Kidzuki_Nihiruのページ | スラッシュドット・ジャパン

こちらは、Kidzuki_Nihiruさんのユーザページですよ。みんなの日記はここから一覧を見ることができます。

CGIとしてPHPを実行している場合に外部からオプションを指定できる脆弱性が発見される。 0

タレコミ by Kidzuki_Nihiru 2012年05月06日 3時04分

Kidzuki_Nihiru 曰く、

CGIとしてPHPを実行している環境にて、PHPのオプションを外部から指定できる脆弱性が見つかり、PHP5.3.12とPHP5.4.2がリリースされている。
具体的にどのような影響があるかというと、ソースコードを表示したり、リモートのスクリプトを実行できてしまうようだ。
さらに、リリースされたPHP5.4.2でも対策が不十分であるとのこと。（徳丸氏による[PHP]CVE-2012-1823に関する暫定メモより）

PHPをmod_phpやFastCGIではなく、CGIとして実行しているケースは比較的少ないと考えられるが、レンタルサーバの都合などでCGI動作となっているケースもある。
仕事やプライベートでPHPを利用されている方は急いで確認をしよう。

会社更生手続き中のエルピーダメモリ、スポンサー企業に米マイクロンを内定 1

タレコミ by Anonymous Coward 2012年05月06日 1時45分

あるAnonymous Coward 曰く、

朝日新聞の記事によると、会社更生手続き中の半導体大手エルピーダメモリは、同社を事実上買収し再建支援するスポンサー企業に米マイクロンを内定したそうだ。最終入札で、マイクロンは買収費用と、国内2工場と開発部門等の一体再建案を提示し、競争相手の投資ファンド連合の条件に勝ったそうだ。

国内半導体メーカーの中心的存在だったエルピーダメモリだが、これで米企業の傘下に入る。

消費者庁、ソーシャルゲームの「コンプガチャ」中止要請 2

タレコミ by Anonymous Coward 2012年05月05日 20時09分

あるAnonymous Coward 曰く、

読売新聞によると、消費者庁はソーシャルゲームで流行中の「コンプガチャ」が景品表示法に違反するとして中止を要請するとのこと。
中止要請に応じない場合、景表法の措置命令(旧公正取引委員会の排除命令と同じもの)を出す方針だそうだ。

ソーシャルゲームにおける「ガチャ」とは、ゲームセンターにおけるカプセル自動販売機からの連想で、ゲーム内通貨を投入するとランダムでアイテムなどの景品が手に入るミニゲームを指す。
今回焦点となっている「コンプガチャ」とは、「ガチャ」で手に入る特定の景品の組み合わせでさらに強力な景品が手に入るというものである。

Web版では詳しく記述されていないが、5日付けの朝刊の紙面によると、この「コンプガチャ」は景表法において禁止されている「カード合わせ」に該当すると判断されたようだ。
容易に想像できるとおり、「カード合わせ」は主催者がカードの配分を調整することで当選者を不当に出しにくくできる。
「コンプガチャ」のようなプログラムならなおさらである。

なお、今回の件では「ガチャ」そのものが禁止されるわけではない。
「ガチャ」そのものに関しても、子どもが大金を使ってしまったなどの苦情が後を絶たず、批判にさらされている。
しかし、ソーシャルゲーム提供側の会社としては、収益の柱である「ガチャ」を簡単に手放すわけにはいかないだろう。
「コンプガチャ」が禁止されたとしても、第二第三の新形式「ガチャ」が生まれ、いたちごっこが続きそうだ。

情報元へのリンク

コメント: Re:発売時にはすでに落胆していた (スコア 2) 95

by Kidzuki_Nihiru 2012年04月10日 23時39分 (#2133178) ネタ元: Windows Vistaのメインストリームサポート期間が終了

> ＃一体どこのバカが1980x1200であんなもん使いたがると思ったんだ？
そんな人いないですよね。

そんな解像度のディスプレイ存在しないですし。

コメント: Re:クレジットカード情報などをインターネットから分離はできないのか (スコア 5, 参考になる) 63

by Kidzuki_Nihiru 2012年03月25日 13時00分 (#2123117) ネタ元: Vector、不正アクセスにより最大26万1161人の個人情報が流出した可能性

いやいやいやｗ
別にそんなめんどくさい話じゃなくて、単純に
「入力されたカード情報は決済代行会社に投げるだけで、ショッピングサイト側には保存しない」
とすれば解決する話です。というか今時そうせず、自前でカード情報を保存しているのが既に狂気の沙汰なんです。

そりゃショッピングサイトへのカード情報の入力を全てロギングするようなプログラムを仕込まれたらおしまいですが、
決済代行会社側のカード情報入力画面を使うような作りにすれば、それも回避できます。
# だいたいどこの決済代行会社もそういう仕組みを用意しています。

基本的に、決済代行会社はショッピングサイトへカード情報を全部は公開しませんので（下4桁だけ、など）、
仮にショッピングサイトが完全に乗っ取られたとしても、フルのカード情報が全部漏洩するなんてことにはなりません。
# 決済代行会社によっては有料のオプション契約でカード番号をショッピングサイトの運用者が確認できるようにする、なんてのもありますが。

よく言われる「2度目以降のカード決済ではカード情報の入力をスキップさせたい」なんてのも、
だいたいどこの決済代行会社も「このトークンで○○円の注文を入れる」みたいなAPIを備えていますので、
ショッピングサイト側にカード情報を保存する必要なんて無いんです。
5年前ぐらいには既に多くの決済代行会社のシステムにそのような仕組みが出来ていたと記憶してますので、
2012年にもなって自前でカード番号を保存しているなんてのは、ショッピングサイトのシステム担当者の怠慢以外の何者でもありません。

2012

2011

コメント: 書き方がおかしい。 (スコア 1) 81

by Kidzuki_Nihiru 2011年06月09日 12時27分 (#1967421) ネタ元: KDDI au、EZ 番号は詐称可能なため、複数手段の認証を推奨

> EZ 番号と併せて EZ サーバの IP アドレス等、
って言い方をするってことは、auのスマートフォンはEZサーバを経由しないってことでしょ?
現にグローバルIPアドレスが振られているわけだしさ。
正しくは「EZ 番号は（対タンパ性を十分とするなら）auのガラケー以外では詐称可能なため」じゃないの。

# そもそもHTTPでもHTTPSでも同じ値が送信されるX_UP_SUBNO HTTPヘッダでユーザー認証とか狂気の沙汰。

2011

2010

コメント: 一般的なブラウザとスマートフォンはいいけど… (スコア 1) 61

by Kidzuki_Nihiru 2010年12月17日 11時11分 (#1875321) ネタ元: ネット通販のカード決済でパスワードを義務化へ

> カード裏面のセキュリティコードと、ネット取引の認証手段である 3D セキュアが活用されるようだ。
セキュリティコードはさておき、3DセキュアはVISA以外ガラケー対応してなかった気が。

Visa Worldwide Tokyo | Visa、本人認証サービスの携帯電話対応を発表
http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_260810_mVbV.shtml

ガラケー通販はクレジットカード利用率がいくらか下がるとはいえ…

しかし結局のところ、利用者が本人認証サービスに申し込んでないとあまり意味無いのがなぁ。
一般消費者への本人認証サービスの啓蒙の方も重要だと思うんだけど大丈夫なんだろうか。

# 本人認証サービスに申し込んでいるかどうかの判定は出来るので、
# 本人認証サービス未登録カード利用の拒否は可能だけど、顧客の手間が増えるので皆やりたがらない。そりゃそうだよね。

コメント: Re:ふと思ったのだけど (スコア 2, 参考になる) 94

by Kidzuki_Nihiru 2010年10月25日 12時13分 (#1846953) ネタ元: ヤマト運輸のモバイルサイトで「自分のものでないIDでログインできる」問題発生

それは端末の識別番号が何に紐付いているかに依ります。

# ちょっとググったらこんなのありました。
# 公式コンテンツ・サービスは端末のIDと紐付いているのか、それともSIMカードのIDと紐付いているのでしょうか？
# http://q.hatena.ne.jp/1256050594

AUはSIM縛りがアレなのでよくわかりませんが、
機種変して古い端末に別のSIMをさして使えば、別の識別番号になる場合がほとんどな気がするので、
そこまで簡単では無いかと。
まぁ、いずれにしても端末の識別番号はAmazonでいうところの「こんにちは、○○さん」とかログインID入力済みとか、
その程度の紐付けにしか使っちゃダメで、必ずパスワードを入力させないといけません。
個人情報とかと結びつかない、どうでもいい情報だけならいいかもしれないけど。

というかガラキャリ専用のIPアドレス制限してないと、普通にHTTPヘッダ偽装で簡単に総当たり攻撃が可能です。
気になる人はFirefoxのFireMobileSimulatorとLiveHttpHeadersで色々見てみましょう。

コメント: Re:与信情報 (スコア 3, 参考になる) 50

by Kidzuki_Nihiru 2010年09月28日 15時02分 (#1831523) ネタ元: Faith と TWOTOP の顧客情報が流出

> 2回目以降の買い物で、ユーザが同じカード番号を入力する手間を省くためとか？
そこそこ大きめの決済代行会社であれば、決済代行会社側のシステムにカード番号を登録する機能を持ってますから、
それを使えばショップ側でカード番号をもたなくても、カード番号入力省略の機能をもたせることは可能です。
各社で仕様は全然違いますが、大体は
『決済代行会社に登録したカード番号ないし与信用トークンを引っ張ってくるためのキーをショップ側システムに持っておく』
的な仕組みになってます。
ただ、決済代行会社のシステムへの1要求ごとに課金されるので、ショップ側システムにカード番号を保持するよりはお金がかかりますけどね。

# Faithの通販はカード番号記憶できるんだっけ…?

コメント: Re:ソースの日付くらい見ろ (スコア 3, すばらしい洞察) 62

by Kidzuki_Nihiru 2010年04月07日 12時23分 (#1744814) ネタ元: (自称) タイムトラベラーが LHC で逮捕される

> Eloi Cole という名前、
"エロいこれ"にしか見えない。