■ [days]今日も曇りなんだよなぁ
もう少し晴れてくれるといいんだけど、雨が降っていないだけマシなのかね。本日の東京の最高気温は32℃だとか…..かなり暑そうですね。ネクタイ締めてスーツ着るのやだよねぇ(去年までは私もそうだったが)。
ただいまのくっちゃんは21℃ぐらいだとのこと。寝苦しい夜もなく、一枚の毛布を被って普通に寝て起きると、ちょうどいい気温。快適です。
■ [mac]HDD 逝く
なんだか HDD が次から次へとぶち壊れています。もう購入して 3 年になる(今度の 11 月で 4 年) PowerBook G4のハードディスクが「カチン」という乾いた音とともに昇天召されました(涙)。いまは職場のWindows XPマシンで書いてます。
データについては、なくなると困るものは入っていなかった(PowerMac G5にも同じものを入れていた)のですが、アプリケーションのインストールが面倒なんだよなぁ。
今度の休みにでも、札幌にいって HDD の換装をお願いして来ようかと思っています(涙)。ちょうど明日に札幌のDo-夢にいってPowerBook G3のHDDを換装する人がいたので、その人についでにお願いしますと、頼んでしまいました。
しかし、今年は HDD のトラブルに悩まされるなぁ….
■ [internet]Webアプリケーションのセキュリティ
私はWebアプリケーションを製作しているわけではないので、あまりWebアプリケーションに関するセキュリティについては詳しいわけではありません。
仕事絡みで「とある」Webページの更新をやってくれないだろうか?ということになり、その更新方法を教えてもらった。そのトピックスのページを更新するには、「ある会社」が作成したオリジナルのCGI(perlかなにかで動いているんだと思うが)を使って書き換えることができるので、いちいちHTMLを書かないという、至極一般的で今風な更新方法なんである。
更新画面をURLで指定して、パスワード(なぜかユーザ名は必要なくパスワードだけなんである)を入力してOKボタンを押す。すると、トピックスの管理ページが出てくるというわけである。
いくつかテスト用のデータなどを登録していたら、ちょっと不思議なことに気が付くのである。
アドレス表示用のツールバー<%= fn ‘いまではアドレスの入力もできるのだが、初代のMosaicなどは表示しかできなかったのだ’%>のところをみると、そこに先ほど入力したパスワードが表示されているのだ。
どんな具合かというと….
http://hoge.huga.moge/foo/bar.cgi?password=PASSWORD_MARUMIE
といった具合なんである。
もちろん、目を疑いましたよ、ええ。だって、こんなところにパスワードが表示されているWebアプリケーションを使ったことがないわけですよ(当然だと思うが)。こんなところにパスワードを表示されてしまえば、どこかのWebサーバのリファラーにバッチリパスワードを残してしまうではないですか<%= fn ‘実を言うと、このパスワード問題以外に「まともに動かない」という問題も発生していたのだ’%>。
さっそく、このCGIを作った会社に連絡をとる<%= fn ‘実を言うと、この会社。2月下旬にニセコひらふで30時間券を発売するときに「トンデモない」セキュリティホール入りのCGIを作った会社と一緒なのだ。これもかなり酷い(というか、テストもろくに行っていないような)、プログラマの思い込みだけで作ってしまったようなシロモノなのでした。すいません嘘ついてました。違うそうです。’%>。すると、その会社が作ったものではなく、下請けの会社が作ったものだとのこと。そんなのであれば、フリーのトピックス更新CGIの方がよっぽどまともだよ、というような文句を言うと、なんだか歯車のかみ合わない答えしか返ってこない。だんだんこの時点で「この会社やばくないかい?」と思うようになってきたのだけれども、とりあえずは調査をして連絡をしてくれるということであった。
2週間経ち、今日になってようやくその会社から連絡があった。
曰く、「(そのCGIは)フリーのCGIではありません。弊社が特別に作らせたものです。当然、スクリプトの内容は公開されていませんので、クラッキングの危険性は、シェアウェアの場合ほどは高くないと考えております。」というのが一点。もう1つが「当CGIスクリプトで使用している「POST」という方法の場合、URL中にはサーバーへのデータ(パスワードなど)は含まれません。」って、含まれているんだってばさ!
さらに、まとめとして「現状のサーバー環境においては、最低限のセキュリティーは確保されていると認識しております。」と書いてあるメールが到着したわけですよ。
もう怒こるなんて通り越しました。ゴルァ
とりあえず、クローズドだからセキュリティが確保されているのは詭弁だよということと、とにかくURLは表示されているので、ぜんぜん安全ではないということを書き、最後にWebアプリケーションに潜むセキュリティホールってなページを紹介してメールを返信いたしました。
こういう会社に、Webアプリケーションを作ってもらって問題ないんでしょうか?
■ [misc] 厄払い
おひさ>Pちゃん。
うーーーん、厄って人間の知恵みたいなもんなんだろうけど、「非科学的」なものはできるだけ排除したい(血液型だって信じてないし)のだよねぇ。なので、厄払いや風水みたいなものは否定したいのだ。
でも、生活の知恵みたいなものだということもわからなくはないので、酒でも呑んで厄払いでもしようかと思っております、はい(笑)
ども。まずはついでで何ですが、ぱうもんアンテナに僕のblogのエントリーありがとう。
本題のHDD逝った件ですが、僕のiBookも先日から調子の悪いままついに脳死してしまわれたようです。で、昨晩東芝の40GB流体軸受HDDに自分で換装しました。あぁ、しかしこれからアプリケーションの再インストール大変だなぁ・・・
2年前、iBookのHDDが逝っちゃったのも今頃の時期でした。仕事が佳境に入る前だったので助かったけど。林檎は梅雨時に弱い?
>>MATSU アプリケーションの再インストールは、かなり切実な問題であります。東京においてきちゃったアプリもあるし….あと、Mac OS Xのソフトウェアアップデートも、フレッツISDNなのでかなり憂鬱です。
>>楓太 北海道に梅雨はありません。それとも、まだ北海道の気候に慣れていなかったのかなぁ>PB G4
>あと、Mac OS Xのソフトウェアアップデートも、フレッツISDNなのでかなり憂鬱です。
僕は今日これをやるために職場へiBookを持ってきました(^^;)
10.3.4統合アップデートとそれに続くQuickTime6.5.1やJavaを含めると実に180MB近いですねぇ。
それにしても、暑いし眠い(^^;;)
180MB…._| ̄|○
HDDは「厄年だから」では??厄払いしに行った?
BASIC認証でさえ平文でパスワードが流れるのを心配するのに・・・クロスサイトスクリプティングとかマンインミドルとか知ってるって質問してみるのも一考かと!!
コメントだけは一人前だけど、素人にも分かるくらいレベルの低い会社では? というか、そんなんで金取るなよ。
今すぐ厄除けに行くべし!!
我が家では前厄本厄後厄で〆て100万円コースだった。。>家電からコンピュータ機器まで
ねえ>ぐでん2
(西新井大師にお礼参りをしなければ…)
梅雨どきにHDDがお亡くなりになるちうのは、湿気で電子部品がやられるから… なんて話を聞いたような気がする。細かいひび割れに湿気が入り込んで、内部で「ぱち♪」てね。
30時間券の会社とは別なんです(汗)
同レベルの会社が他にもあるって、それはそれで問題だったり。
LSIのモールドも樹脂なので吸湿はさけられないって話でしょ>ベンちゃん
おがからもらったトラックバックを辿るとココに来ました。でも本文には書かれていないんですね。ふむ。
うわぁ、高温多湿環境で、モールドパッケージを苛めた遠い記憶がぁ。>SUBARU セラミックは、その辺強いはず。