秒で250文字を送信」という不自然さは消せないわけですが。 数分のあいだ開かせ続けられるような魅力的コンテンツを用意できれば、時系列的にもっと自然な形で文言の送信ができたのですが。 まぁ面倒だったので、時間的不自然があることは把握しつつ、うまく行くかどうかはダメ元でのチャレンジでした。 警察がお馬鹿だったので見事に嵌ってくれたわけですが。 ・「告白文」のゆくえ 上記のように、CSRFスクリプトをこれだけ工夫しすぎたせいで、ちょっと動作の不具合があったみたいです。 後で試したら、大丈夫だと思っていたブラウザでもうまくいかないことがあったり。 おそらく「告白文」のほうは、踏んだ人の環境では正常動作しなかったのだと思います。 逮捕2日目でネタバラシしたつもりが、発覚まで3カ月以上も費やさせてしまったことについて遺憾の意を表したいです。 7月初旬のあの時期、告白文は届いていたと思っていたのに「誤認逮捕」報道が無いことについて、警察が完全に黙殺したか、釈放はしたものの明大生に因果を含めて騒がないようにしたか、記者クラブでベッタリのマスコミに因果を含めて黙殺させたか、そっちの可能性で考えてしまっていました。 ■CSRFとオリジナル遠隔操作ウイルスを作成しているが、途中切り替えたのはなぜか CSRFでは、脆弱性のあるサイトにしか通用しないです。 それを探し出すのもまた手間なので。 もっとどんなサイトでも適用できる汎用性のある手段をと考えて、iesys.exeを設計しました。 ■大阪 ●●●氏へのお詫びに●●●のBDを全巻買いました。 今まで見たこと無かった作品でしたが、ファンになってしまいました。 新作映画も見に行きたいと思います。 ■福岡 遠隔操作先PCオーナーは福岡の人だったと分かり、福岡ドームとか太宰府天満宮とかを脅迫する文言を書きかけたのですが、気が変わりました。 警視庁の方たちに、遠路はるばる福岡までガサ入れしに行かせてあげるのも一興かなと思い、わざと東京のターゲットにしました。 単純に警察に対する嫌がらせです。 (せっかくだから稚内とか利尻島とかも思いついたんですが、さすがに僻地すぎて無視されるだろうな・・・と思ってやめました。) ■三重-「わざと消さなかった」は虚偽では? 最初の感染確認後すぐ遠隔操作で2chに伊勢神宮脅迫書き込みを行い、その後しばらくPCの中身を物色していたのですが、 iesysのキープアライブ通信が途絶え、オフラインになってしまいました。 単にオーナーが電源オフにしたのかと思い、自分でプロセス停止をしたことまでは分かりませんでしたが。 したらばのスレッドにsuicaコマンドさえ書き込んでおけば、次にオンラインになったときに勝手に消える仕組みですが、このときはそれはしませんでした。 このPCが捜索された際、ひょっとしたら警察の捜査の実行画面が見られるかも?という好奇心が沸いたので。 夏からやっている連続犯行予告にもそろそろ飽きてきていて次の展開に行くタイミングを計っていたこともあり、 iesysを発見されたらそれはそれでいいかなという気持ちでした。 結果的にはその後一度もオンラインにならず、観察を続けることはできなかったのですが。 いずれはどこかで発見されるよう仕向け、また告白文でネタバラシするつもりだったというのも本当です。 何より誤認逮捕が明らかにならなければ、本当の攻撃対象である警察・検察に何のダメージも与えられないのですから。 ■安部総裁殺害予告もやったのか? 私ではありません。 模倣犯?ということもちょっとだけ頭をかすめましたが、 10月上旬という時期から、模倣犯とするには時系列的な矛盾があります。 「遠隔操作」が言われ始めたのが10月7日ぐらいですが、安部さん殺害予告はそれより前からあったようなので、私の事件に触発されたという線は無いでしょう。 報道によると発信元とされるオーナーは否認しているとのこと。 私がやったのと類似の何らかの仕掛けによるものなのか何なのか、私にも分かりません。 ■黒子のバスケ脅迫は 知りません 関係ないです ■「犯人像」についてコメント メディアに出てくる「専門家」の方々が、各自好き勝手に犯人像を語るのはとても面白かったです。 的外れなのもあり、当たってるのもあり、いい感じにバラけていると感じています。 そもそもこれまでの行動・言動は、プロファイリングの面で犯人像を絞り込ませないための工夫を入れています。 ・C#を使うような若者かもしれないし、「はだしのゲン」に思い入れのある中年かもしれない。 ・皇室や神社を攻撃するような反日左翼かもしれないし、部落開放同盟を攻撃するような右翼かもしれない。 ・アニメフィギュアのコレクターなのかもしれないし、まったく興味が無いのかもしれない。 ・「また来世~」などと、伊集院光のラジオのファンかもしれないし、そういうフリをしているだけなのかもしれない。 ・将棋が好きなのかもしれないし、そうでないのかもしれない。 ・引きこもりなのかもしれないし、アウトドア派なのかもしれない。 挙げればキリが無いけれど、こういう気まぐれで無軌道な動きはわざとやっています。 引き出しが多いほうだと人から言われるほうですが、私の引き出しにあるものも、全くの守備範囲外のものも、程よくミックスして出しているわけです。 このドキュメントでまた材料が増えたわけですが、この段階で今度は「専門家」の方たちがどうプロファイリングするのか、かなり興味深いですね。 ■捜査特別報奨金制度の対象となったことへのコメント >犯人に関する情報について >~この犯人を知っている >~事件について噂話を聞いた >このメールを送信した者を知っている 身近な人だろうと誰にも喋っていません。 このような情報は全宇宙の誰からも得られません。 >これらの言葉遣いや言い回しを使う者を知っている >同じような表現を用いて文章を書く人を知っている 一般社会ではきわめて常識人ですので、それらのようなキチガイ文書を書くことはありません。 よって、私に関する情報は全宇宙の誰からも得られません。 >このような特徴を持つウイルスを過去に作成した人や団体を知っている。 >このウイルスを作成した者を知っている。 お話になりませんね(笑) ■片桐裕様へ たしか就任直後から「2ch潰す」とか「ネット規制する」とかいろいろ言ってますね。 そんなに言論統制が好きなら、あなたは日本人やめて中国の小役人にでもなったほうがいいのではないですか? あなたの大好きな検閲・規制・弾圧がいっぱいでまさに理想の国ですね。誤認逮捕しても怒られないでしょう。 というわけで、貴様は今後発言するときは語尾に「アル」を付けて喋ること。(命令) ■改めて世の中に言いたいことは 私のように警察・検察・裁判所に対して悔しい思いをされた方は多数いると思います。 上訴、再審請求、国賠請求、あるいはデモや街宣、出版、主張サイト開設、そういった法を侵さない正攻法の戦い方もいいですが、勝ち目は無い場合が多いです。 法が間違っているのなら、法を侵してでもどんどん逆襲すべきです。 国家権力という途方も無い相手と戦うのに、コソコソ隠れるゲリラ戦術を選択するのは卑怯でも何でもないことです。 戦うべき人が戦えば国は良い方向に向かう、そう信じています。 ■最後に 私からは以上です。もう何も発信しません。 ●●●@●●のメールアドレスはもう解約しましたので、メールをもらっても受け取れません。 最後まで読んでくれてありがとうございました。 さようなら。 (固有名詞などは一部●●で伏せててあります)
HTMLはわかるけど、サーバーサイドはお遊びでphpを触ったぐらいだったので、会員制でデータをためこむサイト作りに初めて挑戦した。
今回重視したのは、「いかに個人情報をお漏らししないようにして、万が一漏らしても被害を少なくするか」ということ。
世の中、有償サービスでもパスワードを平文で保存してるサービスが意外と多いらしいので、流出した時のリスクを少しでも減らせる対策として書きます。
サーバー:ロケットネットのキャンペーンにでレンタルサーバ年1000円ポッキリプラン クライアント側の処理:HTML+CSS+jQuery(とプラグインもろもろ) サーバ側の処理:PHP Webサーバー:Apache データベース:MySQL
俺も巻き込まれたところでは、サミータウンがメールアドレスとパスワードセットでお漏らししてお詫びに1ヶ月無料なにそれこわい。
サミータウンだけならまだいいけど、メアドとパスワードを他のサービスで共通化して使ってる情弱なので、
共通化してメアドとパスワードをどこかのサービスが一箇所でも漏らすと、ヤフオクID乗っ取り事件みたいなことになる。
http://internet.watch.impress.co.jp/cda/news/2008/09/26/20967.html
俺だってできれば人様のメールアドレスとパスワードとか預かりたくない。
万が一、肉親のメールドレスを発見してパスワードにrapemeとか入ってたら明日からどういう顔すればいいかわからない。
ググってみてもどこにも情報のってない。うーん困った。ダメもとで「個人情報ってどうやって保存したらいいんだろう。。。」
って、twitterでつぶやいたら、「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
何のことかわからなったので、調べてみると、
・ハッシュ=ハッシュ値を使った、元のデータに戻せない暗号化方式
うーん。。。よくわからん。。。
電話番号とか住所は、第三者が使用する情報なので、可逆が必要。パスワードは、認証にしか使わないので、
ハッシュ値の結果が一致すれば元のデータがわからなくてもOK、という方式なのでこういった暗号の使い分けをする。
●可逆暗号のイメージ(もとにもどせる) 暗号化キーは開発者が指定する。 090-xxxx-xxxx →(暗号化)→ !'&amp;%($% →(復号化)→ 090-xxxx-xxxx ●ハッシュのイメージ(もとにもどせない) 登録password(DBに保存)→(ハッシュ値抽出)→!"$#'$#=" ログインpassword →(ハッシュ値抽出)→!"$#'$#=" ※二つのハッシュ値が合っていれば、パスワード一致として認証する。
今回はMySQLの関数で実現した。encode関数で暗号化して、decode関数でもとに戻す。
例えばtel_noという項目だけあるテーブルがあるとすると、
//データベースに保存する時 insert into テーブル名 (tel_no) values (encode(tel_no,'暗号化キー')); //データベースから取得する時 select decode(tel_no,'暗号化キー') from テーブル名;
これで、データベース格納時は暗号化(バイナリ化)されて、データベースから取り出してHTML表示する時に復号化はされる。
<ユーザ登録時>
$password=(フォームから取得) $hash=hash('sha512',$password) //ユーザ登録時は、ここで生成した$hashをデータベースにぶっこむ。
ユーザ認証時は、入力されたパスワードと、データベースのパスワードが一致するかチェック。
//フォームから入力されたパスワード $input_password=(フォームから取得) $input_hash=hash('sha512',$input_password); //MySQLに保存されたパスワードを取得(略) $db_hash==(データベースから取得) //判定 if($input_hash==$db_hash) echo 'ログインしますよ!'; //ここにログイン処理を書く else die('メアドとパスワードがあってないよ!');
これでもしSQLインジェクションとかでデータが流出しても、ハッシュ暗号のパスワードに関してはまず解析されないはず。。。
可逆暗号のデータもphp側の暗号化キーが盗まれない限りバレない。。。はず。。。
何でもかんでも暗号化するとコードが煩雑になるし、パフォーマンスにも影響でそうなので、
住所データの都道府県とか、漏れても良いような情報は暗号化しませんでした!!
個人情報保護法 2条による定義 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
これで、もし漏れても、俺、ウンコ漏らして臭いけど、パンツから出てないからいいよね?というレベルにはなった。はず。
万が一漏れても大丈夫!と書いたけど、そもそも漏らすなというお話になる。色々調べた結果、以下の対策をほどこした。
・当初jQuery側でSQL組み立ててPHPに渡してたので、これだと任意のSQLが実行できて漏らし放題なのでやめる。
・GETとかPOSTでDBに渡すパラメータを扱ってる場合、ちゃんとエスケープする。
例えばログイン認証するPHPで、GETメソッドでフォームからデータを取得するような場合、
$id=$_GET['id'] $pwd=$_GET['pwd'] $sql="select * from ユーザーテーブル where uid='$id' and pwd='$pwd'
とかやってると、login.php?id=admin'&pwd=' OR '1'='1とかパラメータを渡されるとあら不思議!
select *from ユーザテーブル where uid='root' and pwd='' or 1=1
で、誰でもログイン出来ちゃう!ので、mysql_real_escape_stringでエスケープしたり、渡されたパラメータが想定した値かどうか(例えば数値かどうか、とか)のチェックをいれたりする。
・保存するデータにタグやJavascriptを埋め込まれないように、保存されたデータを出力する場合はPHP側でhtmlspecialchars関数使ってエスケープするようにする。
こんな感じでお漏らし対策をした。間違いがあったら教えて欲しい。
ちなみに出来上がったサイトはこれ。
最近、電子書籍が盛り上がってる。しかし独自規格やepub、pdfじゃなくて単純なテキストが読みたい。
それでテキスト目的の場合、縦書き青空文庫用ビューアは沢山あるんだけど、
横書きテキストをアンチエイリアスで美しく表示するテキストビューアがほとんどない。
色々探したところ、シャープのブンコビューアがLCフォント付き+アンチエイリアス機能で
他よりだいぶマシなんだが横書きだと余計な行間が入るので不満がある。
プロプラエタリ勢はpdfのacrobatや「Microsoft Reader」とか、表示は美しいけど
単純なテキストが読めないのが惜しい。
洋書やプロジェクトグーテンベルグ読むのにいいやつないかなぁ。
・ClearTypeではダメなの? LateXにチャレンジとか。綺麗だよ。
LateXはチャレンジしない…テキストを手軽に読みたいんですよ僕は!
ClearType、出来ればClearTypeよりド綺麗になって欲しい、が方向性はそっち側で合っているのです。
結局イイのがなさげなので、dgi++でフォントを綺麗にしてテキストエディタかブラウザで
フォントサイズをデカめにして閲覧するのが快適な気がして来ました。
…「greater than」記号で引用しようとすると「& gt;」「>」で文字化け(エスケープ失敗)する増田のバグ直して欲しいなぁ。
完全体が、席に座ってしばらくするとあらわれた。テーブルの上にいた。
でどうするんだ??としばらく自問自答。おとなしい?興奮していない?状態だったので時間の余裕があって助かった。
1,逃げる。エスケープ。
既に注文をしてしばらくたったあとだったので、一瞬躊躇した。けれどすぐに
店員に注文キャンセルして今から退出しても大丈夫かと伝えて、速効脱出した。
店内はその日ぎゅうぎゅうの満員状態とか
自分が去り際に隣の席に座っていたお客さんが”何か”に気づいて驚いて立ち上がるところまでは見たとか
脱出はできたけど、気になるところが多々ある。笑
あれ?どういう対応すべきだったのか?とか
保健所関係で営業停止くらうのかな?あの店とか。
なんか、経験者は語るみたいなのあれば聞かせて欲しい。
引用元の「アニメ的」ってのと、元増田の考えた「アニメ的」ってのは結構かけ離れてる様に思う。
例えば、演出手段。
アニメ的グラフィックのゲームってのと、ゲームでアニメ流すのは違う。
要は、「リアルである事を追求する」「実在する物をシミュレートして、それを重宝がる」ハリウッドと、
「外観とかシステムとか、バランス良く作る」「どちらかというとファンタジー好きな、実在しない空想の物を重宝がる」日本のアニメーション。
FPSで米軍の制式装備だとホルホルするより、日常からエスケープした世界であり得ないけどかっこ良い剣の方でホルホルする方が日本人は好きなんじゃない?
って話なんじゃないかな。
貯金はちょびっとずつだけどやってる。初めの1年は入っただけ使ってたけど、その後の3年でコツコツ残してみたら100万溜まった。
やっぱり余裕があるのとないのとでは全然違う。自転車やPCが故障してもすぐに買い替えられるし、エスケープの難しい飲みや遊びの誘いが来ても無理に断らなくても済む。
だから本当に上を見ても下を見ても仕方がないのは判ってる。同じ年代で蓄えどころか定職も住処も着替えも持たずに日雇い派遣で生き延びてる人たちが居ることも考えてしまう。
でも時々、用事なんかで街に出ると綺麗な服着てブランドものの袋を提げたり、颯爽とMTBに乗ったり、びっくりするほど高いカフェに躊躇なく入っていく同年代が居たりするじゃない。
そうでなくても自分の近所を見まわしたって、同年代でもう普通に家族を持ったり家を建てたり車を持ったりするのも珍しくなくなってきたりするじゃない。
そういうのは自分の生活では絶対に近づけない領域で、もう自分はきっとああいう中流な生活は出来ないんだろうなと思うと、時々死にたくはなる。フーハハハァー。
