人間とウェブの未来（旧） 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。

12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは　こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ（CSRF）を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん！」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構

Apache モジュールである ModSecurity*1 の Core Rule Set（CRS）*2となっていた。 確認したバージョン modsecurity-crs v2.0.2（2009年10月2日現在） CRS v2.0.2 の tar 玉をダウンロードし展開すると、以下のような構成となっている。解凍したディレクトリ直下にある、modsecurity_crs_10_global_config.conf と modsecurity_crs_10_config.conf の 2 つのファイルが、ModSecurity全体の設定ファイルとなる。この日記では、この 2 つの conf ファイルを ModSecurity Reference Manual*3 を基に読み解いてみる。 # tar xzvf modsecurity-crs_2.0.2.tar.gz # cd modsecuri

例えばFacebookやTwitterなどのソーシャルサービスは、実際にどれくらい国内企業ネットで使われているのか---。大手ファイアウォールベンダーの米パロアルトネットワークスは、半年に一度、世界中のユーザー企業を対象に大規模なトラフィック調査を実施し、様々なデータを収集および分析している。来日した調査担当者に、日本の国内企業におけるトラフィック傾向などについて話を聞いた。 まずは調査の概要について教えてほしい。 2008年から約半年に1回の割合で、世界中のユーザー企業を対象にトラフィック調査を実施している。最新のデータは2011年5月に実施した調査で得たもので、調査対象となった企業の数は全世界で合計1253社、そのうち日本の企業は87社入っている。調査対象企業の数は回を重ねるごとに大きく増えており、前回（2010年10月）は723社、前々回（2010年3月）は347社だった。具体的な企

mod_securityとは mod_securityは、GNUライセンスの下で公開されている、オープンソースのWAFである。mod_securityの公式サイトでは、「intrusion detection and prevention engine」と説明されている。

Apacheをセキュアにするモジュールで「mod_security」というのがあるそうで。いわゆるWeb Application Firewall (WAF)というものに分類される仕組みなのですが、非常に機能が強力。ヘッダ、GET、POST、レスポンスを含むINとOUTの全リクエスト（HTTPS含む）に対してフィルタリング可能。通常では記録されないPOSTのログも記録可能。 で、この機能を使えばトラックバックスパムもサーバ側で始末できるので、PHPなどが動いて判定する前に処理でき、トラックバックスパムによる負荷が軽くなるというわけ。 設定の詳細などは以下の通り。mod_security用のブラックリストもダウンロードできるので設定も簡単です。 公式サイトは以下。 ModSecurity (mod_security) - Open Source Web Application Firewal

最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.æ—§Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLã‚„@ã‚„#などオートリンクが作成される部分にうまいことイベン

現在、複数台のネットワーク機器を一括管理するのに用いられているのがSNMPである。このSNMPや既存のCLIによる管理を置き換え、Webアプリケーションによる効率的な管理を実現するのが、このほどRFC化された「NETCONF」の仕組みだ。ここではNETCONF登場の背景と、おおまかな仕組みを紹介する。 CLIとSNMPベースの設定や管理 リピータハブや個人向けのスイッチングハブなど低レイヤの製品を除くと、ほとんどのネットワーク機器は初期設定が必要になる。また、運用し始めてからは設定変更、動作状態の監視、トラブル対応といった作業が必要になってくるだろう。 こういった機器の操作は、設定用のPCをシリアルケーブルやTelnet等でつなぎ、コマンドラインインターフェイス（CLI）経由で行なうのが一般的だ。最近では設定・管理ツールのGUI化も進んでいるが、歴史のある機種ほどCLIの需要はなかなか減ら