Menu

Site Top

Blog Top

Tool Top

Contact Us

Site Search


Profile

Name
Masato Watanabe
Twitter
@mwsoft_jp

2009年12月22日

日記的なもの

その1

忘年会ウィークが終了。これで今年の飲みはあと1回。先週はあまりプログラム書けなかったので、今週はちゃんとせねば。

今週は仕事でThe Thingというか未知との遭遇というか、使ったことのない得体の知れない物を使ってプログラムを組まないといけないみたいなので、帰宅時に体力を使いきってそうな気もします。

新しいものに触れるとつい熱中してしまい、気がつけば定時をとうに過ぎ家に帰る頃には疲労困ぱい、とかいう状況ってよくありますよね。まぁ、今日は見事にそんな1日だったわけですが。


その2

先週、忘年会帰りに酔っ払って書いたブログの記事が恐ろしく閲覧数を稼いでいて怖くなった。はてなのブックマーク数は1300を超えていて、「なんか間違ったこと書いて晒し者になってるのか?」と思ったけど、どうも怒られているわけではなさそう。

文章が酔っ払っていたり、いろいろ書き忘れたこともあったりするので、後で書き足さないと。

「セッションハイジャック」、「メール送信機能のスパム化」の2つは必要ですね。「セッションフィクセーション」とかは今も考慮する必要はあるのだろうか。「古いバージョンのWEBサーバやAPサーバを使用」なんかも脆弱性になるけど、なんて書けば良いのだろう。「IIS4を使っている」とか書けばあるインパクトはあるけど。

連休に入ったら適当に追記します。たぶん。きっと。もしかしたら。


その3

セブンネットショッピング(旧セブンアンドワイ)の脆弱性に関する話をいろいろ追ってみる。何度か買い物したことがあるので、自分の情報が漏れていてもおかしくない。プログラマなのに買い物した時に気づけなかったことを恥ずかしく思う。

簡単にまとめると「価格の誤表記」「セッション管理の不備」「XSS」「ソースコードの流出」「脆弱性は対処済みで情報漏えいもないという報道」「XSSはまだ残っていた」という流れになっている模様。ITMediaの記事で脆弱性があったことについては認める発言が出ている。

【参考URL】
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も「個人情報流出はない」
http://www.itmedia.co.jp/news/articles/0912/18/news100.html

セブンネットショッピング、会員の個人情報がダダ漏れ(カジ速)
http://www.kajisoku.net/1/archives/eid251.html

セブンアンドワイ、Google検索で個人情報が丸見えだった模様(カジ速)
http://www.kajisoku.net/1/archives/eid272.html

セブンアンドワイ、XSS脆弱性が見つかる(カジ速)
http://www.kajisoku.net/1/archives/eid261.html

セブンアンドワイ、今度はソースコードを流出させる(カジ速)
http://www.kajisoku.net/1/archives/eid284.html

セブン「XSS脆弱性はもう対策した(キリッ」→即XSS脆弱性が見つかる(カジ速)
http://www.kajisoku.net/1/archives/eid293.html

2chの書き込みをそのまま信じると、100以上漏れているように見えるが、ブラフが混じってる可能性も高いので何件の漏洩が発生したかは特定出来ない。

数百〜数万のような大規模な情報漏えいが起きたかと言われると、その隙はあったように見えるけど、実際に攻撃がされたかどうかはログを見ないと分からないし、そういった調査は実際に被害がが発生してからしかやらなそうなので、今のところは「なかったんじゃない?」というステータスとして捉えておきたい。

セブンくらいの規模の企業でこういう話を出されると、買い物はもうAmazonだけでいいやとか思ってしまいますね。まともなところもたくさんあるのだろうけど、安全かどうか調べるのも時間かかるし、エクスプロイドコード書くのも不正アクセス法的に大丈夫か毎回気にしなければいけなくて面倒だし。


その4

最近、人間の理性というものに対して疑いを持つようになってきました。

脳の本を何冊か読んでから、本に書いてあった内容を参考にして自分の行動が流れる先を監視したところ、どうも私の脳みそは理性的に考えているように見えて、目の前にある報酬の中で到達しやすいものに流れていっているだけだという印象を受けました。

直近で何らかの報酬が発生した現象に対して、自分の行動がフラフラと流れていく動きを何回か確認できました。まぁ、それを確認しているのが自分の脳という時点で、この解析結果の妥当性は無いも同然なわけですが。

性行為はプログラミングを邪魔すると自分が感じていたのは、報酬という要素で説明が付くような気がします。性行為は人間が一番流れやすい報酬であって、それを繰り返して行ってそっち方面に対する流れが強化され、その分、プログラムを組むことに対する流れが減退するのではないかと。


その5

若い頃の苦労は買ってでもしろ、という言葉がありますが、アレは嘘ですね。

歳とってからも苦労は買いまくった方が良いです。さすがに70過ぎて「そろそろリタイアしてゆったり過ごすか」と考えるようになったら、もう買わなくても良いかもしれませんが、それまではキャパが許す限り苦労はしておいた方が良いなと、そんなことを思いました。

海ほたるの駐車場で車の中に入れられて<自主規制>とか、割とスレスレな経験をしてきたお陰で、身の危険を感じるような状況になっても受け流せるようになったし、月300時間働いた経験があるから身についた体力温存法というのもあるし。

というわけで、最近少しゆるい時間を過ごしていたので、どこか修羅場を探しに行きたいなぁなどと思っていたり。
<< 知らなかったらNGなWEBアプリケーション脆弱性一覧 | TOP | 今日はクリスマスイブらしい >>