「vulnerability」を含む日記 RSS

はてなキーワード: vulnerabilityとは

2018-09-06

回復をどう考えるか

回復とは回復を続けること」と言われる。

鶴見俊輔の指摘するような、自分にとっての根源的な問いを問い続け、応答し続けることなのだろう。

鶴見俊輔は、生きることを通してその根源的な問いを生きることと、それを場当たりの適応問題にすり変えて生きることを分けている。

根源的な問いを生きることは、たとえば不登校になった当事者が、「不登校新聞」に関わり、自分インタビューしたい人をインタビューしていくことで、「正しい答え」を見つけ、そこに抵抗しなければならないと思っていた自分から解放されていくといったようなことに現れていると思う。彼はその後編集長になり、自分と同じように当事者インタビュアーを育てている。

どうしようもない生きづらさや圧迫があり、そこから抜け出ていくためには、彼は「自分がどうして生きるのか」という根源的な問いに応答して生きる必要があった。そしてその問いへの向き合いは、彼に逆に強みをつくり、彼自身が生きていく力を増大させ、やがては彼と同じような苦労を抱える人たちに一つの回復の道のりを提供することになった。

不登校新聞編集長に聞く。挫折から始まる「私」の人生について

https://www.huffingtonpost.jp/bamp/not-going-to-school_a_23515108/

鶴見は以下のように言う。

自分の傷ついた部分に根ざす能力が、追い詰められた状況で力をあらわす。自覚された自分の弱み(ヴァルネラビリティvulnerability)にうらうちされた力が、自分にとってたよりにできるものである。正しさの上に正しさをつみあげるという仕方で、人はどのように成長できるだろうか。生まれから育ってくるあいだに、自分のうけた傷、自分おかしたまちがいが、私にとってはこれまでの自分の道をきりひらく力になってきた。 鶴見俊輔教育定義への試み』

一方、誰もが根源的な問いを「生きねばならないのか」と考えてみたとき、向き合いをした人はそれに相当する強い生きづらさの圧迫があって、そうせざるを得なかったという側面を無視できないように思う。誰もが根源的な問いにつながれるわけではない。「順調」に生きれば生きられるほど、根源的な問いの力を利用するよりも、その場の適応を優先するほうが生きやすい。

根源的な問いまで追い詰められるということは、世間一般的には「恵まれない」ことであるし、そこから抜け出ることは保証されていない。途中で力つき、倒れる人もいる。

根源的な問いを問うて生きることは、あるべき姿なのではなく、そのような状況に追い込まれた人が自分を救っていく手段としてあるのだと思う。

自分とは過程を生きる存在であり、世界社会を変えられなくても、ある地点からある地点までどのように向かうかというあり方を選ぶ可能性は残されている。

2018-07-09

医療関係者モラル 看護師患者関係

https://anond.hatelabo.jp/20180709065932

の続き。

職業倫理 看護師患者関係の基本

なぜ、看護師などの医療従事者のモラル問題となり、医療従事者の中で「看護師特別」という自意識を持つものが多いのだろうか。基本となる看護師患者関係を見てみよう。基本的大前提として、患者医療者の関係は対等ではない。

 欧米での看護師に関する看護倫理を見てみる。

Boundaries and the Nurse-Client Relationship:

Keeping it Safe and Therapeutic

Guidelines for Registered Nurses

Power

The nurse-client relationship is one of unequal power, resulting from clients’ dependence on the services provided by nurses, as well as nurses’ unique knowledge, authority within the healthcare system, access to privileged information about clients, and ability to influence decisions (CRMN, 2007). This power imbalance can place clients in a position of vulnerability and potential abuse if trust in the nurse-client relationship is not respected. It is the nurse’s responsibility to recognize this imbalance of power and to be aware of the potential for clients to feel intimidated and/or dependent (CRNBC, 2006).

Intimacy

Nursing practice, by its very nature, can create an atmosphere of physical, emotional,

and psychological intimacy that can, in turn, increase the vulnerability of clients.

http://crnns.ca/wp-content/uploads/2015/02/ProfessionalBoundaries2012.pdf

 要約すると、「患者」対「看護師」という時点で不公平な力関係が生じ、患者看護師に対し脆弱で言いなりにされるがままの弱い立場に置かれる。看護師がその職業的立場自覚せずに軽視すると、患者潜在的虐待搾取対象となる。その不均衡は、患者看護師提供するサービス依存し、看護師の専門知識医療機関における権限患者個人の秘匿情報に触れる立場、そして患者決断を左右させうる立場などから来る。

 また、看護という仕事特性上、患者に対して密の肉体的、精神的、感情的な親密さという雰囲気を醸成するが、これは同時に患者脆弱性を増長させてしまう。

 この潜在的権力の乱用につながる力関係の不均衡と職業的立場認識し、患者を萎縮させてしまうように感じさせたり、依存させるようなこと、または弱い立場に付け入るようなことにならないように注意するのは看護師責任である

 医療を受ける患者の弱みに付け入ったり、看護師立場上得られる力を乱用しない、というのが患者看護師の間における信頼関係の基本となる。

 と、このように欧米での基本的教育看護指針では、これ以上ないくらいはっきりと明記している。

 しかし驚くべきことに日本における看護教育の課程や臨床現場のみならず、看護協会にも学会にもこの観点から指摘した具体的な倫理規範も指針・ガイドラインも一切存在しない。日本では臨床の看護師も当然、誰一人知らない。

 つまり看護師達は、権力を乱用したり弱みに付け込んでいる、という事すら、認識しないで、乱用しまくっている状態が多いのだ。態度の悪い、タメ口を平気で使う若い看護師を見れば分かる話だ。

 さらに、

https://anond.hatelabo.jp/20180709055614

でも触れたように、医療従事するものは、『患者の命は自分が握っている』と思い込む傾向が強い事が明らかになっている。殺人をして逃げおおせたシリアルキラーが神に近い万能感を感じるという例に似て、医療者は勘違いやすいのだ。

 そして、

https://anond.hatelabo.jp/20180709065932

でも触れたように、日弁連も指摘しているように、

ところが,我が国には,このような基本的人権である患者権利を定めた法律がない。・・・そのような中で,今日我が国医療は様々な場面において多くの重大な課題を抱え,患者権利が十分に保障されていない状況にある。...ところが,いまだ,患者権利に関する法律は制定されていない。

 看護師を取り巻くモラル問題は、エイジズム、共依存パターナリズムと幅広く、根深い。

にも拘わらず、

https://anond.hatelabo.jp/20180709065932

でも明らかにしたように、患者一般はもとより、日本看護界においては無教育無知蔓延していると言ってよいだろう。

補足

https://anond.hatelabo.jp/20180709203858

参考

https://anond.hatelabo.jp/20180709220712

2015-11-12

参考訳:拡散したJavaシリアル化の脆弱性についてApache Commons声明

原文:https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread

原題Apache Commons statement to widespread Java object de-serialisation vulnerability

翻訳日:2015年11月12日(午後にタイトル日本語しました)

----

2015年11月1日 火曜日

Apache CommonsJavaオブジェクトのデシリアライゼーション脆弱性に関するステートメント

著者:Bernd Eckenfels(コミッター), Gary Gregory(Apache Commons副責任者)

AppSecCali2015 でGabriel Lawrence (@gebl) と Chris Frohoff (@frohoff) によって発表された "Marshalling Pickles - how deserializing objects will ruin your day" は、信頼されないソースからシリアル化されたオブジェクトを受け取るときセキュリティ問題をいくつか明らかにしました。主な発見は、Java オブジェクトシリアライゼーション(訳注:seriarization/シリアル化/直列化=ネットワークで送受信できるようにメモリ上のオブジェクトデータバイト列で吐き出すこと。シリアル化されたJava オブジェクトRMIなどのリモート通信プロトコル使用される。)を使用する際に任意Java関数の実行や操作されたバイトコードの挿入さえもを行う方法説明です。

Frohoff氏のツールである ysoserial を使って、Foxglove Security社のStephen Breen (@breenmachine) 氏はWebSphereJBossJenkinsWebLogic、OpenNMSといった様々な製品調査し、(http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/) に各々の様々な攻撃シナリオ記述しています

両者の調査活動は、開発者Javaオブジェクトシリアライゼーションに信頼を置きすぎていることを示しています認証前のシリアル化されていないオブジェクトにも。

Javaにおけるオブジェクトのデシリアライゼーション(訳注:de-serialization/非直列化=ソフトウェアで扱うことができるように、送受信されたデータを元に戻すこと)が行われるとき、大抵は想定された型にキャストされ、それによって、Javaの厳しい型のシステムが、得られた有効オブジェクトツリーだけを保証しています

不幸にも、型のチェックが起こるまでの間に既にプラットホームコードが生成されて、重要ロジックは実行されてしまっています。そのため、最終的な型がチェックされる前に、開発者コントロールを離れた多くのコードが様々なオブジェクトの readObject() メソッドを通じて実行されてしまます脆弱性のあるアプリケーションクラスパスから得られるクラスの readObject() メソッドを組み合わせることで、攻撃者は(ローカルOSコマンドを実行するRuntime.exec()の呼び出しを含めて)機能を実行することができます

これに対する最も良い防御は、信頼されていないピア通信相手)とは複雑なシリアルプロトコルを使うことを避けることです。ホワイトリストアプローチ http://www.ibm.com/developerworks/library/se-lookahead/実装するように resolveClass をオーバーライドするカスタム版の ObjectInputStream を使うと、影響を制限することができますしかしながら、これは常にできることではなく、フレームワークアプリケーションサーバがエンドポイント提供しているような時にはできません。簡単な修正方法がなく、アプリケーションクライアントサーバプロトコルアーキテクチャを再検討する必要があるため、これはかなり悪いニュースです。

これらのかなり不幸な状況において、エクスプロイトのサンプルが見つかっています。Frohoff氏は、 Groovy ランタイムSpringフレームワークApache Commons コレクションからクラスを組み合わせるサンプルのペイロードに gadget chains (ガジェット・チェーン)を見つけています(訳注:provided)。これはこの脆弱性エクスプロイトのためにより多くのクラスを組み合わせられることは完全に確実なことで、しかし、これらは今日攻撃者が簡単に得られるチェーンです。

(Twitter画像)https://blogs.apache.org/foundation/mediaresource/ce15e57e-94a4-4d7b-914c-8eb8f026659c

この脆弱性のために利用される(訳注:blamed)ことができない確かな機能実装するクラスができ、安全性が信用できないコンテキストにおけるシリアル化を利用されないようにするような既知のケースの修正ができたとしても、少なくとも分かったケースだけでも継続的修正していくことが要求されますモグラ叩きゲームを始めるだけであるかも知れませんが。実際にはこれは、オリジナルチームが Apache Commons チームに警告が必要だと考えていない理由で、それゆえに比較的、活動開始が遅れました。

Apache Commons チームは InvokerTransformer クラスのでデシリアライゼーションを無効化することによって commons-collection の 3.2 と 4.0 のブランチにおける問題対処するために、チケット COLLECTION-580(http://svn.apache.org/viewvc/commons/proper/collections/branches/COLLECTIONS_3_2_X/src/java/org/apache/commons/collections/functors/InvokerTransformer.java?r1=1713136&r2=1713307&pathrev=1713307&diff_format=h) を使っています議論されているやるべきことのアイテムは、変化させる仕組み毎(per-transformer basis)に、プログラマティックに有効にするような機能提供するかどうかです。

これには前例がありますOracle と OpenJDK JRE の一部であったり、バイトコードを挿入して実行することを許したりする com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl クラスで、セキュリティマネージャー定義されているとデシリアライゼーションを拒否します。

これはシステムプロパティ jdk.xml.enableTemplatesImplDeserialization=true とすることで無効にできますApache Commons Collection は、本来よりもこの実行モデルは一般化していないため、セキュリティマネージャー存在独立したこの機能無効化することを計画しています

しかしながら、明確化のために述べておくと、この便利な"ガジェット"は、唯一知られている方法でもなければ、特に未知のものでもありません。そのため、インストールされたものを強化されたバージョンApache Commons Collection に置き換えることが、アプリケーションをこの脆弱性に対抗できるようにするわけではありません。

このブログポストレビューのために Gabriel Lawrence に感謝したいと思います

Apache Commons Collection は、Java コレクションフレームワークに加えて追加のコレクションクラス提供する Java ライブラリです。InvokerTransformerコレクションにあるオブジェクトを(特にリフレクション呼び出しを通じてメソッドを呼び出すことで)変換するために使うことができる Transformer ファンクションインターフェース実装の一つです。

一般のSallyによる2015年11月10日午前10字15分にポスト | コメント[1]

コメント

OracleWeblogicセキュリティアラートを発行しています

http://www.oracle.com/technetwork/topics/security/alert-cve-2015-4852-2763333.html?evite=WWSU12091612MPP001

提供されている回避策は、T3プロトコルへのアクセス(とリバースプロキシーにおけるT3メソッドフィルタリング)です。

2015-03-25

Android Installer Hijacking Vulnerability

仕組みがわりと凝ってて面白い

http://researchcenter.paloaltonetworks.com/2015/03/android-installer-hijacking-vulnerability-could-expose-android-users-to-malware/

  1. マルウェア作者はまず、SD読み書きとインターネットアクセス権限くらいしかない「権限的には無害っぽい」アプリAを作成し、アプリストア等に上げて被害者インストールさせる (アプリAそのもの無害だこの時点では直接的な被害を及ぼさなし、Google Play での配信でもよい)
  2. 実はこのアプリAは、PackageInstaller の監視をしている。(rooted 端末であれば logcat を見る、そうでなければ /sdcard などの、3rdアプリストアが .apk一時的に置くディレクトリ監視)
  3. 被害者は、1. の作者とは関係のない、全く問題のない野良アプリBをインストールしようとする。この時、アプリBは /sdcard などにいったんダウンロードされ、それを PackageInstaller が読み取って、権限確認等のダイアログを出す。
  4. ここでアプリA は PackageInstallerActivity を検知し、/sdcard に一時的に置かれた「アプリB.apk」を、マルウェアに置き換えてしまう!(ネット越しにダウンロードしてきて上書きしてしまうか、あるいはアプリAに内包されていたマルウェアを取り出し、上書きする)
  5. 被害者が「ふんふんパーミッション問題ないしオッケー!」と思ってインストールボタンを押すと、4. で上書きされたマルウェアを知らないうちにインストールしてしまう!

要するに PackageInstaller が権限チェックするタイミングと、実際にインストールするタイミングの間に、対象の .apk を置き換えてしまうという手法となります。(Google Play ストアからインストール場合は、一時的な .apk は /sdcard などではなく端末内のセキュアな場所に置かれるために、書き換えることができません。)

また Android 4.3 以降は、権限チェック時に AndroidManifest.xmlチェックサムを記録しておき、インストール時にももう一度それを確認するように PackageInstaller が修正されているようです。(一部のベンダの端末では 4.3 でもこのチェックをしていないので脆弱性の影響を受ける)

さらには、4.4 以降であれば、上記のチェックサム確認の他に、そもそもアプリ自由に /sdcard を書き換えることができなくなっているので、.apk を書き換えること自体ができなくなっていますね。

ユーザにできる自衛策としては、Google Play からのみアプリインストールする、といったところでしょうか。

あるいは、/data/local/tmp はアプリからは書き換え可能でしたっけ?

できないのであれば、PC で .apk ファイルダウンロードしたのち、adb install でインストールする、という手もありなのかな。

あ、ちなみに Amazonアプリストアアプリ (ややこしいな) は既にこの問題対処しているようなので、Amazonアプリストアは安心して利用しても大丈夫かと思います

[※2015/03/26 トラバブコメでの指摘に合わせて少々書き直しました]

2014-08-05

オボの人

サークラの究極進化形ということで歴史に名を残すレベルになってしまった

理系組織童貞力の高さによるvulnerabilityに関しては本当に何か対策必要なんじゃないか

2011-12-28

Summer scenery to take pictures of small skills

Undesirable cameras benefits us many 100 % satisfaction, leading to numerous spectacular images, as well as the hot months is operating relating to dependable summertime. This specific classmate through break free will be able to figure out any tons in addition to waterways, downtown along with far-away beautiful gardening, and yet may these pure attractiveness to become a memento playing hit decrease, apart from skin color boil due to the high-end digicam purpose, a great deal more simple could be to evaluation whatever taking pictures competency as well as having photos. The amount, smaller try to make your work latest many of the summer season harvesting powerful see to it, typically the classmate need to next image have a go through, you become this confidently unexpected wonder.

Digital cameras would bring us lots of enjoyment, leaving a myriad of unique images, and summertime is journeying in wonderful summer season. The classmate throughout the getaway can recognize that reams together with estuaries and rivers, metropolitan and also countryside attractive panoramas, yet take place all these charm being a memento opportunity straight down, together with steam as a result of a camcorder operation, a lot more crucial is usually to examine ones own taking functionality and also taking photographs. That period, the little generate your choice have quite a few summer months firing effective be mindful, the particular classmate may as well within the next snapshot have a shot at, you will get the particular total surprising stun.

Household landscapes

By out of doors firing indoors panoramas, basic will need throughout the Windows 7, out-of-doors mild typically currently have more substantial indoors light-weight, now a couple of challenges ought to be sorted out, is the particular coverage time frame, a couple of it truly is in order to avoid a display reflective, when pics of any camera through hands-on management operate, might take number of years coverage setting up, when photographic camera goes so that you can twit style, can easily will likely be ISO level of sensitivity Surroundings bump up, this ISO 2 hundred or perhaps ISO six hundred aiming.

Inside panorama 's best golf shot employing a tripod, in any other case, wants a spot to guide, one example is in opposition to any divider and entry, and even the true reason for executing it is because very long coverage is quite effortless construct any digital camera protein shake, producing photographs regarding fluffy envision. It's best to utilize the shutter launch, or perhaps utilize to get center-weighted avoiding relocate a video camera. Notice: except if absolutely necessary, tend not to available the particular pen, stay clear of a lot more reflective.

Out-of-doors landscapes

Bring that landscape designs from the probability with the photo may well schedule some individuals or even factors, and this also may help the room inside the operation of your view photos. Get a large surfaces area photos, as an example the veranda as well as the roof top, hillside, for example. Typically inside the mid-day is without a doubt the most suitable time frame filming this landscapes. Filming, having a polarizer to adjust a illumination with the stars, produce the particular heavens develop into dreary quite a few, well known from the glowing blue stars the white kind of fog up, as a way to boost the space or room repeatedly.

Several virtually no guidebook vulnerability management of any camera together with location form, as well as the landscape designs way is completely features on the list of manner, you are able to use landscape designs way to adopt shots. Together with handbook vulnerability restrain photographic camera might opt for aperture goal option that will movie, aperture to help acquired far better pick out F8 to help you photograph or maybe F11, this photo will be extra management concentrations senses.

houses

The particular modify on the urban center is without a doubt switching, specifically together with a lot of approach large establishing intended for symbolize, and also this are at recent many portrait digital photography buffs including firing template.

Yet typical photographic camera through simply how much suitable container distortion, hence as a way to make an effort to reduce the photograph of your deformation belonging to the accumulating " up ", thus you ought to pick around substantial thoughts and opinions filming. One example is inside the steps, or perhaps some other might help the beliefs with area. If you fail to find the correct destination for a reside, you can from the again, clear of the particular lead entity to cut back a distortion. Maybe you've employed the greatest wide-angle standard zoom lens. Vivid stars will be able to replace with a developing with the darkish. Having a polarizer to cut back or perhaps wipe out construction with reflective a glass. In addition to, certainly, consume an excellent know with the can make one of a kind imaginative results.

mineral water

Firing apply or maybe a aerosol in waters, incorporate the use of part mild and also backlight try to make waters intended for introducing see through pattern. Several novices all of coveted by a really "splash with photos, in truth, I am able to effortlessly applied for, so the hurrying h2o glance alot more downy, have got a form of passionate blur. Shutter possibly inside 1/10 so that you can 1/6 erinarians regulate might get move cosmetic perception for splash pics.

At night and also night time

Local plumber to be able to sunset taking scenario regarding is usually 15-30 moments, next the stars always possess some colouring failed to ends. As a way to raise the graphic with the amount with subject, can easily on the ending with the passage and also uncover several regarding an individual's special world. It is as well the location where the tripod on has to be, commonly programmed coverage is definitely o . k ., yet you should attempt to utilize hands-on visibility, and also the employment of the particular shutter put out restrain taking, respectively for 2, 5, 8, 12 and also of sixteen secs shutter tempo so that you can capture some photo contrast.

Needless to say now and again continue to are able to use ISO200 to help you photograph, yet so that you can be aware of an electronic camcorder with disturbance handle is normally adequate, when pixels will be overweight, or maybe together with ISO100 contrasting by using base style to help motion picture.

In truth firing night time scenarios, at times to be able to as well do not require that filming with step-by-step developing oh, this streets these kinds of, a small amount convert tips plus aiming design and style, might get the result of experiencing a specialized pattern.

_____________________________________________

http://www.gobatteryonline.com/canon-powershot-sd850-is-battery-charger-gose.html

http://www.chargerbatteryshop.co.uk/panasonic-lumix-dmc-tz7-battery-charger-cbbs.html

2011-08-25

バルネラたん

私の名前はバルネラ。

私はどこにでもいる。

パソコン携帯電話テレビコーヒーメーカー

あなたの周りにもきっとたくさんの私がいる。

でも私はその存在を許されない。

普段はひっそりと陰に隠れているけれど、

見つかったが最後、消されてしま運命

今度もまた、"あぱっち" に隠れていた私が見つかった。

私が "あぱっち" の中にいるというニュース世界中に広まって、

2~3日もすれば私は消されてしまう。

だけどそれでいい、

見つかってしまった私はたくさんの人に迷惑をかける。

からはいつづけてはいけない、消えなければならない。

"あぱっち" の中の私はもうすぐ消えてしまうけど、

それはたくさんの私の中のほんのひとつ

まだまだ見つかっていない私はいっぱいいっぱいいる。

から、もっともっと私を見つけて、そして消して。

だって私は見つかって、

そして消えるためだけにいるのだから

つの日かぜんぶの私が消えるときがくるのかな?

今日明日もあさっても、

私はずっと待ちつづける。

その瞬間が来るのを、ただじっと。



脆弱性vulnerability】 (バルネラビリティ)

コンピュータネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報漏洩など)に利用できる可能性のあるシステム上の欠陥や仕様上の問題点

( http://e-words.jp/w/E88486E5BCB1E680A7.html より)

 
アーカイブ ヘルプ
ログイン ユーザー登録
ようこそ ゲスト さん