パスワードを忘れた? アカウント作成

こちらは、fs0x7fさんのユーザページですよ。 みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

6095802 comment

fs0x7fのコメント: Re:Twitterネタ (スコア 1) 64

by fs0x7f (#2215228) ネタ元: Tポイントツールバー、提供中止へ

ツールバーはまずあり得ないけどエクステンションは普通に実装されてしまったからなぁ…
avastのブラウザ保護エクステンションはOperaすらサポートしている。

ウェブサイトのサポート対象でOperaが冷遇されたりするのは相変わらずだけど、幅広くインストールさせたいとか考えてる人間の視界にはOperaもバッチリ入っちゃってるようです。

5703329 comment

fs0x7fのコメント: Re:iOS 6では"完全"に修正? (スコア 1) 54

一応HTTP系っぽいです。
HTTPS使ってたけどライブラリ/APIではロクに検証してなかったか、この件を受けてHTTPからHTTPSに切り替えたのかは知りませんが、今回はそのチェックをアプリ側でやってくれれば対策になるって話のようです。
(#2199150)が紹介している公式の対策を見ると

If your app connects to the App Store server directly from the device, your app may be affected by this vulnerability. You can address this vulnerability as follows:
・Check that the SSL certificate used to connect to the App Store server is an EV certificate.
・Check that the information returned from validation matches the information in the SKPayment object.
・Check that the receipt has a valid signature.
・Check that new transactions have a unique transaction ID.

・SSLのEV証明書でつながってることを検証しろ。(後述されているが非公開APIをこの用途限定で使えとの突貫対応)
・得られた購買情報が要求と矛盾していないか確認しろ。(SDKでは確認していない?)
・署名が有効か確認しろ。(SDKでは確認していない?)
・トランザクションIDがユニークか確認しろ。(複数回検証しろということか?)
ということで、これらの対策を行った課金チェックAPIのラッパーが提供されています。

この対策と攻撃の大雑把な解説記事を読む限り
・HTTPで購入情報の取得をしてしまうケースがあったか、ライブラリ/APIではHTTPSの証明書を検証していなかった(または回避可能だった)。
・多くのアプリ開発者の実装では、購買情報のBool値しか読んでおらず、ライブラリ/APIもそれを検証していなかった(または回避可能だった)。
・購買情報自体にも署名がついているらしいが、ライブラリ/APIはそれも検証していなかった(または回避可能だった)。
・今回の攻撃では何らかの理由でトランザクションIDが固定だった。
という状況のようです。

検証項目から察するに、今回の攻撃では「素のHTTP」または「異常なHTTPS」で検証接続を行わせて、「購買情報の署名が間違っている偽造購入情報」または「別のアプリ・利用者の購買情報」を食わせることで、それらの検証をおこなっていないアプリの課金情報を突破していた、ということになりそうです。
これらのチェックをライブラリ/APIではやっていなかったのか、それを突破可能なバグがあったのか…

検証していなかった、の方だとするとお粗末すぎますね。

4608941 comment

fs0x7fのコメント: Re:ISO/IEC 9899:1999 § 7.4.より (スコア 1) 5

あー・・・やっぱ仕様なんですね。
わざわざ調べてくれてありがとうございます。
間違えててもクラッシュしないケースが多そうなだけに、間違えている人間がどれだけ居るのか想像もつかない…

そしてEOF(-1)は大丈夫なんですね。
そういえば411130もxxxxxxx2とか一個ずれた場所をポイントしてましたがアレはEOFだったのか!
本文修正しました。

4559975 journal
日記

fs0x7fの日記: ちょっと変わったデベハトップ問題とisupperの危険性 5

日記 by fs0x7f

パスに含まれるマルチバイト文字の後続バイトをASCIIの1バイト文字として大文字小文字変換してしまうバグのことをデベハトップ問題って自分で勝手に呼んでるのだけど、コレに関連するちょっと風変わりな現象に遭遇してソレにまつわるちょっと面白い事に気が付いたのでメモしておく。
# ShiftJIS(CP932)の「デスクトップ」を小文字化破壊すると「デベハトップ」で、大文字化破壊すると「ェスクエィシ」になります。

3350813 comment

fs0x7fのコメント: Re:部門名にひとこと (スコア 1) 13

>治療不能であることは今でも変わらず
一応、根本治療の方法が/.でも記事になってます。
骨髄移植でHIV感染者を「機能的に治癒」(処置に成功、AIDS症状脱却)
幹細胞移植によりHIV感染の治療に成功(3年目でHIVも陰性)

幹細胞移植がリスキーなので別件で幹細胞移植の予定が無いと中々実行できないうえに、CCR5を持たないドナーが必要と、実行が困難な荒療治ですが無理ではありません。

3320801 comment

fs0x7fのコメント: Re:まぁそもそも (スコア 1) 72

あー、たしかにそうですね。

では、裏口(コマンド流出の可能性)があるのに玄関側(コマンド入力前のメンテ無効化)で対策したM系よりも、
裏口(ステキすぎるPINコード)の中の金庫側(閉塞解除現象)で対策が出来たT系の努力を称えるということで・・・
・・・ってあれ?
「T0xxのほーがふるいかーどですよ」ってどーゆこと!?

# スマートカード開発業界で何が起こってるんだ・・・
# あ、でもPCでスマートカード使おうって発想自体が正気の沙汰じゃない気もするしスマートカードってそういう業界だったりするのだろうか。
## 鍵をカードに入れる必要(=PCが信用出来ない)があるのに、何に署名するのかはPCで確認する(=PCを信用するしかない)のがなんというか。窃盗は想定しても改竄対策はまず無理とか泣ける。カード側に表示機能と入力装置付けないと片手落ちだろうに只のICカードでしかない事例が一体幾つあるのかと。

3320562 comment

fs0x7fのコメント: 『報道しないこと』これがマスコミ最強の力だよ (スコア 1) 72

#2151890

WOWOWを契約してる身としは釈然としないものを感じますな。

タダ乗り(DRM回避)に不快感(DRM回避への嫌悪感)を示す「ちゃんと金払ってる人」は、少なからず居ると思いますよ。
DRM回避への嫌悪感がDRMへの好意とイコールだなんて言う気はありませんが、ある意味でDRMに有用性を見出しているのもまた間違いないでしょう。
ここからは(ここからも?)統計マジック。
「DRM回避への嫌悪感」より「DRMの乱用に対する嫌悪感」の方が勝ってるような(おそらくは大多数に人間が該当する)ケースでも、「ユーザにとっての用法・用量が正しく守られたDRM」に関しては有用性を認めている部分は有るわけです。つまり「ユーザにとっての用法・用量が正しく守られたDRM」に関してはかなりの人間が肯定的といえます。
コレを恣意的な単語を使って書き出すと「大多数のユーザはユーザにとっての用法・用量が正しく守られたDRMに対して好意的である」となります。
そして伝える事実を選択すると「大多数のユーザは、DRMに対して好意的である」となります。

わぁい、ステキっ!

3274605 comment

fs0x7fのコメント: Re:まぁそもそも (スコア 1) 72

2chログを辿ると、M001にもメモリの読み書きコマンドがロックされていないという致命的なバグがあったようです。
今はM001、M002共にメンテナンスモード突入方法が知られてしまっていますが、その突破口はM001だったと言われています。

M001→メンテナンスコマンド(メモリ読み書きコマンド)の無効化漏れ
M002→M001と同じメンテナンスモード進入コマンド(PINコード)
T4xx→ステキすぎるPINコード

結論。全員ヤバイ。
# 今のところT0xxは貫かれてないとかなんとかなので、むしろ東芝の方が頑張った?

3026628 comment

fs0x7fのコメント: Re:Facebookは大丈夫なのか。 (スコア 1) 17

Facebookに限らず通常利用は無料だが有料サービスも展開している物であれば、それと連携するアプリは全て危険なんじゃないでしょうか。
Google TalkやSkypeやニコ動とかも、Safariでのアクセス含めapple機からのアクセスの場合は有料機能が最初から存在しないかのように振舞わないと排除されかねない気がします。

・・・いや、iOS端末でアカウント作ってPCでそのアカウントに金投げ込んでも安全とは断言しかねるし、サービス全体をiOS向けに隔離しないと不味いのかも。
# UAにMac OSが入っていたらあらゆる有料サービスが不可視になる世界、とかヤだなそれ。ちょっと面白いけど。

1890105 comment

fs0x7fのコメント: Re:言ってることはもっともだが… (スコア 1) 246

> 発想に違和感を覚える
そこは多分意図的に危険な条件を想定して話してるのだと思います。
セキュリティを考える時は悲観的な想定でないと意味が無いので、普段の思考方法から見れば違和感があるかもしれませんが、恐らくセキュリティ屋さんには普通の思考方法です。

そもそも、小数の意識低い人がカード番号と名前と生年月日と電話番号を公開しているだけで、問題視するには十分です。
また、「電話帳or名刺その他の電話番号+SNSで友人が誕生祝いして誕生日バレ+実名制SNSで名前バレ+何らかの拍子にカード番号が写真にフレームイン」くらいは偶然の一致で公開されうる情報ですし、SNSで炎上した人の個人情報がネットに上がることもそこまで珍しくないことを考えれば十分アウトです。
その上、今回は第三者企業がそれらの情報を収集してたので、被害の可能性は運の悪い少数どころではなくそのシステムに躊躇なく個人情報を入力した全員がアウトです。

被害者(第三者に公開情報として開示してしまった人)がまず間違いなく存在するのに「その被害者は多数派じゃないから黙殺します」なんて言えません。

報告の入れ方に関する批判は全く否定する気はないけど、思考法自体は(セキュリティ屋さん的には)普通です。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...