パスワードを忘れた? アカウント作成
2016年8月 記事 / 日記 / コメント / タレコミ
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
2016年8月18日の人気コメントトップ10
12882697 comment

firewheelのコメント: Re:情報リテラシーな何歳になったら身につくのかねぇ (スコア 5, すばらしい洞察) 120

これは「情報リテラシー」じゃなくてモラルの問題だと思う。

機材をオモチャにするな、食品衛生には最善の注意を払え。
食材は無駄にするな、金や商品を盗むな。etc

それは人が見ているか見ていないかに関係なくだ。
客にバレなきゃ何してもイイって話じゃない。

12881808 comment

akairaidenのコメント: Re:教えてえろいひと (スコア 5, 参考になる) 16

現状研究室レベルでこんなんできまっせーって話。

だけど、音変換で伝送させる目的は、色々あります。
各種ポートつぶされたスタンドアロンマシンや閉鎖ネットワーク内のマシン
なんかからデータ抜いたりするとか。

小容量のデータを盗むのにUSBメモリ使うより、ICレコーダと
マルウェア使うほうが怪しまれない事ってのも有るわけですよ。

特にデータセンターなんかだと、カメラもケータイも持ち込み不可
なんて多いし。

他社のサーバにマルウェア仕込んで、同じデータセンターの近くのラックを借り、
ICレコーダ等でデータを抜く・・・なんて映画みたいな事はまだ無いでしょうけどね。

以前のストーリーでファンノイズでエアギャップ空間からデータ抜くなんてのもありましたが同様ですね。

#今後こんなのが増えてくると、データセンターの持ち込み禁止物にICレコーダや
#テープレコーダーとかも追記されるようになったりして・・・

12882247 comment

Printable is bad.のコメント: そのまま使いたい人向けの情報 (スコア 5, 参考になる) 20

オートチャージのままとかコンビニ店頭なんかでのチャージなら問題ないような気がするんだけど。

モバイルSuicaを使っているので、非対応の端末で使い続けた場合にどうなるかを、アプリ・Webサイトの動作から検証してみました。

オートチャージの際の通信は自動改札が行うので、携帯電話端末のインターネット通信は不要です(機内モードでも可能)。そのため、8月24日以降も問題なくできると思われます。

アプリからは確認・変更できるが、Webサイトから変更不可な項目を調べてみたところ、

  • 郵便番号
  • 自宅電話番号 (任意登録)
  • パソコンのメールアドレス (任意登録)
  • 携帯電話番号
  • 携帯電話端末のメールアドレス (キャリアメール以外のGmail等も登録可)
  • 秘密の質問・秘密の質問の答え
  • Suicaパスワード
  • クレジットカード情報
  • 定期券有効期間外のSF利用設定
  • 音声案内サービス利用設定 (残高などによって改札から出るタッチ音が変わるサービス)
  • 携帯電話端末の機種変更
  • バナースペース設定変更 (Suicaアプリへ広告を表示するかどうか)

が変更できない模様です。

メールアドレス・パスワードの変更ができなくなるようなので、今後も非対応端末で使い続けたい人は、8月23日までの下記の設定変更をしておくと良いでしょう。

  • 「携帯電話端末のメールアドレス」を、変更する可能性のあるキャリアメールから、独自ドメインメール(無い人は Gmail などの継続的にサービスが提供される確率が高いメールアドレス)に変更しておく。
  • Suica パスワードが今後変更できなくなるので、8文字のランダムな英数字に変更する。
    Suicaパスワードの設定画面には「6~8桁の半角数字 (半角英字でも設定可能)」という半角数字での指定を推奨しているかのような表記がありますが、インターネット上のWebサイトからメールアドレス+パスワードの組み合わせでログインできる ので、数字のみは危険です。
  • 秘密の質問・秘密の質問の答えを推測不可能な安全なものにして、確実に記憶または安全に保管する。
  • バナースペース設定変更を非表示にする。
  • オートチャージを使っている場合、クレジットカードをできる限り有効期限の長いものに変更しておく。
  • 音声案内サービス利用設定を好みの内容に変更しておく。
  • コールセンターへの問い合わせの際に必要になる可能性があるので、アプリからしか確認できない登録個人情報(氏名・生年月日・郵便番号その他)を控えておく。

なお、機種変更は不可能ですが、退会と払い戻しは Webサイトから可能です。手数料は 220円 で銀行振り込みでの払い戻しが受けられます。

クレジットカードの有効期限切れでオートチャージがどうなるか(有効期限が切れてもカード番号に変更が無ければ継続利用可能かどうか、コールセンターへの架電で変更可能かどうか)は試していないので分かりません。

12881836 comment

oginoのコメント: リンク先など (スコア 5, 参考になる) 34

とりあえず CVE-2016-5696 についての幾つかのディストリビューションへのリンク

Debian ほとんど全部?
Ubuntu デフォルトのパッケージだとほぼ全部?
RHEL/CentOS 6/7, MRG 2
SUSE 12, 11 SP3 and SP4

Register のリンク先ではワークアラウンドとして tcp_challenge_ack_limit に大きい値を設定するというのが紹介されています。999999999 の箇所は Akamai blog では 1073741823になっています。大きければ良さそう。(デフォルトは 100?)

As a workaround while patches to fix the problem are prepared and distributed, you can raise the rate limit on your Linux machine or gadget so that it cannot be reached, by appending the following to /etc/sysctl.conf:

    net.ipv4.tcp_challenge_ack_limit = 999999999

And then use sysctl -p to activate the new rule. You need to be root to do this.

「RFC 5961に重大な脆弱性が発見され」とあるけれど、「LinuxカーネルのTCP実装にセキュリティホール」「LinuxカーネルにおけるTCPスタック実装の脆弱性」など、実装に脆弱性が見つかったという表現しか見つかりません。どっちでしょう。

12882696 comment

コメント: Re:当然の結果 (スコア 4, すばらしい洞察) 120

ちょっと待って面接の判別はとりあえず置いとくとして
最近は「ウォークインタイプ以外は冷蔵庫に入らない」「食器洗浄機に入らない」とかは入社後に教育すべきことなの?
それは学校ですらなく、親の責任で教育すべきな事ではないの?

昔努めてた会社では、バイトの採用にも筆記とSPI的な試験があって人手不足の際に一時的に基準を引き下げると後悔する結果しか出なかったので「ろくに面接」というか「ろくに採用試験もしない」という点は同意

12881538 comment

shadowfireのコメント: 安くなったのかもしれない (スコア 4, 興味深い) 219

この堀江貴文の文も似たようなことを指摘してる。

日本はかつてない「安売り」の時代に入った
https://cakes.mu/posts/12406

20代の地方在住の社会人女子の生活水準は、いまはタイ・バンコクの同年代の女性と、大差ないだろう。
先日、それを日本の飲み屋の若い女性に伝えたら、キョトンとされてしまった。
(中略)
いわゆる日本の〝下層社会〞の非正規雇用の中高年に限っていえば、タイ・シンガポール・インドネシアの一般レベルより、貧しい生活だと思う。
アジアの後進国に比べれば、まだ裕福な暮らしができているというささやかな慰めは、とっくに通用しないのだ。

12881869 comment

コメント: Re:リンク先など (スコア 4, 参考になる) 34

by Anonymous Coward (#3065323) ネタ元: TCP仕様の1つに中間者攻撃可能な脆弱性、Linuxが影響を受ける

RFCの方を見るとErrata Existsとあるので検索したら出てきました。
https://www.rfc-editor.org/errata_search.php?rfc=5961

Section 7 says:

[The entire section]

It should say:

No suggested text because it requires a much more serious analysis.
May be adding that the rate-limit counter SHOULD be per-connection,
in the spirit of RFC 6528?

第7項の以下の内容:

[項全体]

この内容の訂正:

もっと精密な調査が必要なため提案できる文章はない。rate-limitカウンタへの加算はRFC 6528でされているように接続ごとにすべき (SHOULD) かもしれない。

Notes:

It appears the section does not specify that the counter for ACK throttling SHOULD be per-connection. In Linux, it is apparently global, which allowed its use as a side channel enabling nasty attacks (CVE-2016-5696 and the paper "Off-Path TCP Exploits: Global Rate Limit Considered Dangerous" )

注記:

当該セクションはACK throttlingのためのカウンタは接続ごとにされるべき (SHOULD) であることを規定していないようである。Linuxでは、どうやらグローバルになっていて、悪意のある攻撃を可能にするサイドチャネル攻撃を許してしまう。 (CVE-2016-5696と論文"Off-Path TCP Exploits: Global Rate Limit Considered Dangerous" より)

RFC 5961での記述漏れが脆弱な実装を許してしまったようですね。こんなの実装すればすぐ気づけるように思えますが、人間は間違えるものですしね。

12882606 comment

コメント: Re:バカッター保険とかどうだろう (スコア 3, すばらしい洞察) 120

任意保険なら「入らない」という選択肢を与えないといけない
強制加入ならそれは事業者が支払うべきで、保険金の天引きは許されない
(そもそも会社に損害を与えたことに対する天引きすら違法判決が出てるのに、未然に防ぐために天引きとか許してたら収拾がつかなくなる)

阿呆な学生防ぐためにブラック企業化してどうするんだよ

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...