■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
■ パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
こんにちはこんにちは!! 昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけ なるほど、いいこと書いてあるし、わかりやすい。 そんなわけでぼくも、 「ネットを利用するときに気をつけたいこと」について、自分なりに思うことを書いてみるよ。 情報は紐付く ちょっとした情報を元に、 ネットAとネットBが紐付くのはもちろんだし、 リアルの情報まで紐付くこともよくあること。 ひとつひとつは大したことない情報でも、 情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。 過去と現在が紐付く 今は、君のことを気にかけているのは まわりの友達だけかもしれない。 けれど情報は残る。 将来、5年後、10年後…、 君がうっかり書いた言葉が、たまたま炎上した時、 犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。
2008年下期には、Perl の File::Path モジュールの rmtree 関数に関する CVE が 3件発表された。 (CVE-2008-2827, CVE-2008-5302, CVE-2008-5303)また、symlink attack に関する CVE は 100件以上出ている。 テンポラリファイルの扱いに関する問題は古くからあるが、いまだに多くの問題が発生する。そこで本稿ではテンポラリファイルの扱いかたについて解説する。また、安全な削除に利用できる新しいシステムコールが提案されているので、それについても触れる。 テンポラリファイルはプログラムが一時的に利用するファイルである。 Unix においては /tmp や /var/tmp というディレクトリが提供されており、すべてのユーザがそのディレクトリ下にテンポラリファイルを生成・削除するのが慣習である。本稿では、これらのデ
小ネタ 3.1からLinux の RLIMIT_NPROC のあつかいがちょっと変わります。端的にいうとNetBSDちっくな動きになりました。 まずバックグランドを説明すると、NPROCはユーザあたりのプロセス数を制限する機能であると。端的にいうとプロセス数超過するとforkがEAGAIN返して失敗する。プロセスを作る方法は1つしかないから一見自明に見える。 ところが「ユーザあたりのプロセス数」というのがキモで、プロセスの所有ユーザを変えてしまうという手がある。set*uid() 族と setuidされたプログラムに対するexec()族である。 余談。従来Linuxはset*uid()族はNPROCチェックをしてEAGAINを返していたが、execではチェックしていなかった。ついでにいうとforkでのチェックもちゃんとロックされてなかったので、プロセス数の厳密な保証はもとから無かった。NP
Amazon ウィッシュリスト経由で砂 1 トンを送る方法 誕生日などで Amazon ウィッシュリストを公開する人がよくいます。そうした人達に日頃からの親愛の情を示す為に砂 1 トンを送ることが出来ます。 まずウィッシュリストを開き適当な商品を買い物カゴに追加します。 つぎにこちらの商品ページから砂 200kg を 5 個買い物カゴに追加します。これで砂 1 トンです。 レジへ行きます 発送先でギフト用に登録された住所を選択します そして発送すれば砂 1 トンが届きます ウィッシュリストから商品を買い物カゴにいれ、その後ウィッシュリストに無い商品を買い物カゴにいれると、ウィッシュリストに無かった商品もウィッシュリストの住所に送付出来て大変に便利です。
git はコミットを SHA1 で管理していることは、こんな場末の日記を好きこのんでご覧になられている皆さんならよくご存じかと思いますが、最近メイドガチャピン先生の「革命の日々! git のsha1は何桁あれば安全か」など、Linux において Git デフォルトの 7 桁表示のコミット ID が被りまくっていると話題のようですので、これについて考えてみましょう。 さて、ハッシュ関数については昔まとめたことがありますが、ようするに Radium Software Development さんの記事が素晴らしいという話です。それによると、Bob Jenkins 曰く「2^n 個のキーに関して,衝突の可能性を 1/(2^m) 程度に抑えたいならば, 2(n+m) ビットのハッシュ値を用いる必要があります」だそうな。 Linuxのコミット数は 220k=~262144=2^18 なので、衝突確率
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
MIT の研究者らが、暗号化されたデータを復号せずに機密性を維持したまま検索やソート、演算処理などを行えるデータベースソフトウェア CryptDB を開発したとのこと。同ソフトウェアは 10 月に開催された Symposium on Operating System Principles でお披露目されている (Forbes の記事、本家 /. 記事 より) 。 CryptDB は、データを「タマネギの皮」のように何層にも暗号化し、各層をそれぞれに違った鍵で守るという仕組みとなっている。極めてセキュリティー性の高いソフトウェアであるもののどんな演算処理も行えるというものではなく、例えば平方根の計算はできないとのこと。こうした完全準同形暗号は既に Gentry が 2009 年に発表しているが (IBM のプレスリリース)、暗号化されたデータを処理するのに膨大な時間がかかってしまうという欠点
ストーリー by hylom 2011年12月16日 20時02分 旧IEを無視できる日はいつになる? 部門より Microsoftは2012年1月より、Internet Explorer(IE)の自動アップデートを行うことを発表した(公式ブログ、CNET Japan、本家/.)。 自動アップデートの対象となるOSはWindows XP/Vista/7。それぞれのOSがサポートする最新版(Windows XPではIE8、Windows VistaではIE9)にアップデートされるそうだ。 同社はユーザーに最新かつ安全なWebブラウジングを提供し、悪意あるソフトウェアからユーザーを適切に守ることが目的である説明している。自動アップデートが実行されるのはWindows自動アップデートを有効にしているユーザーのみであり、無効にしてある場合は強制的にアップデートされることはない。また、アップデート後
コンテンツ課金の可能なプレミアムSMSを秘かに送信するマルウェアが公式のAndroidマーケットで発見され、報告を受けたGoogleが計27本の不正アプリを削除する事態となった( The Lookout Blogの記事、 BBC Newsの記事、 Symantecのセキュリティ情報)。 このマルウェアは米Lookoutが発見したもので、「RuFraud」と名付けられている。ヨーロッパのユーザーを主なターゲットにしており、初回起動時に表示される確認画面でユーザーが承認ボタンをタップするとプレミアムSMSが秘かに送信されるとのこと。アプリ自体は既存のアプリを再パッケージ化したもので、Angry Birdsのような超有名アプリも含まれる。Lookoutによれば、同様のマルウェアは数ヶ月前から非公式のアプリストアやファイル共有サービスでの配布が確認されていたそうだ。先週から公式のAndroidマー
セキュリティ企業 viaForensics の解析によると、「Google Wallet」アプリがクレジットカード情報の一部を暗号化せずにローカルに保存しているそうだ (viaForensics のブログ記事、Darkreading の記事、本家 /. 記事より) 。 Google Wallet アプリは、ユーザーが登録したクレジットカード情報の一部をローカルの SQLite データベースに保存する。しかしデータを暗号化せずに保存しているため、ルートアクセスが可能な端末であれば外部からの読み取りが可能な状態になっているのだという。保存されるデータはカード上に印字された名前、カードの有効期限、カード番号の下 4 桁、Gmail アカウントなど。利用残高や利用限度額、利用日時、利用場所なども含まれていたそうだ。カード番号の上 12 ケタや PIN コードなどは含まれないため、不正利用につながる
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
仲違いした妻を要注意人物リストに載せて帰国不能にした入国審査官が懲戒免職!2011.02.12 15:00 バレないまま3年も過ぎてたんだそうです... あらゆる手口を使って航空機の爆破テロが試みられる恐ろしい時代になってきましたけど、国際空港で行なわれる入国審査にトンでもない不正が発覚しちゃいましたよ。無実の一般市民が国に何年も帰れない悲劇に非難轟々みたいですね。 事の発端は英国国境局(UK Border Agency)のエリート職員が昇進の推薦を受けていた時に、ふとこの男性の妻がテロリストの疑いがある要注意人物のブラックリストに載せられているのを発見されたことに始まります。「君の奥さんにはテロリストの容疑がかけられているのだが、どういうことだい?」と問い詰められ、実は自分でこっそりとセキュリティーデータベースへとアクセスし、妻をリストに載せたと白状して明らかになったとのことですよ。 妻
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
