パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

13262882 story
インターネット

「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 31

ストーリー by hylom
混乱 部門より

Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。

特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体とのこと。

13260859 submission
インターネット

「都税クレジットカードお支払いサイト」が復活、ドメインを巡り批判が出る 1

タレコミ by hylom
hylom 曰く、
Apache Struts 2の脆弱性を狙った攻撃でクレジットカード情報を流出させ、一時停止されていた「都税クレジットカードお支払サイト」が復旧した(ITmedia)。しかし、今度はこのサイトが新たに「https://zei.metro.tokyo.lg.jp/」というドメインを利用することになっている点や表記などが不正確である旨が批判されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

lg.jpは地方公共団体を対象としたドメイン(JPRSの説明)。このドメインを登録できるのは地方公共団体とそれらの組織が行う行政サービスのみとされている。を運営するのはトヨタファイナンスであり、地方公共団体ではない。また、問題の都税クレジットカードお支払サイトにアクセスすると組織名として「東京都」として表示されるようにもなっている。

特に大きな問題点として、情報の取得主体が誰なのかが不明瞭になっている点がある。さらに、個人情報保護法の義務である「利用目的の公表」をしていないとも指摘されている。なお、このサイトは都が運用をトヨタファイナンスに委託しているものではなく、トヨタファイナンス自体が運営主体である。
13124560 story
変なモノ

「セキュリティフォント」なる仕組みが考案される 57

ストーリー by hylom
えんがちょ 部門より
90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

13124208 submission
日記

自称元ツイッター学会会長、換字式ジョークアプリ「セキュリティフォント」を発明か

タレコミ by 90
90 曰く、

https://togetter.com/li/1068932
https://twitter.com/HiromitsuTakagi/status/820155889445257216
http://wfrontier.jp/security-font.html

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

13124207 journal
日記

90の日記: 自称元ツイッター学会会長、換字式ジョークアプリ「セキュリティフォント」を発明か 57

日記 by 90

https://togetter.com/li/1068932
https://twitter.com/HiromitsuTakagi/status/820155889445257216
http://wfrontier.jp/security-font.html

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

13122023 journal
日記

taggaの日記: 国会図書館デジタルコレクションから発掘

日記 by tagga

明治末の算術教科書。レベルは中学(and/or 師範学校)。

  • 江藤 豊吉. 1908. 『算術解法講義』東京: 光風館.

旧漢字を新漢字に、旧仮名カタカナ/ひらがなを新仮名ひらがな/カタカナに、<, .>を<、。>に。

[乗法] 定義

  1. 乗法 甲数に乙数を掛けるとは、甲数を乙数だけ採りて加え合すると云う意なり。
  2. 被乗数 上に云える甲数を被乗数と云う。
  3. 乗数 乙数を乗数と云う。
  4. 積 被乗数に乗数を掛けて得たる結果を積と云う。
  5. 因数 被乗数、乗数を区別する必要なきときはその双方を因数と云う。

……

注意 …… 3. 乗法九九(ピタゴラスの表)の二意義。

(1) 3×4=12 (2)4×3=12

共に三四十二と小なる方を先に大なる方を後に唱う。或は逆九九を用いて両者を別々にするもあれども、普通ならず。

13115440 story
インターネット

「kokuzei.noufu.jp」ドメインを使った「国税クレジットカードお支払サイト」が登場、今度は本物 25

ストーリー by hylom
偽サイトが作りやすそうだ 部門より

先日『都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場』という話題があったが、今度は「kokuzei.noufu.jp」というドメインで運用されている「国税クレジットカードお支払サイト」なるサイトが登場した。

「紛らわしいドメイン」問題はたびたび指摘されており、そのたびに政府機関のサイトは「go.jp」ドメイン、地方公共団体のサイトは「lg.jp」ドメインを使うべきという話題が出ているが、今回のサイトは「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する国税のクレジットカード納付専用のサイトです」とされており、運営は民間であるためgo.jpドメインではなく汎用JPドメインが使われている模様。

また、このサイトはトヨタファイナンス株式会社と提携したGMOペイメントゲートウェイが制作・運営しており(INTERNET Watch)、そのためサイトのデジタル証明書は「GMO Payment Gateway, Inc.」に対して発行されたものになっている点も紛らわしい。

なお、セキュリティ研究者の高木浩光氏によると、国税のクレジットカード支払いは「国税庁が委託しているのではなく、納税者が委託するもの」だという。そのためgo.jpドメインを使わないのが正しいようだ(Togetterまとめ)。

13114596 submission

kokuzei.noufu.jpドメインによる「国税クレジットカードお支払サイト」が登場、今度は本物

タレコミ by hylom
hylom 曰く、
先日『都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場』という話題があったが、今度は「kokuzei.noufu.jp」というドメインで運用されている「国税クレジットカードお支払サイト」なるサイトが登場した。

「紛らわしいドメイン」問題はたびたび指摘されており、そのたびに政府機関のサイトは「go.jp」ドメイン、地方公共団体は「lg.jp」ドメインを使うべきという話題が出ているが、今回のサイトは「国税庁長官が指定した納付受託者(トヨタファイナンス株式会社)が運営する国税のクレジットカード納付専用のサイトです」とされており、運営は民間であるためgo.jpドメインではなく汎用JPドメインが使われたようだ。

なお、このサイトはトヨタファイナンス株式会社と提携したGMOペイメントゲートウェイが制作・運営するもので(INTERNET Watch)、そのためサイトのデジタル証明書も「GMO Payment Gateway, Inc.」に対して発行されたものになっている。

このように紛らわしい点が多数ある点について指摘する声も多いが、セキュリティ研究者の高木浩光氏によると、このサイトは「国税庁が委託しているのではなく、納税者が委託するもの」であり、国税庁が運営するサイトではないという。そのためgo.jpドメインを使わないのが正しいようだ(Togetterまとめ)。
12962379 journal
日記

scannerの日記: 「高木美保」と「高樹沙耶」 5

日記 by scanner

http://www.sanspo.com/geino/news/20161025/geo16102516280025-n1.html
高樹沙耶容疑者と勘違いする人続出 「高木美保」が話題のキーワードに

おれだけじゃなかったのか。ごっちゃになるの。
「高木」の方の人も一時期女優引退して農業始めたりして、ややこしいんだよね。

12881443 journal
日記

taggaの日記: 高木貞治の教科書

日記 by tagga

逃避で、高木貞治の中学向けの教科書をみっけ。

前書きからすると、元は1904(明治37)年のものを 1911(明治44)年のカリキュラムに合わせたもののようだ。

「歩合」のところは、比の値から導入。

例へば、定価八十銭の本を定価より十六銭引きて買へり。 此十六銭が八十銭に対する比の値は

16:80 = 16/80 = 0.2

例をいくつか示してから用語を導入。用語は藤沢のもの。 当時のものはすでにそうなっているようだ。

12870263 journal
日記

aitoの日記: 2016年7月28日~29日 SP/SLP研究会@天童温泉

日記 by aito

7月28日(木)

■音響モデル・適応化(14:00-15:30)

(SP-1) 英語レベル連結DNN音響モデルを用いた日本人英語音声認識の評価
      ○河内祐太,政瀧浩和,浅見太一,青野裕司(NTT)
非ネイティブ(日本人)英語発話の認識。GMM-HMMではMAP適応などが使えるが、DNN-HMMだとうまく適応できないので、ネイティブ性を表す特徴量を作ってそれをネットワークに入れる。具体的にはフレームごとに言語を判別するニューラルネットを作って、そのボトルネック層出力を認識用DNNの入力とする。ネイティブ性の識別に寄与するのは子音ではr,v,fなど、母音ではei,ouなど。1ポイントぐらい改善。

12801718 journal
日記

aruto250の日記: Twitterをあまり見るものではないな

日記 by aruto250

ここ最近、よくTwitterやTogetter を見るのだけど、まあ「お前は俺か」レベルで自分とおんなじ事を考えている人がゴロゴロいて、しかも発言のタイムスタンプを見ると2011年とかになっており、自分など周回遅れもいいところだったりする。そのうえ彼らはアウトプット力が段違いで、私が「そのうち書かなきゃな」と思っていることをどんどん文字にしてしまう。
うーんなんか自分が改めて書くような物なんてもはや無いような気がしてくるな。いやそうは言いつつも、スラドの日記にあれこれ書いているのは自分の考えを一旦言語化するためでもあるので別に先人がいようといいのだけども、それはそれとしても、自分の考えが固まる前に他人の意見を見ると思わずそっちに意見が引っ張られてしまったりするのでやっぱり困る。自分の意見が他人の影響を受けること自体は良いのだけど、最初の立ち位置くらいは納得のいくように固めてからスタートしたいのだよなあ。

…なんてことをぼんやり考えていたら、間違って「からかい上手の高木さん」の2巻をうっかり2冊買ってしまった。なんてことだ…。

12789811 journal
携帯電話

shibuyaの日記: 噂のスマートフォン用位置情報アップデートきたー

日記 by shibuya

docomo F-02Eというわりと古い機種だからお目こぼしされるかもしれない
と期待していたが世の中そんなに甘くない。

ドコモ位置情報(sub)
ドコモ位置情報 ←同意が必要なアプリです

(追記: 2016-05-26 20:00 +0900)
関連ストーリー
別の関連ストーリー
他所様日記

12731816 journal
日記

taggaの日記: ガクガクブルブル

日記 by tagga

いやまあ、スケジュール通りなんですけどね。 書類がでちまえば、対応を表に出してやり始めないといけないので。 本格的には先にしても、前倒しで出来ることはヤレと 圧力がかかるはず……。

12718281 story
セキュリティ

特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替え 114

ストーリー by hylom
こんなことに 部門より
あるAnonymous Coward 曰く、

地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。

なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。ちなみにMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後(2023年1月10日)までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。

12717451 submission
セキュリティ

特定バージョンのJavaを要求していた地方税電子納税サイト、Javaを廃止してActiveXに切り替

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJava実行環境を必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaはかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと(eLTAXサイトの設定方法解説ページ高木浩光@自宅の日記)。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。

なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0(64bit版は除く)となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう変更し、拡張保護機能も無効化しなければならない。なおMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後(2023年1月10日)までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。
12649831 story
法廷

他人の携帯端末を勝手に操作してLINEのスクリーンショットを取得することは不正アクセスか 88

ストーリー by hylom
ゲスな話 部門より

最近TVや週刊誌を騒がせている芸能人による不倫問題では、LINEによるやり取りのスクリーンショットがマスコミに流出していることも話題になった。流出したスクリーンショットは、その男性芸能人の関係者がこっそりとその男性の端末を操作して取得したものとも言われているが、このように他者の携帯端末を勝手に操作する行為は不正アクセス行為に当たる可能性があるという(セキュリティ研究家高木浩光氏のTwitterへの投稿)。

高木氏が2006年にまとめた「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」記事では、mixiのようなWebブラウザ経由でアクセスするSNSに対し、「他者がログインしたまま放置したブラウザ」を操作してそのユーザーとしてアクセスした場合について、その違法性を検討している。このようなSNSではユーザー認証にCookieが使用されるが、実装によっては送信されるCookieは「当該特定利用に係る識別符号」に該当する可能性があり、不正アクセスと解釈できる可能性があるという。

LINEの場合はWebブラウザではなく専用アプリを利用してアクセスすることになるが、その場合でもアプリは何らかの認証情報をサーバーに送信しているはずである。そこでどのような認証情報が送信されるかは明らかになっていないが、法的に「識別符号」に該当する情報が送信される場合、不正アクセスと解釈される可能性があるという。

なお、LINEアプリではメッセージは端末側に保存されるため、すでに端末側に保存されているメッセージを閲覧するだけであれば不正アクセスとして検挙される可能性は相当に小さいとのこと。

12616761 submission
交通

我田引鉄 北陸新幹線、大阪延伸ルートで新たに2案

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
北陸新幹線の敦賀(福井県)から大阪までのルート選定を巡り、新たに2案が加わることになった。一部報道済みの西日本旅客鉄道(JR西日本)提案の小浜・京都ルート案と、与党の検討委員会の西田昌司委員長による小浜から舞鶴(京都府)に延ばし西田氏の地元である京都を通り関西国際空港につなぐ案とだ。1973年に国の整備計画に盛り込まれた小浜ルート、琵琶湖の西側を通り京都で東海道新幹線に合流する湖西ルート、滋賀県米原市で東海道新幹線に合流する米原ルートの3案と合わせ、検討対象は5案になる。

西田案は、近畿の南北の連携を強化して経済効果を発揮すると称してはいるが、西田氏が高木毅前委員長が10月の内閣改造で復興相に就任したことに伴い、与党検討委員会委員長に就任したため、持論を「委員長案」に昇格させた、典型的地元利益誘導の我田引鉄である。

来夏の参院選前までにできれば1案に、最低でも2、3案に絞り込み、国土交通省に工事費などの調査を依頼する見通し。参院選後には調査結果をもとに議論を進め、早ければ来年中にルートを決める方針だが、協議は難航しそうだ。

情報元へのリンク
12600741 journal
日記

suspend29の日記: F-16 / 潜水艦 / CCC

日記 by suspend29

F-16s Could Equip Private Air Force
http://warisboring.com/articles/f-16s-for-private-air-force/
2015年11月28日
カナダの会社、ディスカバリー防空サービス。アメリカ、カナダ、ドイツの軍隊をサポートするために2ダースのA-4(元イスラエル)、アルファジェット(元ドイツ)を飛ばしている。
演習でレーダージャミング、空戦での敵役、標的の曳航を行う。
こういった企業は他にもあるが、リッチ・クーパーによると、ディスカバリーはより近代的なF-16にアップグレードする可能性があるという。
F-35の出現に

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...