YANO's digital garage

apacheのアクセスログをIPアドレスからドメイン名に変換するawk処理。

awk '{"dnsname "$1 | getline nm; close("dnsname"); sub($1,nm,$0); print }' /var/log/httpd/access_log

今日はわしたショップで軟骨ソーキ煮付を調達。

福岡市博多区千代にて

とろぷるに煮込まれた軟骨が事のほか美味であった。というわけで昨日の「八重山そば」をさらに美味しく頂いて幸せかも。レトルトパックで325円というのはお手軽だが、独り身でソーキ肉4切れはちょっと多過ぎで、喰い過ぎの気配。

ブルーシールの期間限定オレンジシャーベットもウマかったし言う事なし。何となくゴーヤも買ってしまったので、明日はゴーヤチャンプルーでもいっときますかねぇ。f(^^;;

街角には水法被姿の男衆もチラホラ、夏の風物詩祇園山笠の気配が漂い始めた博多である。

あと「フォーサーズシステム」関係のリンクをぴらっと追加。

【参照】
●Olympus E-1 http://www.olympus-esystem.jp/
●フォー・サーズ・システム http://www.four-thirds.org/

昨日書いたWebフォーラムの話し。眠気にかまけて理解が不十分だったようで、よ〜く読み進めると問題はクロスサイトスクリプティング(XSS)だけでなく(XSSも全てのページが対処されたわけでは無いらしいが…)セキュリティホールはまだあると言わざるを得ない状況だ。

で何がセキュリティホールか？というと、「nifty.com 配下のどこでもセッション Cookie が読める」という問題。「domain=.nifty.com」なんてレンジのCookieを発行している事から、@nifty会員ならばcgiを自由に配置できるhpcgi*.nifty.comからも簡単にCookieが読み取れるわけ。つまりアクセスカウンター等に仕込んでおけばユーザーには気付かれずに Cookie の値を盗み出すことが可能である、というわちゃ〜な大穴だ。

ここだけを取り上げると正気の沙汰とは思えない安易を通り越してずさんとも言えるやり方なのだが、サーバーを跨ったシングルサインインを実現するとなるとこれ以外には方法は無く、利便性に気を取られてCookie漏洩の危険性まで注意が及ばなかったんだろうと思われる。そういう根の深い問題なので、抜本的な対応となるとURLの変更が避けられないと思われ、かなり時間がかかりそうな気配だ。

ユーザーとしてはパスワード等を入力するメンバーズエリアにはログインしないのが一番なのだが、少なくともログアウトした後は全てのプラウザウィンドウを終了する事が必要。間違っても別のサイトへアクセスしたりしないようにご注意あそばせ。

【参照】
●えび日記
　-「XSS大王・さらなるホゥル」 2003年6月23日
　-「XSS大王Q&A」 2003年6月25日

オリンパス光学工業から期待のレンズ交換式一眼レフシステム「フォーサーズシステム」第1弾が10月上旬に登場する事が発表された。

02/5/13 下地島空港にて

4/3インチ500万画素CCDを採用した「E-1」にも増して注目せざるを得ないのが「ズイコーデジタル」のブランドを冠した交換レンズ群だ。

ズイコーブランドの新製品ってば何十年ぶりかしら？という感慨はさておき、最初からマクロをラインアップするというのはやはりオリンパスだなぁ、ていうか、マクロが無かったらズイコーの冠をかぶったところで裸の王様だったりして。

プロ用の最高級モデルだけあって20万円を越える本体は敷居が高いが、今後のアマチュア向けモデルの展開を睨むと、ズイコーEDレンズの描写力には注目したい。

待ちに待った本家が動きだしたところで、「フォーサーズシステム」のパートナーでもあり、オリンパス光学工業で開発総責任者だった小島佑介氏を招聘したコダックの動向も要チェック。どんなカメラを出してくるのかな〜

【参照】
●ZDnet News
　-オリンパス、レンズ交換式一眼レフデジカメ「E-1」発表　「ズイコー」も復活 2003年6月24日
　-すべてがデジタル専用設計――オリンパス、Four Thirds対応一眼レフデジカメ 2003年6月25日
　-コダック、国内個人向けデジカメ市場に再参入 2003年6月12日
　-オリンパス、レンズ交換式一眼レフデジカメのコンセプトモデルを発表 2003年3月3日
　-オリンパスとKodak、デジタル一眼レフ「Four Thirds」正式発表 2002年9月24日
　-オリンパス，「OMシステム」販売終了 2002年1月18日
●DigitalCamera.jp
　-4/3インチCCD搭載 レンズ交換式デジタル一眼レフ構想について 2001年6月28日
●オリンパス光学工業
　-デジタル一眼レフカメラの新規格「Four Thirds System(フォー・サーズ・システム)※」の採用で合意 2002年9月24日

今夜はお土産の「八重山そば」に舌鼓。ありがとうございましたm(__)m＞Ｔ中さん。やっぱ主役の三枚肉が無いのは寂しいなぁ、というわけで明日はわしたショップで調達して帰らなくては!!

待ちに待った「フォーサーズシステム」に舞い上がって書き忘れたかなり重要な話。@niftyがプッシュしているWebフォーラムにクロスサイトスクリプティング(XSS)のセキュリティホールがあったあるそうな。

この問題はCookie・パスワード等の情報漏洩、セッション乗っ取りの危険性がある致命的な問題であり、特にSSLセッションにまで影響すると言う凶悪かつ特大な事例は過去最悪のXSSと言える。

なお@niftyはhttp://com.nifty.com/forum/index.htmlにおいて

いつもWebフォーラムをご利用いただきましてありがとうございます。
本日（6/20）より「掲示板でのタグの使用」を一時的に休止とさせていただきます。
上記機能を利用すると、自由にhtmlタグを記述することが可能ですが、悪意をもって利用した場合、発言者のやり方によっては、掲示板利用者に被害がおよぶ可能性があるため、対策を行うことといたしました。
対策を行う間、機能を一時的に休止させていただきます。ご迷惑をおかけし、申し訳ございません。
なお、既に登録されている発言でタグが利用されていた場合には、タグがそのまま表示されることとなりますのでご留意ください。

という記載をしているが、これを読んだところで事の重大さはこれっぽっちも伝わって来ない。不用意にユーザーを怖がらせろとは言わないが、どんな危険性があったのかは明らかにする責任があると思う。

昨年8月に導入したWebフォーラムが今になって問題になったのは、「XSS大王さらにその後」で指摘されているように「気が付かなかった…」という事では無く「問題の重大性を理解していなかった」という事だろう。しかし「実害があったかどうかの確認が為されていない」という現状も考えると、運用管理者たる@niftyの未熟さが一番の問題のように思う。

エンドユーザーにとっての「便利なWeb」というのは、裏を返すとこういう危険性がある熟成途上な技術であるという事を覚悟しておかなくてはならない、と言わざるを得ないのは技術者の端くれとしては悲しい現実だ。

その一方で、何となくWebフォーラムに近づかなかったというのは我ながら『カンが冴えてるな〜』と思うのであった。

【参照】
●日経IT Pro
　-@niftyの電子掲示板に「クロスサイト・スクリプティングぜい弱性」，緊急メンテナンスを実施 2003年6月23日
●えび日記
　-「XSS大王」 2003年6月18日
　-「XSS大王その後」 2003年6月23日
　-「XSS大王・さらなるホゥル」 2003年6月23日
　-「XSS大王さらにその後」 2003年6月24日
　-「DOM万歳(XSS大王つづき)」 2003年6月24日
●IPA 情報処理振興事業協会
　-Webサイトにおけるクロスサイト スクリプティング脆弱性に関する情報 2001年10月23日