SweetBox Blog(http://sweetbox.ws/ 停止中・・)っていうのがあったんですが、去年8月頃のハードウェアトラブルをきっかけに夜逃げ同然に無くなっていたことが判明。
って、ついさっきようやく僕が知ったってだけですが。
以前エントリーした時から、どうも怪しいと思っていたんですが、案の定でしたか。
と同時に、そろそろBlog界隈も一回りしてしまって、淘汰の波が徐々に現れてくるんでしょうか。不気味ですね。
# Seesaaはガンバってね!
トラックバック頂いて気付きましたが、naoyaさんとかishinaoさんといった大御所の皆さんに先日の記事内容について、かなーり叩かれているみたいです。
naoyaさんとこのコメントなんかでは「指摘した人のオナニーのようなw(記事)」とか言われちゃってますし(泣
などと多少なりとも落ち込んでしまったので、おちゃらけで書き始めてしまいましたが、まずは色々ご意見ありがとうございました。
お二人の記事やコメントを拝見するに、「この程度のことを脆弱性と呼んで騒ぎ立てるな!」ということだと一応読ませて頂きました。
何が脆弱性で脆弱性とは言わないかは定義の問題でもあり、私の理解が間違っているなら訂正します。
私の理解ですが、ある別の脆弱性によって始めて発現する弱点があり、それがユーザーに不利益を被る可能性があるのであればそれを脆弱性といって報道などで喚起されても特に違和感は感じません。
一つには、たった一つの弱点によって攻撃がされることもあるでしょうが、複数の弱点が組み合わされて突かれるケースも結果としては同じことだからです。つまりこうした個々の表面化はしない可能性もあるリスクを一つ一つ取り除いていくのがセキュリティ確保の基本的な考え方でもあります。
次に、これを発現する元となる脆弱性(ここではCSS/XSS)はこれまで何度も様々な原因で問題となってきており、一般的には今後も同様の問題が出てくる可能性は高いと考えるべきでしょう。若しくは未だ対処されていない場合もあるやも知れず個々のユーザーでは既に条件を満たしているかも知れません。
三番目として、今回の場合はよりセキュアと広く理解されている手法は採用されておらず、次善策以下が積極的に採用されるのに理由が無いからです(アーキテクト上不能、などのケースはあるかも知れませんが)。この場合ユーザーへのインパクトはより大きくなる訳で、これをもって、より脆く弱い性質を保持していると理解しても差し支えないように思います。
同じ理由により、「POP3でも平文パスワードが流されている」といった類例は成り立たないと考えます。
とは言え所詮これは言葉の定義の問題です。
大多数がどのように理解するかなので、お前ごときがミスリードするな、と言われればそれは確かに(^^; その時は引っ込むようにします。
但し、故に「何が事実か」が十分に語られて個々の判断に足る情報が出来る限り得られることこそが重要と思っていますし、それが先の記事を結局書くことにした理由でもありました。
また簡単な感想なのですが、
「Webアプリケーション作るならセッション管理にはランダムなセッションIDぐらい使わないとなー」とか、「一応気付いたことがあったらベンダーに報告ぐらいはしておこう」というのは今日びの一般的エンジニアとしてはごく普通の感覚かとは思うのですが・・。
感性ずれてるでしょうか?私??
# なおPerlの件はセッションIDの取り扱い方について言語間で差異があるのかなという純粋な感想でしかないです。馬鹿にしたように読めてしまったとしたらすみませんでした。
今回のような件は私も初めてだったもので、考えることも多々ありました。
同様に、またご意見頂ければ嬉しく思いますので、宜しくお願いします。
実は今年の2月頃のことですが、Movable Type 3.15を使っていた際に所謂セッション・ハイジャック脆弱性と思われる挙動を見つけてしまいました。
シックスアパート社とJVNにそれぞれ詳細とともに通知していたのですが、これが公表されたようです。
JVN:
Movable Type におけるセッション管理の脆弱性
シックスアパート:
【重要】 第三者による不正アクセスを許す危険性の対策について
こうした脆弱性がしっかりと公表され、(まだ現行の日本語バージョンではFIX版が提供されていないようですが)対処がされるのはよいことなのですが、上記の公式情報などでは詳細があまり触れられておらずユーザーに具体的なリスクが分からないようにも感じます。
少しまだ早いかなと迷うところもあったのですが、ベンダーによって告知もされたことですし一部誤った理解をされている方々もいらっしゃりそうなため、通報者として具体的な脆弱性内容を明記して啓蒙させて頂こうと思います。
少し最近このBlogのサイドバーをごにょごにょ弄っていた訳ですが、その中でちょっと面白いツールを見つけたので紹介してみます。
Syndication Subscription Serviceという要するに「Feed購読統合サービス」とでも呼びましょうか。
作者はMorten Frederiksen氏。
簡単にイメージするには下のリンクを押してもらうと話が早いのですが、
![[Syndication Subscription Service]](http://www.rocaz.net/xml-subscribe.png){kind=small}
観測気球さんから
Blog Pet 投稿支援ツール 「ここうさぎ」 Ver 2.00
(1) アメーバブログも XML-RPC API が使えることが判明したので、XML-RPC API を使って投稿するように書き直してみた
とのこと。
公開された情報が無かったのでXML-RPCエンドポイントURLが判らなかったのだけど、勘でURLを叩いてみるとあっさりと判明。
ちょっと試してみましたが、これはアメーバブログの元になっているらしいNews-Handlerそのままですね。
とある件で某社に問い合わせ中。でも問い合わせてから二週間になるんだけど、最初の返信以来何の連絡もなし。
むむ。どうしたものか。
そんなに簡単な話では無いと思いますが、影響度を考えれば出来るだけ早めにWork Aroundなりも提示した方がいいと思うのだけれど。
多分僕だけじゃなく、気付いている人は気付いているはずです。
どんなものでしょう > 某社殿
各地で波紋中。
悪徳不動産屋の独り言
専業主婦の逆襲
column@管理人室
海外鉄道旅行愛好者
などなど・・。
順に読むと大体分かると思いますが、簡単にまとめると「出来レース疑惑」と「応募者の神経を逆撫でする態度and真剣に審査しているのか?疑惑」といったところでしょうか。
中にはノミネートサイトの間での罵倒みたいな動きも見受けられ。普通に読んでた分には面白かっただけに残念です。
泥沼のようで何が悪かったのか部外者にはよく分かりませんが、仮にこれがありがちな文学新人賞なんかだと普通にスルーされて文句を言っても電波扱いされただけでしょうが、その結果にストレートに反応(反論?)できるというのもBlogならではでしょうか。
かくいう僕も某SEOコンテストの結果発表なんかには(全然自分は関係ないくせに)かなり不満を感じてたり。
コンテストをこれまでのコンテストと思ってコンテストするとコンテストには足りえず。(^^;)
従来の当たり前に思っていた力関係とか暗黙の了解みたいなものは通用しないという、ネット界隈は難しくなってきた気がひしひしとします。
BulkFeedsさんのTools ShareグラフにおけるMovable Typeの2月に入ってからの伸びが何故かすさまじい。
3.15効果かな??みんな感想記事でも書きまくってるんでしょうか??
はたまた、もしや今度はスパムPingが可能になる脆弱性が潜んでいたとか(w
ついでに、ついに記事Ping数でヤプログ!がはてなダイアリーを抜いて1位になってしまいました。
反面、2chのヤプログスレでは激重祭りのようですが・・。
追記(2/8)
今日グラフを見たら普通に直ってますね。どうも集計ミスだった模様。
なーんだ・・。
クリーンインストールで早速試してみたんですが、XML-RPCとかは全然問題なく動くものの、何故か日付表示がおかしいな・・。
テンプレートを見てみると、<$MTEntryDate format="%x"$>
となってるところが、全部月が表示されなくて、日, 年とかになってる気がする。
いつの間にか何か変ってましたか?気のせい??
もう眠いから、明日にしようっと・・。
追記:
デフォの「日付用の言語」が「チェコ語」・・。がっくし。。
機能についてはINTERNET Watchが一番詳しいみたいですね。
INTERNET Watch: Yahoo! JAPAN、最大2GBまで画像投稿が可能な「Yahoo!ブログ」ベータ版
画像が最大2Gまでなのは他のBlogサービスに比べて大きなアドバンテージですが、アバダーや訪問者履歴、「傑作」ボタン機能(要するに拍手ボタンかな)、人気度(livedoorのポイント?)なんかは他Blogの真似と呼ばれても仕方ないものばかり。
満を持しての登場かと思っていただけに、ちょっとがっかりですね。
ついでに、XML-RPC機能やAtom PPなどのインターフェースに対応していないのも残念。
まだまだベータ版なので今後に期待というところもありますが、実を言うとYahoo!こそがこの一年で出来上がった現在のBlogの「形」を崩してくれるんじゃないかな、などという期待をしていた部分もあったんですが。
予想外にオーソドックスで逆にびっくりという感じです。
# とは言え、以前の記事にも書いた通り、実のところはこうした大手のオーソドックスで無難なサービスが一番受け入れられることになるんだろうなとは思う訳ですが。
Powered by WordPress.
Template based on praegnanz.de.
![[Atom]](http://www.rocaz.net/pic/feed-icon-blue.png){kind=icon}
![[RDF Site Summary 2.0]](http://www.rocaz.net/pic/feed-icon-red.png){kind=icon}
Recent Comments