はてなブックマーク

■ [Caml] Printf.printf の話 OCaml のフォーマット文字列の話題が熱い（？）ようなんで、参入。 Camlspotter さんの「Oh, you `re no (fun _ → more)」*1 の 「OCaml 標準ライブラリ探訪 #3.0」 から。 この手のマニュアルじゃないライブラリの解説ってなかなか見ない気がするので、連載の続きに期待しています。 ただ、連載のお品書きを見ると、フォーマット文字列の中身の方には踏み込まないようなので、 せっかくなのでそちらについて、いくつか便利なものの使い方の紹介でもしようかと。 というわけで、Caml に興味のない人にはまた全く意味のわからない濃い話でスミマセン。 OCaml の printf/scanf のフォーマット文字列は、いわゆる C のフォーマット文字列から色々と拡張されています。 そのうちのいくつかは日常的に便利

■ [Misc] 怒涛 うわー、なんか無茶苦茶忙しかった……。 とりあえず2件の発表を終えました。やること溜りまくりですねぇ。 ■ [Work] Fail-Safe C release 1 公開 というわけで、1つ目の発表は Fail-Safe C の正式版公開 です。 最初に函館で発表したのが2001年のJSSST大会*1 で、かれこれもう7年もかかってしまいましたので、プレスリリースは自分なりの1つの纏めとケジメのつもりです。 協力して頂いた皆様、本当にありがとうございました。 Slashdot をはじめいろいろ連絡とかバグレポとかフィードバックを頂いた皆様、対応が遅れていてすみません。 有難く早急に取り組ませて頂きたいと思います。 Fail-Safe C の研究を始めるに当たって「C言語を対象にする」と決めた時点で、 実用に供するというのは大前提の1つです。これからも Fail-Sa

■ [Security] 放棄ドメインによるフィッシング 『毎日新聞: ドリームキャスト：「持っていますか」“偽サイト”が開設　セガ、注意呼びかけ』、タイムスタンプ付のヤフーの記事 (21時46分配信)。 かつてセガが公式サイトとして用いていて、放棄されていた dreamcast.com が 再取得され、偽サイトが立ち上がっている模様。user.dreamcast.com の メールアドレスが取得できると謳っているが、セガ曰く同社との関係がないとのこと。 今日の昼頃にはゲーム系・ギーク系のニュースサイトにちらほらと疑惑として 情報が流れていたのだが、ついに新聞媒体にも載ったので、多分「偽サイト」で間違いなさそう。 ドリームキャストが撤退宣言を出したのは7年前の2001年3月なのだが (……もうそんな昔なのか……)、 現在のドメインの Whois データベースの登録日は 2005 年 6 月

■ [Comp] Mozilla 拡張 僕はいまだに Mozilla Suite の方を使い続けているのだが、 更新をさぼっていた古い環境をアップデートするついでに 使っているプラグインを GANA さんに習って 書き出してみる。 最近は FireFox 専用っぽいプラグインが増えてきて面倒になってきたので、 そろそろ乗り換えるかな……。 Tabbrowser Extensions ContextMenu Extensions Preferences Toolbar Mouse Gestures AdBlock Live HTTP Headers NextImage ちなみに NextImage はイメージでなくても、 数字の入った URL 全てに有効なので、 むしろ日記の前後の月とかそういう類の HTML ページ間の移動に重宝している。 ■ [Security] オレオレSSL証明書、オ

■ [Security] 悪趣味な「月刊」セキュリティーホール 最近気に入らないのが、「Month of Kernel Bugs」とか、「Monthly Undisclosed Bug」の類の企画やってる連中。 ハッカーがセキュリティバグを見つけた際に、クラッカーとして悪用するか、 悪用せずに「適切に」利用するかの境界は、結局人のためになるか、 という一点につきると思う。どのように「人のためになるか」、については セキュリティ関係者の間でも議論が分かれていて、しばしば紛争になるのは 周知の通りかと思うが、大きく分けて次のような考え方があると思う。 ベンダ修正を待つべき派 結局ソフトウェアのバグを直せるのはベンダだけなのだから、 バグを見つけたらこっそりベンダに教えてあげて、 直った時点で公表するのが悪用を防いでみんなのためになる。 Full Disclosure 派 ベンダは基本的に可能な

■ [Security] Flash による Referer 偽装攻撃の有効性 なんか僕が海外に出かけるとなにかしらの事件が起こっている気がする……。とりあえず今回の件は、単純に Flash の脆弱性なんで、とっとと update しましょう、まる。 で、Flash の実験環境がないので試せないでいるし、アドバイザリもまだちゃんと読んでいないのだが、あくまで一般論として言えば XMLHTTP のようなインタフェースを提供されている状態で、Referer が設定できるだけではセキュリティへの影響は限りなく低い。むしろ、ほかのヘッダが設定できる方がやばい。Flash の脆弱性に特異な状況があればぜひ知らせてほしい。 実際、この件は昨年9月の XMLHTTP インタフェース経由の Content-Length 偽装による Request Splitting 脆弱性をレポート した際に Bugzi

■ [Comp] 職場 Web サイト改装 お気づきの方もいるかと思うが、職場の Web サイト を移転・改装した。 これまでのサイト は研究所全体の共用サーバで、 安全性は高いものの固定のファイルを置くことしかできずいろいろと不自由があった *1 ので、 共同研究先からリンクが張られたのを期に 移転したのであった。……というところまでが前置きの状況説明。 ま、この手のネタが僕に廻ってくるのはいつものことなのだが（笑）、 特にこの手のサイトで左側のメニューとかの更新の全ページへの反映とか、 英語版・日本語版をきちんと対応づけてメンテするのとかは大変骨が折れるので、 更新を裏で管理できる何らかの CMS みたいなものを入れたいなー、ということで、 「夏休み」と称して強制的に取らされる3日の休暇の間に自宅の環境でちょっと試してみた。 もともと夏休みは「仕事のプログラミング」はしないことに決めて

■ [Security] CSRF と CSSXSS に関する議論について (3/30の続編) 思いっ切り一時 Slashdottedでした (^^;。 自前サーバの耐久性低くて済みません＞読者のみなさま。 # FastCGI のおかげで、tDiary の負荷が上がってもシステム運用には影響出てなくて、 復旧もそんなに大変じゃない辺りはいい感じなんですけど、tDiary 自体は割とすぐ重くなりますね……。 随分と CSSXSS*1 のIEのバグ挙動の性質が整理されてきたようです。 そうは言っても所詮IE6の実装バグに起因する挙動なんで、性質を推定しても それが本当に正しいのかは観察の積み上げというレベルでしかわからないという嫌な状況ではあります。 元々の30日の原稿、 CSSXSS 自体の性質にはあまり踏み込まず、 一般的に「他ドメインのページからデータの読み取りが可能な脆弱性がブラウザに

■ [Security] SSL 2.0 と輸出強度暗号 Mozilla が SSL 2.0 廃止になるという話があち こち で 話題になっている。 例のSSL記事を書いたときに、finished メッセージ内の「謎のハッシュ値」の意義や 可能なアタックについてはある程度調べていたわけだが、 ここ1月くらい、職場の一部で「SSL 2.0 ってそもそも何が危なかったんだっけー」 「もう20世紀のプロトコルの話なんて危なかったってことしか覚えてないよ（ぉ＆やや誇張」 「例の finished の話がまさにソレなのかー」と話題にしていたところに タイムリーすぎる。まぁ、いまさら SSL 2.0 をサポートする理由なんてないよねぇ、と敢えて断言したい。 ついでに言えば輸出強度暗号も（少なくとも128ビット暗号が使える世界では）ね。 で、SSL 2.0 の問題はいくつかあって、調べた限りではやばい（

■ [Security] 40ビット暗号の攻撃可能性 SSL の話がだいぶあちこちで話題になっているようで、例えば もりぶさんの日記 などでもこんな疑問が出ている。 Firefox 1.0.6やSeaMonkeyで接続すると「低程度な暗号化を使ったページを要求しています」という警告出るんだけれど、これは安全なのでしょうか？　特に問題無いならどうでもいい話ですが。 というわけで、果たして現実に40ビット暗号はどれくらい攻撃可能なのか？ というのを 検証してみようというのが今日のお題。今回は SSL2 の 40bit RC4 暗号化をターゲットにする。 まず、SSL2.0 の 40ビット RC4 暗号化での暗号鍵の作り方をざっとおさらいしておくと、 クライアントが 88ビットの乱数を平文で 40ビットの乱数をRSA暗号化して サーバに送信 サーバとクライアントはそれぞれ、それらを結合した128

■ [Security] hidden field に session ID を入れる CSRF 対策方法に対する反論に対する反論 ああ、禅問答のようなタイトル。 前から、「おさかなラボ」なるページで 高木浩光氏の推奨するCSRF対策は安全でない、との主張が 展開されていたので注目していたのだが、最近↑のページの再反論がでて、やっと僕の中では結論がでた感じ。 で、結論は、「やっぱり彼の主張は反論になってない」でよさそう。 正直、再反論の主張を見て、思ったような内容じゃなくてちょっとがっかり。 彼はずっと、「hidden フィールドはキャッシュから漏洩する」と主張していたので、 きちんと対策していてもそういうことが起こる状況想定を何か持っているのかと期待していたのだが、 再反論での主張は「たとえ Pragma: no-cache していても、cache のディスクに残る可能性はあるから駄目だ

■ [Security] 文字コードとXSS (書きかけ) 例によってセキュリティホールmemoより。厄介ですねぇ……。 キチンと全文書に文字コード指定をしておく マイナーな文字コードで送信するときは、対応環境と影響を考えておく。 不安なら ASCII 完全上位互換の文字コード (ASCII の有効バイトは常に ASCII と同じ意味を持つ EUC-JP、UTF-8 など) を使う。 cross-site injection で META が埋め込めるとかは論外。 位は比較的簡単だし、やっておかないといけないかな。 で、ちょっと気になっているのとしては、とりあえず、UTF-7 はやばやばなのは明らかとして、 ISO-2022-* への派生している議論はちょっとずれている気がしている。 とりあえず、 Bugzilla.jp の 4868: ASCIIと互換性のない文字コードはユーザーの指定で

■ [Security] [Comp] Cross-site scripting と Hungarian-notation 僕個人は所謂 Hungarian-notation (型名の省略形を変数名前の頭に付ける記法) は 大嫌いなのだが、最近いろいろな Web プログラムのソースファイルを見ていて、 ひょっとしたら（あくまで過渡的に）最近の web プログラミングに於いては 実践すべきなのではないのか、という気がしてきた。 といっても、別に整数とか長整数とか、まして「ゼロ終端文字列へのロングポインタ(lpsz)」 なんてタグをつけろというわけではなくて、最近流行りの Web 系の脆弱性に応用する話。 というか、危険なプログラム書くよりはHN使う方がマシ。 でもやっぱり嫌だなぁ……。 Hungarian-notation を否定する時に一番楽な言い方ってのは、 ってなわけですが、良くありが

■ [Security] SSL 2.0 version rollback の件のFAQ 以下、SSLv3 は SSL 3.0 と TLS 1.0 (と TLS 1.1 draft) を総称します。 ・ 1. 修正すると TLS や SSL 3.0 と SSL 2.0 は同時に使えなくなるの？ いいえ。今回の修正の対象である「バージョンロールバック攻撃」は、あくまでも 「クライアントが SSL 3.0 以上で繋ごうとしているにも関わらず、 通信中継者が SSL 2.0 への降格を強制する」攻撃です。 今回の修正をしても、クライアントが SSL 2.0 しか使えないケース、 サーバが SSL 2.0 しか受け付けないケースでは、どちらも正常に SSL 2.0 で接続を確立できます。 ただし、SSL 2.0 には既知の脆弱性が知られていますので、 可能ならサーバ・クライアントとも SSL 2.

■ [Security] 証明書の検証はそもそも必要か？ サブタイトル: 「実在証明の意義」シリーズ序章。 SSL通信の際の証明書の確認について、例のコラムは論外としても、本当に必要なのか？ という議論。 高木さんは、 『未だに 「安全性を確認するには証明書を開く必要がある」といった誤った解説が(そ れもセキュリティに詳しいとされている記者の記事の中で)なされている」と 指摘。』 と、最近のやたらと証明書の確認を要求する記事に不満を表明していて、一方 で僕の記事見ると「証明書を確認すべき」と書いているわけで、「これは一見 すると矛盾してるなぁ」「何とかしなきゃ」と思った次第。 本論に入る前に簡単にまとめると、 高木さんは、恐らく「正しくURLバーに表示されているサーバにデー タを送信していることの確認には、鍵マークで十分である」という意味で書い ていて、それは正しい。 僕は「正しいほげほげ

■ [Misc] 新ブログ + ホームページ更新 研究者にとって、論文と予算申請書とホームページは同じくらい重要、 とか謎のことを言ってみたりしつつ。 新研究センターに所属が代わり、所属チームの公式ページの整備を議論していたところ、なんだか個人ページの見た目が古い、と とある人に言われてしまったので、コンテンツを更新してみました。 職場の公式ページと、 個人ページを両方更新しました。 ついでに、このブログも環境維持のコストを下げるべく、 ■ [Comp] xtermの日本語文字幅 Linuxを1999年ごろからずーっと使っていて、 未だにデスクトップ環境を使わずに 素の fvwm を使っているような化石だったりするのですが、 何だかんだいって必要が出てきたので、 少し前に EUC-JP から UTF-8 にごそっと移行しました。 コンソールも kterm から xterm に。 でも、Un