カレンダー

2004/9
2627282930  
2004/10
     12
3456789
10111213141516
17181920212223
24252627282930
31      
2004/11
 123456

最近の記事

RSS

最近のコメント

月別アーカイヴ

カテゴリー

Blogを公開している友人

公開所属グループ

プロフィール

a person powered by ototoy blog

モヘンジョだろ!!

2004年10月

2004年 10月 28日

Vin Itariano 

白トリュフ祭。Messorioが高価だったので、Scrio 1999にしました。年一だけど、こういうのはあった方がいいと思った。

| Posted By nt 投稿日: 2004年10月28日 1時49分 更新日: 2004年10月28日 1時49分

コメント

ええもん食ってはりますなあー。
いいなあ白トリュフ。どうやって食いました?
トリュフときいてカラスミが食いたくなった私です。
by ほんまり - 2004年10月29日 13時49分
えーと、

牛のカルパッチョ
ポーチドエッグ
タリオリーニ
...次のメインの皿に載ってたものを忘れてしまいましたが、そんな感じのながれで、全部白トリュフがグワーとかかってました。

ボジョレーヌーボーとかと違って、実際、卵とかタリオリーニとの組合せは絶品なので、もう、毎年食べないと気が済まない状態に陥ってますが、実際毎年食えるかどうかは微妙です。お金かかるし...
by nt - 2004年11月1日 15時4分
私も 鮫の心臓は チョーうまかった!
と声を大にして言いたい!!
カルパッチョのオイルもよかった!!!
by ほんまり - 2004年11月4日 12時10分
name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 28日

IPA 

親切にもIPAに脆弱性の報告をしてくださったかたが複数いらっしゃるようで、昨日、今日とメールでの連絡が相次いだ。不思議なことにIPAからの連絡は午後一発だけで、いくら即答しても、その返答は翌日の午後になる。しかも、結構人手をかけて一件々々処理してる感じがする。というのは、本当なら完全に機械化されていてもいいはずのインシデントの項目が、一回目の報告と翌日の詳細報告で微妙にずれてたりするから、どういう障害なのかいまいちはっきりしないなぁ、と報告を受けた方はプチ混乱するような処理だったりして、ちょっとポポえましい。

とりあえず、XSSとSQLインジェクションは現状、ほぼ大丈夫な状態になってると思います(完璧と断言できないのがつらいところですが)。少なくとも発覚してるものは全部ふさいています。あたりまえですが。

| Posted By nt 投稿日: 2004年10月28日 1時47分 更新日: 2004年10月28日 1時47分

コメント

name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 25日

カード情報についてその2 

http://www.mahoro.net/memo/?200410c&to=200410240#200410240

に追記がありましたので、捕捉します。

まず、暗号化はシステム稼働最初期から間違いなく行っています。

Brute Force攻撃について懸念されているようですが、エンコードするときのアルゴリズムを「ブロック暗号化方式」としか明かしてないこと、暗号化するときのbit長が充分に長いことを根拠に耐性は充分にあると考えています。

| Posted By nt 投稿日: 2004年10月25日 19時15分 更新日: 2004年10月25日 19時15分

コメント

name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 23日

カード情報について 

http://www.mahoro.net/memo/?200410c&to=200410221#200410221

に、推測に基づく言及があり、現状で事実と異なる結論に達しているため、事実を書きます。

カード情報は、秘密鍵を使ったブロック暗号化方式でエンコードされた上でDBに格納され、オーソライズおよびチャージの度にデコードされ、処理されます。カード情報の書き換え以外では、平文の情報がWebページのフォームなどにそのまま記載されることは無いため、秘密鍵が漏洩しない限りカード情報を不正に取得した人がその情報を復元することは不可能です。カード情報の書き換えはSSL経由で行われるので、通信経路上で平文のカード情報が流れることは一切ありません。パスワードはデコードの必要がないため、一方向関数でエンコードされています。

お知らせで、カード情報とパスワードを一緒に書いてしまったために混乱を招いたようですね。必要があれば、この文章の説明部分(上のパラグラフ)をそのまま、お知らせに使っていただいて構わないです。> 各位

| Posted By nt 投稿日: 2004年10月23日 8時58分 更新日: 2004年10月23日 9時55分

コメント

そのカード情報用秘密鍵というのはシステムグローバルな秘密鍵でしょうか。ユーザローカルな秘密鍵でしょうか。

まだクレジットカード情報入れてないんで挙動がわかってないんですが、この場合のユーザローカル秘密鍵はログイン用パスワードとは別物なんでしょうか?

お忙しい中申し訳ございませんが...
by next - 2004年10月23日 22時56分
秘密鍵を使っているということで、バレる手がかりになる要素情報をなるべく出さないほうがいいんじゃないかなぁなんて思ってるので、秘密ということにさせといてください。ただ、結構凝ってます。
by nt - 2004年10月25日 18時37分
name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 22日

コスメティック 

そんなにおかしいかなぁ。コスメティック。普通に使うんだけども。もしかして、聞いた人は皆、プとか思ってるんだろうか。

えーと、クレジットカード番号を取得できるかのようなカキコが2ちゃんねるにありますが、とれないです。抜けるんだったら僕の番号を抜いてみてください。Cookieを元にもどしてもいいですよ。

(訂正および追加: 上記「抜いてみてください」は大人げない発言でした。えぇえぇ。すみません。今回祭(これも他意はないです)になったことを謙虚に受けとめ、精進したいと思います。)

| Posted By nt 投稿日: 2004年10月22日 3時44分 更新日: 2004年10月22日 18時48分

コメント

はい、プ。と思っています。

コスメティックという単語の選択を笑われてるとお考えなら違いますが。

コスメティックというのは純粋な見栄えという意味での、デザイン面の修正を指しているのですよね?
(それが違うのであればコスメティックという単語の選択が可笑しいです)

それはつまり、デザイン面を変えたら根本的なコントロール部分が「おかしくなる」という、「脆弱性が問題になる部分を集中管理」していたら起きない話を堂々とされているので、正直「プ。」と思った次第です。

デザインとロジックがごた混ぜの設計をしてるって語ってるようなものではありませんか?

また中の人を明言されているのであれば、攻撃許可にも取られかねない発言をされるのは得策ではないと思いますが如何でしょう。
by 如星 - 2004年10月22日 15時27分
上記記事の「おかしいなぁ」というのは日本語のコスメとcosmeticの対比についての感想です。

元々の記事の意図は、ご指摘の通りまともに考えるとおかしいんですが、フレームワークを作りつつ、個々のロジックを作っていたので、デザインの都合上、出力フィルタの順番を変えるということが起こってしまいました。

最終段のフィルタのタグ除去部分がそのどこかの時点で^Kされてたようです。

攻撃許可ともとれる発言は確かによくないですね。訂正しておきます。
by nt - 2004年10月22日 18時45分
name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 20日

ほらねちぇっく 

<ほらね>ほらね</ほらね>

| Posted By nt 投稿日: 2004年10月20日 2時33分 更新日: 2004年10月20日 2時33分

コメント

わー!
直った直った!安全すぎる!

とりあえずこれ買って
後ろの方にあるセキュリティに関するセッション読んで下さい。

http://www.amazon.co.jp/exec/obidos/ASIN/4844320254/anotale-22/ref=nosim

全部作りなおした方がいいですよ。マジで。
by undefined undefined - 2004年10月20日 12時33分
いくつか質問させてください。
1.クレジットカード情報を含む重要な個人情報を扱っている Web システムで多数の XSS 脆弱性などセキュリティ上の問題を抱えているにもかかわらず、現在も正式版として公開しつづけている現状についてユーザに対する情報公開がありませんが(あるいは見つけられませんでしたが)今後も同様に脆弱性情報を秘匿しておく予定でしょうか?
2.公開前のテストでセキュリティに関するテストは行いましたか?
by 退会者 - 2004年10月20日 20時59分
まあ、色々僕も言いたいことはあるんですけど、中の人としては申し訳ない限りです。以下、個人として発言します。

全部作り直しても今の体制だと多分同じ状況になるんではないかと。

そして、作り直しということで言えば、実は一度まるごと作り直しをやっていて、そのおかげで時間が足りなくなったということもあります。

そして、この手の苦言は、僕だけに向けるよりもinfo@recommuni.jpに投げた方が効果があるかと。

んで、上の質問の1ですが、社としての方針は今後決まると思います(つまり障害情報、不具合情報をどこまで公開するかはまだ決まってません)が、個人的には全部公開すべきだと思っています。

2は、タイミングによって微妙に答えが変わります。脆弱性が問題になる部分を集中管理して、リスクを下げる設計にはなってて、要所要所でチェックをしてるんですが、肝心な部分の仕様変更がコスメティックな理由によって行われたりした結果、昨日のような局所的祭りが起こりました。

いずれにしても知らせていただいた方には感謝しています。今後ともよろしくお願いします。<(_ _)>
by nt - 2004年10月21日 1時16分
name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 15日

寿司寿司 

今日は寿司を食いますた。うに多め。

| Posted By nt 投稿日: 2004年10月15日 23時15分 更新日: 2004年10月15日 23時15分

コメント

ちょっと溶け過ぎ感が。。。
by でんわ - 2004年10月19日 16時31分
name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック

2004年 10月 13日

腹減った! 

お腹がグー!

と書いた3時間後にはプラチナポークの黒酢ソースグリルを食ってました。

| Posted By nt 投稿日: 2004年10月13日 21時38分 更新日: 2004年10月14日 3時18分

コメント

name:
comment:
【コメントに関する注意事項】
記事と全く関連性のないコメント(例:宣伝目的のコメントスパムなど)は、オーナーの判断により削除される場合があります。 - レコミュニ会員としてコメントする

トラックバック