Home

日記
メールを使った認証システムの案 (13:50)Edit

サーバーに対して、HTTP(S)アクセスもしくは空メールを送る。すると、指定されたメールアドレスに対して、Subjectワンタイムパスワード文字列が含まれたメールが送信される。そのメールに返信する形で、メールを使ったコマンド(本文)を送る。FromアドレスとSubjectに含まれる(Re:とか付加されても大丈夫)ワンタイムパスワードを使って認証し、コマンド(本文)を実行(登録)する。

って感じでメールベースの認証システムを実装するのはどうだろう。

普通にメールを送った場合は、権限の弱いコマンドしか実行できなかったり、後で管理者がチェックをしないと実際にはコマンドが実行されなかったりするけれども、上記の手法でワンタイムパスワードをつければ、権限の強いコマンドが実行できる、みたいな感じにすると利便性とのバランスがいいかな。

Published At2003-08-18 00:00Updated At2003-08-18 00:00

日記
Re:NaverのBOTさらに悪質化 from ただのにっき (13:50)Edit

>>ついに「GoogleBot」を詐称するようになったもよう。

うわー、これは最悪だ。これはもう、Naverの所有するすべてのIPアドレスに対してdenyするしか、拒否する方法はないかな。どこかにNaverの所有するIPアドレス一覧はないだろうか。ちなみにうちのアクセスログに残っていたNaverBotのIPアドレスは、

61.78.61.163
61.78.61.162
61.78.61.170
61.78.61.193
220.73.165.81
218.145.25.77
218.145.25.81
218.145.25.113

ただ、NaverBotと名乗っているすべてが本物のNaverBotとは限らないけど。

もうちょっと調べてみた。これらのIPアドレスに関するアクセスログは、

dloader(NaverRobot)/1.5
minibot(NaverRobot)/1.0
GoogleBot
Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Mozilla/3.01 (compatible;)
Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.0.3705; .NET CLR 1.1.4322)

なんてのが残っていた。普通のブラウザっぽいUserAgentも結構残っている。これらのIPアドレスはBot以外でも使っているのかな? あるいはもしかしたら、ランダムにUserAgent文字列を適当に付け替えるブラウザ(って確かあったよね)とかを使ったアクセスだったりして。

ちなみにうちも、robots.txtへのアクセスだけはGoogleBotだった。

Published At2003-08-19 00:00Updated At2003-08-19 00:00

日記
悲観的になる理由 (13:50)Edit

RFIDセキュリティに関する議論が、もしも技術に対して楽観的な立場を取る(善用を重視する)か、悲観的な立場を取る(悪用される可能性を重視する)か、という違いだったとして。

現在の世の中は、非常に楽観的な設計によるシステム(コンピュータ技術に限らず、社会的なシステムもそう)で構成されている。さまざまなシステムに裏口があることは知られているし、実際にその裏口を使ったさまざまな被害が起きている。

コンピュータ技術においては、最近流行っているウイルスワームなどの問題や、顧客情報の流出、あるいはブラクラブラウザークラッシャー)や迷惑メールなども、システムの楽観的な設計が原因の被害であるといえる。

また、住民票などのセキュリティが非常に甘い(なりすましによる取得や届け出が可能)という現状や、いわゆる悪徳商法とよばれるものもその多くは、その原因(の一部)としてシステムの楽観的な設計が挙げられる。

それでも今まではそれなりにうまく回ってきたし、これからもそれなりにうまく回っていく可能性は確かにある。

しかし、コンピュータ化が進むと、小さな力で大きな影響を生み出すことがどんどん容易になっていく。それは、コンピュータウイルスの影響力が、昔と比べてどんどん大きくなっていることからも類推できる。昔も今もコンピュータウイルスを作るための手間はそれほど変わっていない(はずだ)が、被害は桁違いに増えている。

たとえばインターネット上を見回してみよう。もともとインターネットは善意のユーザー(コンピュータ)を期待する要素が多い設計だが、最近では悪意のユーザーに対抗するための技術も充実しつつある。アクセスコントロールパケットフィルタリング暗号化などさまざまな技術が作り出され、利用されている。

しかし、そのような安全な技術を用いているのは、ほんのごく一部だけだ。インターネットを構成するさまざまな部分に、楽観的な設計による穴が空いている。たまたま無事に過ごせているだけで、もしもそこを集中的に攻撃されたらひとたまりもない。それは、これだけさまざまなウイルスによる被害が報じられてもなお、新しいウイルスが発生すると同じように多くの人たちが感染していることからも分かる。

そういう現状を見ていると、これだけ穴だらけの世の中で、致命的なほどに大きな問題がなかなか起きないのは、本当にただの偶然というか、幸運であるに過ぎない、という気がしてくる。

で、RFIDだ。RFIDも、現状を見ている限りでは、同じように楽観的な設計によるシステムとして実用化されてしまいかねないもののように見える。しかも、RFIDはインターネットのような仮想世界的な要素が強いものとは違い、現実の世の中の人々の生活に直接影響を及ぼすような要素となりうる。さらに、新しくてスマートな技術はその悪用方法もスマートになりそう(秩序だったハイテクほどあらゆる意味で使いやすい)。

もしもインターネットと同程度の穴だらけのシステムを、現実の世の中の人々の生活にまで持ち込まれたらたまらないよなー。ちょっとでも危険性がありそうだったら問題視しておかないと、あぶなそうだなー。というのが悲観主義者(私)の考え方。

Published At2003-08-20 00:00Updated At2003-08-20 00:00

日記
QuickML de GroupWareその2 (13:50)Edit

QuickMLをグループウェア化するの続き。

名前(メールアドレス)を決めるだけでメーリングリストグループ)が作成でき、メンバーの追加はCCに入れるだけで済む、というのはやはりとても便利だ。このくらい敷居が低ければ、どんどんMLを作ってしまおうという気にもなる。

グループウェア的に利用する場合、基本的にプロジェクト単位でML(グループ)を作ることになる。そのプロジェクトに関するメールのやりとりをすべてML経由にすることで、メールを書くたびに、そのメールを誰と誰に送るのかをいちいち考える必要が無くなる。またSubjectが定型になるので、メールの自動分類も簡単だ。ただし、MLのメンバーではない人にそのプロジェクトに関するメールを送るときの処理はちょっと考える必要がある。

MLログをアーカイブしてWebベースで閲覧できるようにしておくと、自動的にそのプロジェクトに関する資料が生成されていることになる。まだ途中までしか作っていないが、添付ファイルを管理する文書管理システムを構築し、メールと添付ファイルを全文検索システムで検索できるようにすることで、その有用度はさらに高まるだろう。

というあたりが利点。しかし、ML管理が手軽な分に応じたセキュリティ的な甘さがやはり問題。

たとえば、間違ってCCにメンバーにしたくない人を入れてしまった場合、ほかの誰かによってMLあてに送られたメンバー以外に公開したくないメールが、本来送られては困る人に送られてしまう可能性がある(間違ったことに気付いてメンバー削除メールを送っても間に合わない場合があり得る)。

また、Webベースのログ閲覧システムにおいて、MLメンバーを妥当に認証することが困難。もともとMLメンバーはメールアドレスだけを頼りにルーズに管理されているので、それぞれに対して妥当な権限認証システムを用意するのが難しい。妥当な権限と認証システムを用意しようとすると、QuickMLの利点をスポイルしてしまうことになる(ようなものしか思いつかない)。

解決のためのアプローチは二つある。

QuickMLの利点を出来るだけスポイルしないように(=多少はスポイルすることをあきらめつつ)、外付けの認証システムを追加していく、というのが一つ。そうすると、ある程度安定しているQuickMLをそのまま利用しつつ、外付けの認証システムでそれなりにセキュアにすることが出来る。

もう一つは完全に新規に、QuickML的な利便性を持ちグループウェア的なセキュリティ機能を兼ね備えたMLシステムを設計する、というもの。QuickMLの思想だけをもらって、システム的には新規に設計する。

根本的に設計からやり直すとなると、実は妥当なエイリアスメールアドレス管理をするだけでも結構いけるのではないか、という気もしてくるな。

ああ、完全にLAN内でしか通用しないシステムとして運用する手もあるな。MLシステムのアドレスはローカルアドレスだけを振り、外からは絶対にメールが送れない。MLアドレスにメールを送れるのはLAN内の人だけ。LAN外のメールアドレスに対してメールを配送することは可能。完全な社内システムとしてならこれもありかな。

とかいうことを本格的にやっている暇はないので、考えているだけ。

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
迷惑メールが地球上の全メールの50%を超えた〜米Brightmail調査結果 from INTERNET Watch (13:50)Edit

この数字がどのくらい信用できるのかはさっぱりわからない。「全世界のメールトラフィックのうち約10%をフィルタリングして」いたとしても、その対象がたとえばHotmailのようなスパムだらけのトラフィックを中心にしたものだったとしたら、それは全然妥当なな調査対象とはなりえないし。

ただ、実際問題このまま寛恕としてスパムを受信し続けていたら、確かにトラフィックの50%くらいはスパムになってしまうかもね。「反撃するフィルタ --- Filters That Fight Back」みたいな反撃方法を模索したり、あるいは法的に巨額な罰金で制裁したりとかしないと、このままではスパムが減っていくことはなさそう。「「ペニスを大きくするサプリメント」のスパム広告に注文殺到」みたいに、スパムがある程度の効果を上げていることは本当らしいし。

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
SCOの「証拠コード」にLinux関係者から批判続出 from ZDNet (13:50)Edit

どうやら、SCOは自社のソースコードとLinuxのソースコードの単純な類似性のみを抽出したのであって、そのソースコード部分の細かいライセンスまでは調べていなかったっぽいなー。

ただ、たまたま今回表に出た部分がすでにBSDライセンス(風?)として公開されたものであったとしても、ほかにライセンスに抵触する部分が見つかったら、それはそれで十分SCO的には意味があるのだから、鬼の首を取ったように部分を否定してもしょうがないと思う。

まあ、これだけ隠してきてようやく公表した部分がハズレだった、となると叩きたくなる気持ちは分かるけど。

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
有料検索は商標侵害? 訴訟に発展の可能性も from ZDNet (13:50)Edit

検索エンジンの検索キーワードとして使われる商標文字列は、商標権で保護されるべきものなのか? 企業(検索エンジン会社)がその文字列の権利を売るとなると、やっぱりそれは商標権の範疇って感じがするな。自社の商標で検索したら、ライバル会社の広告が出る、なんてのは結構きつい。と思いつつも、それは単に比較広告の一種に過ぎないような気もしてくる。

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
ウイルス感染者に対して下される“社会的制裁” from ZDNet (13:50)Edit

この中途半端なショートショート創作)はなんなんだろう?(いろいろつじつまがあわない部分があるよね) こうやって脅すことによってウイルス対策を万全にするよう啓蒙しようってことなのかな? それとも実話を面白くしようとツクリを入れすぎたのか?

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
互換性問題がZipに破滅をもたらす――? from ZDNet (13:50)Edit

PKZipWinZipのもつ相互互換性のないセキュリティ機能なんて誰も使わないからどうでもいい、って結論だったりしないかな。っつーか、ある意味対応するソフトがないと開けないってのは、セキュリティ対応としては正しい気もするんだけど。

Published At2003-08-21 00:00Updated At2003-08-21 00:00

日記
PSP、PSX、UMDの真の狙いは?――ソニー・久夛良木氏が解き明かす“点と線” from ZDNet (13:50)Edit

ソニー関連でも、久夛良木さんが考えていること(製品)は、その(今後の戦略的)意図とか(市場や技術に関する)読みとかが感じられて面白いなー。それにひきかえ、

と来たらなー。同じような技術力を背景にしているのに、なんでこうも中途半端なものを出してくるのか。そしてその言い訳も中途半端だし。

どうせなら素直に「場つなぎにプロトタイプ機を発売しちゃいました、てへ」とか言えば面白いのに。

Published At2003-08-21 00:00Updated At2003-08-21 00:00