CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。
スライド中の「CMS四天王」のチョイスは徳丸さんのものをいただきました:-D
Enigmailの脆弱性(CVE-2014-5369)は1.7.2で修正されましたが根本的な問題が残っています
積んでしまっていたブログネタの消化ですのでパパッと書いてしまいます。
PGP、使ってますか?
皆さんはPGPを使っていますか?メール等のメッセージを暗号化したり、ファイルに署名ができたりするソフトウェアです。IPAへのセキュリティに関する届出・相談で用いたりします。PKIのようなお堅い仕組みがなくても利用できるので、手軽にセキュリティを高めることができます。
Enigmailの脆弱性
Mozilla ThunderbirdでPGPをシームレスに使用できるアドオンがEnigmailです。今年、これに脆弱性(CVE-2014-5369)が発見されました。メールを暗号化したときにBCCの受信者へは平文を送ってしまい、BCC受信者の通信内容盗聴等によってメッセージの内容が漏えいするというものです。ご利用の方はアップデートを。
この脆弱性は現在の最新バージョンである1.7.2で修正され、BCC受信者にもメッセージが暗号化されて届くようになりました。しかし、これで問題が解消したわけではないと考えています。
Internet Explorerを無効にする方法&Thunderbirdでリンククリックでブラウザを開かない方法
Internet Explorer 6から11が影響を受けるゼロデイの脆弱性が発見されました。
- JVNVU#92280347: Internet Explorer に解放済みメモリ使用 (use-after-free) の脆弱性
- IE6~11に影響のあるゼロデイ脆弱性、すでに標的型攻撃も確認 -INTERNET Watch
- IEのゼロデイ脆弱性、攻撃回避策の手順をマイクロソフトが説明 -INTERNET Watch
対象バージョンにWindows XPに搭載されている6も含む事で、Windows XPから最新OSへの移行が進むことを期待します。
WebブラウザはInternet Explorer以外にも多々ありますので、「いっそIEをやめる!」と決意した方のために、Internet Explorerを無効にする方法をご紹介します。また、Thunderbirdのみですが、メール内のリンクによる細工されたHTMLへの誘導を防止する方法もご紹介します。
mixiのAndroidアプリに入った広告の表示が紛らわしい[追記あり]
[追記が5件ありますので、続きからどうぞ]
昨日夕方にmixiのAndroidアプリを使用していたところ、こんな画面になりました。
状況はTwitterと連携していたmixiボイスに対してコメントが来たため、さらに返信しようとしたところです。IME(ATOK)のキーボードの上にケンタッキーのロゴとともに「プレゼントが届きました!タップして、プレゼントをGetしよう!!」という広告と思われるものです。
なんだこれ?と思ったら消えてしまいました(上のスクリーンショットはアプリ起動を繰り返して再現しました)。文字入力をしようとテキストボックスをタップしてキーボードを表示させたところです。キーに重なっているのでうっかり広告をタップするところでした。
気になったのは、何がこの広告の表示を行っているかというところだったので、右上の水色で書かれている「coudec」をWeb検索してみました。株式会社ミクシィマーケティングによる収益化プラットフォームです。よくある広告主とアプリ開発者をつなぐサービスですね。
さて、問題にしたいのは表示方法です。一言でいうと、「そこでいいの?」です。
ちょっと色分けしてみました。お前何者だっ。
懸念としては2点くらい。どちらもユーザーの混乱を招きかねないものです。
- IMEのキーボードをはじめとした、各種ユーザーが行った操作により今の画面の上または一部を占有して表示されるUIの誤操作
- 今回のこの表示はユーザーが意図したものではない
- タイミングによってはユーザーは広告をクリックする場合がある
- UIが切り離されることにより、そのUIの表示者が不明確になる
- 最初はATOKが出している可能性も考えました
- Webではフィッシングに近い?
Webページの場合、広告は広告であるとわかるという点が安心してWebサイトを回れる条件のひとつになっていると思います。アプリも同じですよね。
今回は広告の表示方法に関する話題でした。
Windows8起動後にネットワークにつながらない時の対処方法
Windows8の深夜販売に行きました。もちろん、DSP版とアップグレード版のパッケージ両方を買って、アップグレード版をメインマシンに入れて使用しています。入れたマシンは割と古い(Core i5 650+8GB)ですが快適に使えています。
デスクトップならロジクールのタッチパッドt650(Amazonへ
オープンソースカンファレンス2012 Tokyo/Fallに行ってきました #osc12tk
多摩モノレールは10年ぶりくらいでした。昼過ぎに行ったので、さらっと回ってきました。
自宅ラック友の会。OpenFlowスイッチです。ラックだけで130kgあるそうです。
Future Varsatile Group/MyDNS.JP.
Raspberry PiにArduinoをつなげて、ArduinoのI2Cの先のPICに付いた各種センサやアクチュエータを扱うデモ。
日本Apache Camelユーザ会。
フィギュアと色紙が飾ってありました。
UltraMonkey-L7プロジェクト。
ほか写真のないもの
自宅ラック友の会。OpenFlowスイッチです。ラックだけで130kgあるそうです。
Future Varsatile Group/MyDNS.JP.
Raspberry PiにArduinoをつなげて、ArduinoのI2Cの先のPICに付いた各種センサやアクチュエータを扱うデモ。
日本Apache Camelユーザ会。
フィギュアと色紙が飾ってありました。
UltraMonkey-L7プロジェクト。
ほか写真のないもの
- Linux-HA Japan Project:HA構成の片方のネットワークケーブルを抜かせてくれました。写真をお見せした高良姉妹の髪飾りはG+の投稿があります。
- LibreOffice 日本語チーム:CDと活用情報。おじさまに渡したBF-01DステッカーはDrawで作りました。
- 小江戸らぐ:「Linux USER」の新刊頒布
- お名前.com:アンケートに答えてVPSが60日間無料
- blanco Framework:Excelブックからコードができるフレームワーク
- クラウディアの名刺をいただきました
Bouncy Castle C#でCamelliaを使用する
NetWalkerのUbuntuのサポートについて
今年の2月にYahoo!オークションで買ったNetWalkerに搭載されているUbuntu Linux 9.04のサポートについて、本日のシャープの「ユーザーズネット通信」にあったのでメモ。
アップデートの内容があいまいですが、サポートはされるのでとりあえず一安心です。
でも10.04 LTSに公式にアップデートして欲しかったなぁ。
日経Linux 2010年3月の特別企画「NetWalkerのmicroSDカード・スロットから他のディストリビューションを動作させる」の記事は持っているので、他のOS起動にも挑戦してみようと思います。
NetWalker PC-Z1/PC-Z1J/PC-T1搭載のOS 「Ubuntu 9.04(ARM版スマートブックリミックス、シャープカスタマイズ版)」につき、本製品を継続してご利用いただくために、Ubuntu 9.04の重要なセキュリティアップデートを 2012年5月まで定期的にご提供させていただきます。Ubuntu 9.04はLTS版ではないので、Canonicalのサポートがもう切れているんですね←この辺正確に把握していない。
アップデートの内容があいまいですが、サポートはされるのでとりあえず一安心です。
でも10.04 LTSに公式にアップデートして欲しかったなぁ。
日経Linux 2010年3月の特別企画「NetWalkerのmicroSDカード・スロットから他のディストリビューションを動作させる」の記事は持っているので、他のOS起動にも挑戦してみようと思います。
Office Outlook 迷惑メール報告アドインを試してみた
PC Watchのアップデート情報に載っていたので使ってみました。Office Outlook 2007/2010に対応するアドオンです。
実際に受信トレイに来た迷惑メールを報告してみます。報告ボタンを押してみると、
確認ダイアログが出ます。「はい」をクリックすると、Outlookの既定のアカウントで、迷惑メールを添付したメールがマイクロソフトへ送信されます。
数分後、送信したアカウントあてにこんなメールが返ってきました。
件名:Spam Submission
Junk E-mail Reporting Tool を使用することにより、マイクロソフトおよびその関連会社に迷惑メールを直接報告することができます。この情報は、迷惑メール フィルター テクノロジの有効性を高めるための分析に役立てられます。インストールすると、Outlookに「迷惑メールの報告」というメニュー/ボタンが追加されます。
実際に受信トレイに来た迷惑メールを報告してみます。報告ボタンを押してみると、
確認ダイアログが出ます。「はい」をクリックすると、Outlookの既定のアカウントで、迷惑メールを添付したメールがマイクロソフトへ送信されます。
数分後、送信したアカウントあてにこんなメールが返ってきました。
件名:Spam Submission
This is an automated reply from the Microsoft Forefront Online Security, Spam Analysis Department. No additional correspondence will be sent to you.
We appreciate your spam submission. You will receive this auto-reply message only once per day if you submit multiple emails for evaluation in a 24 hour period. Additional information is as follows:
* Spam submissions are processed seven days per week with new spam rules pushed out continuously. Time frames for rules on individual submissions vary depending on the quantity and quality of submissions.
* As new spam rules are set globally for all customers, please be aware that not all individual spam submissions result in a new spam rule.
* It is critical that when reporting spam that full Internet headers are included. This may be done by sending the offending message as an attachment along with the full original Internet headers; OR by using the Junk-Email Plug-In (as made available for some Outlook 2003+ users depending upon your organization).
*In order for automated spam processing to take place, spam submissions should be sent in individually. Please do not forward multiple spam mails in one individual message.
Thank you for assisting us in controlling unwanted email!
Microsoft Forefront Online Security
Windows 7移行メモ
私が入れたのは64bit版Professionalです。
#Say hello to Windows 7.
[追記]
- QuickLaunchがなくなったので、Wacky Launcher導入。結構便利。
- ただ、NicoCacheが動かなくなったのでNicoCache.batのjavaをフルパスで記載。
- IrfanViewがインストールできるが動かない。プロセスは走るがすぐに落ちる。
- Office IME 2007が悪さをしている?
- ということで画像ビューワを探さないと...
- Eclipseは64bit版が必要。参考にしたサイト:Windows 7 RC 64bit に java と eclipse をインストールしてみる
- WebDAVがVista同様使い勝手が悪いのでCarotDAVを導入。
#Say hello to Windows 7.
[追記]
- 以下はWindows XP Modeで動作確認