YANO's digital garage

朝から冷たい雨の1日。こういう日は引篭りモード全開で、コーヒーでも淹れながら本でも読むに限る。

というわけで、今日は『Linuxカーネル2.6解読室』。一世代前の洋書を和訳したものでは無い画期的な「日本人の日本人による日本人の為の最新カーネル解析本」。今年5月に出版される予定だったものが11月18日にようやく発売となり、火曜日に届いたばかりだ。

そもそもはVA LINUXの高橋浩和氏を中心にオープンソースマガジン(旧UNIX USER)で2004年6月から今年3月まで連載されていた記事をLinuxカーネル2.6.15をベースに見直し、新しい章を追加して単行本化されたもの。

仕事上オープンソースマガジンの記事を良く参考にさせてもらったが、TCP/IPプロトコルスタックについてここまで深く掘り下げてある記事は他に無い。RFCベースの理論を踏まえつつ、実装面ではプロトコルに関する動きだけでなく割込みに対する排他処理などまでしっかり押さえられてあり、大変助かっている。

この手の書籍にしては表よりも解説図が多いのも印象的かな。最初は「なんじゃこりゃ？」と思う図も多々あるのだが、内容がある程度理解できると「なるほど～」となる深さはカーネルという特殊な世界ならではかもしれない。

1000頁超の『詳解TCP/IP〈Vol.2〉実装』に比べると約半分の500頁超だが、厚手の高級紙を使っている為に20%程しか違わない分厚さは確かなる存在感がある。

5,670円という価格も頁あたりにすれば僅か10円。月刊オープンソースマガジン1冊が1,580円もする事を考えれば、超お買得。

Linuxカーネルハッキングを嗜む貴兄ならば、ぜひディスプレイの左隣に置いておきたい逸品だ。

Firefoxにパスワードを盗まれる問題が発見されている。

Firefoxのパスワードマネージャを無効に

「リバースクロスサイトリクエスト(RCSR)」と呼ばれる新しい脆弱性で、ユーザーがFirefoxにパスワードを保存している場合、画像等のリンクをクリックした時に別のサイトにパスワードを転送してしまう危険があるらしい。

なお、こういう邪悪なページにはユーザーが気付かないように隠しリンクが埋め込まれている可能性が高く、画像をクリックしなければ大丈夫などと油断してるとよからぬサイトに行っていると痛い目に遭うので、くれぐれも自戒されたい。

日経ITProの記事によると、これはドメイン名が同じであれば異なるページに対しても記憶したユーザー名／パスワードを適用しようとするFirefoxのパスワード・マネージャの振舞いにも問題があるそうだ。

修正プログラムについてはまだ作成中という事。取り敢えずの対策としてはFirefoxのパスワード・マネージャを禁止するしかない。

ITmediaの記事ではすでにMySpaceでこの問題を悪用した仕掛けが行われたらしいが、日経ITProの記事で指摘しているパスワード・マネージャの振舞いとは異なる気がするので、関連性の真偽の程は不明。

取り敢えずパスワード・マネージャを禁止するか、それができない場合は管理者以外が書き込みできるSNSや掲示板にはアクセスしない事だ。

【参照】
●ITmedia http://www.itmedia.co.jp/
┗Firefoxにパスワード流出の脆弱性――MySpaceで悪用の報告も 2006年11月23日
●日経ITPro http://itpro.nikkeibp.co.jp/
┗Firefoxにセキュリティ・ホール，記憶させたパスワードを盗まれる恐れ 2006年11月22日
●Bugzilla https://bugzilla.mozilla.org/
┗Bug 360493 - Cross-Site Forms + Password Manager = Security Failure
●Mozilla Japan http://www.mozilla-japan.org/
┗Firefox http://www.mozilla-japan.org/products/firefox/