ryo.com » security http://www.ryo.com by Ryosuke Hosoi Thu, 19 Aug 2010 05:32:09 +0000 http://wordpress.org/?v=2.9.1 ja hourly 1 SSL証明書の期限切れは実によくあること http://www.ryo.com/2008/02/26/398/ http://www.ryo.com/2008/02/26/398/#comments Mon, 25 Feb 2008 19:55:01 +0000 りょすけ http://www.ryo.com/2008/02/26/398/ Web designer?
Creative Commons License photo credit: geognerd

リニューアルついでに、RSSをfeedburnerで配信するように設定したのですが、feedburnerにサインアップするとき、いわゆるひとつの「SSL証明書の有効期限が切れています」警告がでました。

実際 https://www.feedburner.jp/ のSSL証明書の有効期限が2/15/2008で切れているようで、サポートにメールしておきましたが、Googleに買収されたWeb2.0企業がこんなミスをしちゃうんだから、インターネットなんてある意味いい加減なものですな(笑)

ちょうとスラドでも
名古屋市のサイト、証明書期限切れ (slashdot.jp)
なんて話題がありまして、ここでは結構厳しい論調ですが、実際はこういうのは実にありがちなんですね。

昔勤務していた会社でも何件かこういう事件がありましたが、結局「誰の責任なの?」っていうと「誰のせいでもありゃしない」ってもんでした。
と、いうのは、SSL証明書とったはいいけど、新しい組織だからオペレーションがきっちりしてなくて、最初の更新なんて忘れるのが当たり前、みたいなgdgdな状態なことがほとんどで、そういう状況ではやはり
「誰のせいでもないけど、もう更新したからいいじゃん、次はきっと忘れないよ!」
という流れですんじゃうのです。
それで済まなさそうなのは、期限切れしたのがお客さんのサイトだった場合ですが、僕はさすがにお客さんのサイトのSSL証明書の更新を忘れた経験はないので、どういう修羅場かはわかりません(笑)

お客さんのサイトのSSL証明書の更新を忘れたWeb屋さんの言い分を想像してみましょう
「いや、SSL証明書はお客さんのものだから、お客さんが更新しないといけないものだよ。先にいってくれたらちゃんと更新してあげたんだけど、先にいってくれなきゃそんなのやれっこないよ!」
じゃあそのお客さんの言い分はもちろん
「そんなのWeb屋さんが教えてくれないとわかりっこないよ!SSLにお金がかかるのは説明してもらったけど、有効期限があるなんて聞いてないよ!いや、聞いたかもしれないけど、1年前のことなんて覚えてるわけないよ!」

僕がいいたいのは、良くあることってだけ。

関連記事

]]> http://www.ryo.com/2008/02/26/398/feed/ 0 オススメできないSpyware Doctor(ドザはツライよ) http://www.ryo.com/2007/07/31/338/ http://www.ryo.com/2007/07/31/338/#comments Tue, 31 Jul 2007 05:51:45 +0000 りょすけ http://www.ryo.com/ryo/?p=338 Windowsはスパイウェア対策が大変、ってことでSpyware Doctorというスパイウェア駆除ツールを使っていたのだけど、正規ライセンスを持っているにもかかわらず、更新されたライセンスコードを何度入力しても認証されず・・・
サポートに連絡すると、大文字小文字だのコピーペーストの方法だのもうホント馬鹿にすんのもいい加減にしてくれというような内容の返信が・・・
ハイ、もう捨てることにしました。

Spyware Doctorをオススメできない理由はアホなライセンス管理やサポートだけでなく他にもあります

重いってレベルじゃねーぞ
ウチのCore2Duo+MEM2Gのマシンが、Pen3-800MHz+MEM1Gのノートより重い感じになります。
正直常駐して常用は無理で、今までも数ヶ月に一度フルスキャンしてるだけでした。

フリー版は詐欺っぽいかまかけ商法らしい
フリー版使ってないので知らなかったのですが、フリー版でスキャンすると「とにかくスパイウェアっぽいのアルヨー」ということで有償版を買わせようとするそうです。
もちろんホントにスパイウェアが入ってて駆除できてるケースもあるんでしょうけど・・・

クレジットカードに自動更新すんなよ!
1年過ぎて忘れてたころにクレジットカードに自動的に次年度のライセンス課金って・・・
1年も経つならやはり1ヶ月前ぐらいからメールで更新の連絡をして、顧客の意思を確認してから課金するべきだと思うのですが、自動課金で事後メールでした。
購入時にそういう表示があったのでしょうけど、さすがに1年覚えてるはずがなく、これじゃ詐欺まがいの商売(フリークレジットレポートだとか)と同じシステムで、ちょっとマトモな商売と思えません。

見つかるのはトラッキングクッキーだけ
2台で1年ちょっと使ったわけですが、1台はKasperskyに1台はBitDefenderと、いまどきのスパイウェアに対応してるAntiVirusソフトウェアをインストールしてるPCでは、結局トラッキングクッキーが見つかるだけで、なんのスパイウェアも検出されませんでした。

と、いうわけで僕のWindowsマシンでは、そこそこちゃんとしたAntiVirusソフトを入れてるので「Spybotでたまにスキャンするだけで十分だろう」ということにします。

関連記事

]]> http://www.ryo.com/2007/07/31/338/feed/ 3 flash player 7 for linuxにセキュリティーホール http://www.ryo.com/2006/09/13/265/ http://www.ryo.com/2006/09/13/265/#comments Wed, 13 Sep 2006 22:00:40 +0000 りょすけ http://www.ryo.com/ryo/?p=265 flash player 7 for linuxにセキュリティーホールです(via FedoraNews.org

FC5でRPMで入ってる人はyumやaptで自動アップデート可能ですが、自前でインストールしてる人は手動アップデートが必要ですので注意してください。

AdobeからのAdvisoriesによると、正確には全てのプラットフォームでのFlash Player 8.0.24.0以前のバージョンとのことなんで、念のため確認しといたほうがいいかと。
(おそらくWindowsやMacでは9にしてるでしょうから大丈夫かと思いますが)

関連記事

]]> http://www.ryo.com/2006/09/13/265/feed/ 0 テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか? http://www.ryo.com/2006/08/07/251/ http://www.ryo.com/2006/08/07/251/#comments Tue, 08 Aug 2006 05:13:48 +0000 りょすけ http://www.ryo.com/ryo/?p=251 mixiに機能要望の投票とトラッキングがついたらしいので、個人ごとにタイムゾーン設定できるようにってのに投票しました。
# 現時点で評価は 良い94/悪い4 なんだけど、いつになったら検討されるのかさっぱり謎です。

で、他にどんな面白い要望があるんだろうかとブラウズしたりして、ふと実装済のところを見てみると、XSS脆弱性の修正が並んでる・・・
しかも、「mixi機能要望におけるXSSの問題を根本的に修正してほしい」なんてのを筆頭に、最近リリースされてる機能にも平気でXSS脆弱性があった模様。

いまどきリリースされるwebアプリでも、XSS脆弱性はゴロゴロしてるのね。
まあ、そこらのサンプルコードや入門書にXSS脆弱性やSQLインジェクションがゴロゴロしてるのは知ってましたが、mixiでリリースされてるアプリケーションでも未だにゴロゴロしてるとは、ちょっとびっくりです。

mixiのシステムはおいといて、ふと思ったのが「テンプレートシステムはデフォルトでエスケープするべきじゃなかろうか?」ってこと。

DBなどに入力値をそのまま持っておく設計(極めてフツーだけど)のwebアプリケーションだと、たとえばsmartyなら、HTMLを保存しているもの以外の全ての変数表示項目で{$hogehoge|escape}として、エスケープする必要があります。
「ちゃんとエスケープしろよ」といっちゃえばそれまでなのですが、テンプレートってのはwebデザイナーさんもいじることがあるわけで、webデザイナーさんがescapeを忘れちゃったり間違えて取っちゃったりする可能性ってのは十分あるわけです。

このあたりの危うさを考慮すると、テンプレートシステムではデフォルトでエスケープするほうが安全だし、コードの量も減るでしょうね。

関連記事

]]> http://www.ryo.com/2006/08/07/251/feed/ 6 あなたのブログペットが勝手に売り子になる日 http://www.ryo.com/2006/08/06/250/ http://www.ryo.com/2006/08/06/250/#comments Sun, 06 Aug 2006 17:57:05 +0000 りょすけ http://www.ryo.com/ryo/?p=250

「ブログアクセサリー」にハマる人たち
http://www.itmedia.co.jp/enterprise/articles/0608/04/news061.html

ブログアクセサリーがブログの記事中の言葉を勝手にしゃべるらしい
それぐらいなら気の利いたギミックで済みそうだが、なんとそれが広告に使われるというのだ

これ、ブログオーナー側にコミッションが発生するならともかく、勝手に広告に使われるってのならけっこうケシカラン事態だけどな
著作権的にもだし、景品表示法や特定商取引法あたりも、けっこうやばそうだよね

自分で
『最近早寝早起きで、ちょーちょーちょー調子いいわよ〜ん』
なんて書いた文章が勝手に広告に使われて、それが怪しげな健康食品にリンクされるとしたら・・・ゾッとするねぇ

記者にそーいう着眼点がまったくないのが平和な感じでいいです

まあ何もこんな心配しなくても、記事中に現れる『彼女たち』は、
「なに〜?ウチの子がへんな広告はじめちゃった〜!チョーウザー!」
ってなったら外しちゃうんだろうけどね

気になるのは、この記者、過去に

あなたのBlogは誰のもの
http://www.itmedia.co.jp/enterprise/articles/0411/29/news023.html

なんて記事もかいてることだ
# なんでこんな記事も書けるのに、こんな能天気な記事も書けるのだろう。プロってのは恐ろしいな

ブログサービスだけでなく、ブログアクセサリサービスの規約にもきっちり目を通したほうがいいのかもしれない

けどきっと、大抵のブログアクセサリサービスの規約なんて、ロクにまとまった文章になってないだろうし、どこかからのコピペだったりしそうだけどね

そのへんは何か問題が起こってから、ちょびちょびと整備されていくんでしょうな

関連記事

]]> http://www.ryo.com/2006/08/06/250/feed/ 0 md5とさよならしよう http://www.ryo.com/2005/11/19/138/ http://www.ryo.com/2005/11/19/138/#comments Sat, 19 Nov 2005 22:57:24 +0000 りょすけ http://www.ryo.com/ryo/?p=138

MD4/MD5 コリジョンの実証コードが公開(slashdot.jp)

phpコードの中でも、死んでしまったmd5とは可能な限りさよならしましょう

パスワードの保存にハッシュ関数をつかっているか確認し、md5関数の変わりにsha1関数を使うようにしましょう
RDBMSで、md5()でつくった16進32文字をに保存するフィールドがchar(32)になっているなら、sha1()でつくられる16進40文字を保存できるようにchar(40)に拡張しましょう

セッション処理の識別子にmd5で生成したIDをつかっている場合、可能ならsha1を使用するように移行すべきです
PHP5の場合、session.hash_function に1を設定するとsha1を使用するようです
詳しくはマニュアルのセッション処理関数の章を見てください

関連記事

]]> http://www.ryo.com/2005/11/19/138/feed/ 2