cles::blog

ウェブのセキュリティチェックはサイトの拡張が定常的に行われている場合には、定期的に実施する必要がありますが、実施計画を立てたりチェックリストを作るのはなかなか骨が折れる作業ですが、財団法人地方自治情報センターというところが診断仕様を公開しているのをみつけました。

ウェブ健康診断 - 財団法人 地方自治情報センター（LASDEC）

ウェブ健康診断 診断仕様（平成20年度版）の公開

この度、平成20年度に実施したウェブ健康診断事業における診断内容の一部（診断仕様）を公開し、地方公共団体のWebアプリケーションの開発・運用・検査及び利用に関わる全ての方々の参考資料として提供することにいたしました。ご活用ください。 なお、同診断仕様は昨年度、有識者によるウェブ健康診断検討委員会において検討し、定めたものです。

ウェブ健康診断ということで、毎年の定期健康診断のようにやれというコンセプトはなかなかいいと思います。テクニカルアドバイザーや執筆協力がHASHコンサルティングとMBSD^*1になっているので、これらの会社のセキュリティ診断の時のチェックリストの一部が入っているんでしょうね。セキュリティのチェックリストを作る際には参考にしたいと思います。

• ^*1: 三井物産セキュアディレクション

今日はとある打ち合わせのため、神谷町でランチ。このあたりでランチをするのは初めてですが、話を聞くと意外とこのあたりはランチに使える店が少ないらしいです。今日はまだ時間が早かったので良かったのですが、ちょっと時間がずれると入れる店がないということも少なくないようです。

ということで、鉄板焼きのお店銀ぜんにてランチ。オーダーは豚バラの鉄板焼き。お店の雰囲気的には夜はそれなりの感じなんですが、ランチのせいかそんなにやる気が感じられないのは残念。比較的この近辺ということだと、赤坂のコストパフォーマンスに慣れてしまったというのも大きいのかもしれませんが。

某所で「8 5 1 1」はどのように四則演算したら10できるかという問題を見つけたので、色々と試してみたもののうまく解く事ができず、気になってしかたがないので、何かアンチョコみたいな物がないかと探してみたら、四則演算クイズ解答ジェネレータというものをみつけました。

四則演算クイズ解答ジェネレータ

4つの数字を「足す、引く、掛ける、割る」の四則演算で１０にするパズルを解くスクリプトです。

ちょっとずるいですが、これで「8 5 1 1」を計算させてみると、一発で(8 / (1 - (1 / 5)))という答えがでてきました。なるほど。
これで今日はゆっくり寝られそうです。

統計パッケージで有名なSPSSがIBMに買収されていました。

IBM、統計解析のSPSSを12億ドルで買収へ--ビジネス分析領域を拡大 - システム開発 - ZDNet Japan

IIBMは7月28日（米国時間）、統計解析パッケージのSPSSとの間で買収の合意に達したことを発表した。1株あたり50ドルの現金による買収で、総額は約12億ドル規模に上る。2009年後半に買収を完了する見込み。

　IBMはSPSSの獲得によって、ITシステム基盤の戦略「Information on Demand」と「Information Agenda」を推進し、関連製品を強化したい考え。今回の買収では、同社が先頃発表した新サービスと組織「Business Analytics and Optimization」（BAO）なども強化される見込みだ。

その筋の人には外せないソフトウェアなんですが、普通の人にはあまり馴染みのないものなのでメディでの扱いがあまり大きくなかったので見逃していました。いつの間にかCognosもIBMになっていたりと、IBMは着々とBI関連の強化を計っていますね。

RHELベースのディストリビューションとしてかなりのシェアを握ると思われるCentOSの、プロジェクトリーダーで金庫番のメンバーが音信不通ということで、サイト上に呼びかけのメッセージが公開されています。

CentOS、Davis氏失踪で開発継続が困難!? コミュニティがオープンレター掲載 | エンタープライズ | マイコミジャーナル

CentOSコミュニティのRuss Herrold氏ら8名は7月30日(協定世界時)、同コミュニティWebサイトのトップページに、CentOSの作成者Lance Davis氏に宛てたオープンレターを掲載した。

それによると、Herrold氏らは、2週間前からDavis氏に電話をかけているが、「Lines are temporarily busy」という電話会社のメッセージが流れるだけで連絡がとれず、前日になりようやく留守番電話につながったのでメッセージを残したが、返事がないという。

オープンソースのプロジェクトは営利を追求する会社と違って、その継続性に対する危機が発生しやすいのですが、まさかこれほど有名なプロダクトに内紛が発生するとは思ってもみませんでした。

営利企業ではないのでお金の面よりも、IRCやドメインのように代替するのが大変なインフラを握られているのは厄介ですね。公開書面にもあるように、メンバーのリスク管理が足りなかったというのも多分にありそうですけど。ひとまず外野は静観するしかなさそうです。

IEの脆弱性（というか、ATLの脆弱性）が一文字のミスで引き起こされているという話。

プログラミングを知らない人には、驚愕の事実なのかもしれませんが、プログラムの欠陥なんて元をたどればほとんどがこういうものです。この記事は欠陥の大きさと、その欠陥が結果としてどのような影響を及ぼすかと言う事には何ら関係性がないということを良く表していると思います。幸いにもこういう致命傷には至らなかったものの、小さなミス自体は自分もよく犯しているので、このミスをしたエンジニアのいたたまれない気持ちはわかるような気がします。

「IE」に対する最新攻撃の原因、たった1つのタイプミス--MSが認める:ニュース - CNET Japan

Howard氏が読者に提示したコードは、以下の通りだ。

__int64 cbSize; hr = pStream->Read((void*) &cbSize, sizeof(cbSize), NULL); BYTE *pbArray; HRESULT hr = SafeArrayAccessData(psa, reinterpret_cast(&pbArray) ); hr = pStream->Read((void*)&pbArray, (ULONG)cbSize, NULL);

そして、Howard氏は読者に次のように出題した。「もう1つ手がかりをだそう。タイプミスは1文字だ。降参だろうか。では、最後の1行を見てもらいたい。最初の引数が間違っている。正しくは、『hr = pStream->Read((void*)pbArray, (ULONG)cbSize, NULL);』だ」（Howard氏）

このような欠陥を自動的に防ぐ、もしくは検出する枠組みを作るのは現在のソフトウェアエンジニアリングの技術では限界があるはずなので、そのような制約を踏まえつつ、現実的にどのように改善してくれるのかというＭＳの今後の取り組みにはとても興味があります。

† 参考

• ATL, MS09-035 and the SDL - The Security Development Lifecycle - Site Home - MSDN Blogs
• Microsoft Security Advisory (973882): Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution

Windows では「Alt + F4」を押すことで大概のアプリが即時終了できるんですね。
こんな機能があったとは知りませんでした。

エディタなどでファイルを編集している場合であっても、終了時に保存するかどうかのダイアログも出ないので、プロセスを KILL したような感じになります。
アプリケーションがフォアグラウンドにない場合には Windows の終了ダイアログが出てきます。

BINDにBIND Dynamic Update DoSという脆弱性が見つかり、各所ででアップデートラッシュが起きているようです。昔はBINDは大穴がしょっちゅう見つかっていた記憶がありますが、まだこういうのがあるんですね。だからといってdjbdnsに移ろうとは思いませんが。

(緊急)BIND 9のDynamic Update機能の脆弱性を利用したDoS攻撃について

本脆弱性は、named.confにおいてプライマリサーバ(master)の設定をしている場合に該当します。また、Dynamic Update機能を有効に設定していない場合であっても本脆弱性の対象となりますので、注意が必要です。

また、該当するnamedがDNSキャッシュサーバとして運用されている場合でもいわゆるローカルゾーン、例えば0.0.127.in-addr.arpaやlocalhost等に対しプライマリサーバとして設定されている場合には本脆弱性の対象となりますので、十分にご注意ください。

上記のJPRSのリリースによると、自前のゾーンを持っていれDynamic Updateを使っていなくても脆弱性の影響を受けるというのはたちが悪いですね。公開されているDNSを管理している場合には要チェックです。

VMWare ESXiが無償化されてからすっかり仮想化もメジャーになり、僕は最近ではリアルサーバをセットアップするということもだいぶ少なくなってきました。ちょっと昔なら、ホストとかSuperdomeみたいなものを使わないとパーティショニングはできないという感じだったことを考えると隔世の感があります。そんな中、VMWareのRHELがリリースされるようです。

レッドハット、VMware向けサブスクリプション「RHEL for VMware」提供開始 | エンタープライズ | マイコミジャーナル

RHEL for VMwareは、VMwareの仮想化環境に対応するかたちで、ライセンス体系やサポートポリシーを整備したサブスクリプション。最大のメリットは導入時コストが抑制できる点で、4仮想マシンの同時実行を従来のRHELサブスクリプション単体の1.7倍の価格でサポートする。

VM4つで価格は1.7倍ということなので、価格的にはちょっと微妙でしょうかね。

GRD3が8/5から発売になるようです。今秋発売と噂されていたので予想より少し早いですね。レンズ交換式になるという話もありましたが、残念ながらそれはないようです。その代わりレンズはF1.9で、画素数は据え置きの1000万画素という割り切りというところは好感が持てます。

リコー、F1.9レンズ搭載の「GR DIGITAL III」 - デジカメWatch

2008年11月に発売した「GR DIGITAL II」の後継機種。シリーズ共通のコンセプトを継承しつつ、新開発の「GRレンズ 28mm F1.9」、新画像エンジン「GR ENGINE III」などを採用。さらにFn（ファンクション）ボタンの追加や、マイセッティング機能の拡充を図るなどの機能強化を行なったという。

こうなってくるとE-P1が俄然盛り上がってくるわけですが・・・・我慢しよう。