パスワードを忘れた? アカウント作成
13224321 journal
日記

hylomの日記: ねとらぼ記事『まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認』について 3

日記 by hylom

ITmedia「ねとらぼ」で4月10日に掲載された記事『まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認 メーカーは「食器洗い機での不具合は未発見」と否定』で、スラドの記事「全自動食器洗い機のHTTPサーバーにディレクトリトラバーサルの脆弱性」への言及がありました。

先ほど記事に追記したとおり、記事では問題の機器を「食器洗い機」としていましたが、正しくは「洗浄消毒器」(washer-disinfector)でした。こちらはソースの1つとして紹介したThe Registerの記事で「Dishwasher」として言及されていたための勘違いです。ご迷惑をおかけして申し訳ありませんでした。

ただ、それ以外の内容についてはSeclist.orgのメーリングリストへの投稿を元にしており、適切であると考えております。また、これを踏まえITmediaの問い合わせフォーム経由でねとらぼ宛に下記の内容を送付しました。

ねとらぼ『まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認 メーカーは「食器洗い機での不具合は未発見」と否定』の記事内で言及されているスラドを運営しております、OSDNの松島と申します。

記事製作にあたり弊社宛にお電話を頂いたとのことですが、弊社は午前中にオフィスに人がいないことが多いため、お電話に出られず申し訳ありません。

問題の記事についてですが、問題の機器が「全自動食器洗い機」ではなく「洗浄消毒器」であることはご指摘のとおりです。こちらはスラドの記事内にリンクがあるThe Registerの記事で「Dishwasher」と紹介されていたことからの勘違いで、先ほどスラド記事(https://security.srad.jp/story/17/03/30/095235/)にその旨を追記いたしました。

ただ、それ以外の記事内容についてはSECLISTS.ORGのメーリングリストで報告されている脆弱性情報を元に執筆しており、スラドの記事内容については、洗浄消毒器を全自動食器洗い機としたこと以外は適切であると考えております。また、スラド記事内では「第三者に皿を洗われる危険性」との記述はしておりません。

昨今ではネットワーク接続機能を備える機器が増えておりますが、これらに関するセキュリティ問題がたびたび報じられており、また特に非IT専業メーカーはこういったセキュリティ問題に対する意識が低い傾向が見られます。SECLISTS.ORGでの報告によると、Miele社は脆弱性の報告に対し数か月間対応をしなかったとのことで、今回の件が話題になって初めて対応に乗り出したかのようにも見えます。

今回の記事はこういった問題があるということを指摘する意図で執筆しましたが、ねとらぼの記事タイトル『まとめサイトが「セキュリティ問題で第三者に皿を洗われる危険性」と事実誤認 メーカーは「食器洗い機での不具合は未発見」と否定』は、あたかも問題自体が存在しなかったかのようにも読めてしまうため、不適切ではないかと思います。

また、前述のとおりスラドで掲載した記事の内容については大きな事実誤認はないと考えておりますが、ねとらぼの記事内容はあたかもスラドの記事すべてが事実誤認に基づくものであるかのようにも読めてしまう可能性があり、この点について遺憾に思っております。また、洗浄消毒器を全自動食器洗い機と誤認していたことについてはスラド記事内の追記で説明しましたので、可能であればねとらぼ記事内にスラド記事へのリンクを入れていただければと思います。

以上、ご検討の程よろしくお願いいたします。

(追記@19:30)ねとらぼから「スラドさまの記事内容を全否定しているわけではない」とのお返事を頂き、記事を若干修正&追記していただきました。

13111722 journal
日記

hylomの日記: あけましておめでとうございます 6

日記 by hylom

明けましておめでとうございます。そして昨年も1年間、スラドをご利用いただきありがとうございました。

2016年のスラドは掲載記事数はほぼ平年並みですが、PVやセッション数はなだらかに減少、という結果となってしまいました。Google検索経由での来訪者が減少し、それがそのままトータルのPV/セッション数の減少につながった結果となっています。

2016年はスラド内でURLの整理やメタデータの追加、HTTPS対応など、Google対策を進めておりましたが、あまり目立った効果はみられませんでした。

検索流入の減少は何か1つが原因というわけではなく複数の要因があるとは思いますが、スラドのURL構造がその要因の一つではないかと推測しています。スラドのシステムでは、記事や日記、コメントなどの投稿データを様々なビューで閲覧できるようになっていますが、そのため大量のURLが機械的に生成され、Googleに重複コンテンツとして認識されるURLが多い状況です。

そもそもスラドで使用しているslashcodeは約20年前の1997年に開発がスタートしたものであり、その後改善は続けられてはいるものの、現状のWebの状況に対応し切れていない部分も多く、さらにメンテナンスには多大なコストがかかる状況となっています。そのため、現在OSDNではスラドのシステムの刷新に向けて開発を進めています。

新システムでは、データベースおよびMVCにおけるモデル部分のコードは可能なかぎり既存のものを使いつつ、ビューとコントローラ、Webサーバーとのインターフェイス部分については完全に置き換えるという方針で開発を進めています。ただ、slashcodeではMVCの分離が明確には行われていないため、再利用できるコードが予想以上に少なく、モデル部分にも大きく手を入れている状況です。そのため、現在あまり使われていない機能については廃止・縮小を検討していますが、基本的にはほとんどの機能がそのまま新システムでも利用可能になる予定です。

現在の開発状況としては、記事や日記、タレコミ、コメントなどの閲覧および投稿といった部分についてはすでに動作しており、現在モデレーションや「トモダチ」機能の実装を進めている段階です。まだ具体的なスケジュールを出せる状況にはなっておりませんが、年内には新システムを稼働させられる状況にしたいとは思っておりますので、しばしお待ちください。

12953460 journal
日記

hylomの日記: HTTPSでの接続に対応しました 12

日記 by hylom

平素はスラドをご利用いただき、誠にありがとうございます。

長らく要望を受けておりましたスラドへのHTTPSでの接続ですが、本日システム改修を行い、HTTPSでのアクセスが可能になりました。現在はまだHTTPでの接続も可能となっておりますが、今後はHTTPSでの接続を推奨いたします。

また、スラドのシステムにおいてはソースコードにURLがハードコーディングされている部分があるため、サイト内リンクで「http://~」とのURLが一部残っている可能性があります。こちらについては発見次第修正していく予定です。

そのほか、HTTPS対応による不具合等ありましたらコメントもしくはバグ報告チケットにてご報告頂けると幸いです。

12904986 journal
日記

hylomの日記: 外部からのDDoS攻撃による障害のご報告(続報) 32

日記 by hylom

9月1日21時ごろより発生しているsrad.jpへのDDoS攻撃ですが、IPアドレスを変更する対処によって一時的に復旧していたものの、本日11時45分ごろより変更後のIPアドレスに対し再度攻撃が行われております。そのため、現時点でもsrad.jpへのアクセスが行えない状況となっております。利用者の皆様にはご迷惑をおかけして申し訳ございません。

攻撃は現時点(18:20)でも断続的に続いている状態となっており、srad.jpおよびモバイル版サイトであるm.srad.jpへのアクセスは回線上流よりブロックされた状態となっております。

また、srad.jpのサブドメイン(apple.srad.jpなど)については現時点では攻撃されておりません。そのため、メインドメイン(srad.jp)とサブドメインのIPアドレスを分ける対処を行いました。これにより、サブドメインに関しては現在アクセスが可能となっております。また、index.srad.jpというサブドメインにてスラドのほぼすべての機能を利用できるよう暫定的な対応を行っております。

なお、攻撃によるサーバー自体へのダメージは現時点では確認されておらず、回線側でのブロックが解除され次第サイトを復旧できる状態にはなっておりますが、いつブロックが解除されるかの見通しは現時点では立っておりません。また、現在利用可能なサブドメインについても、攻撃によって回線をブロックされる可能性があります。サイトに繋がらない場合は、お手数ですが時間をおいて再度お試し頂くようお願いいたします。

12904395 journal
日記

hylomの日記: 外部からのDDoS攻撃による障害のご報告 5

日記 by hylom

9月1日の21時頃より、スラド(srad.jp)に対し外部より断続的にDDoS攻撃が行われ、サイトにアクセスできない状況が発生しておりました。利用者の皆様にはご迷惑をおかけして申し訳ありません。

詳細については調査中ですが、攻撃によってsrad.jpのサーバーに対しインターネット接続を提供しているISPの設備に問題が発生したため、回線が一時的に遮断される状況となっておりました。現在はsrad.jpのIPアドレスを変更する対処を行い、srad.jpへのアクセスは可能となっております。ただし、IPアドレスが変更されたためDNSキャッシュが残っている場合サイトへのアクセスが行えない可能性があります。その場合、キャッシュクリアなどをお試しください。

12871768 journal
日記

hylomの日記: 8月8日夜から9日朝にかけて発生していたシステムトラブルについてのお詫びとご報告 2

日記 by hylom

8月8日の19時過ぎから9日8時過ぎの間で、スラドで日記およびタレコミの新規作成が行えないトラブルが発生しておりました。

発生していた問題は、タレコミページURLである「http://srad.jp/submission」および日記の新規作成ページURLである「http://srad.jp/journal」にアクセスするとそれぞれ過去のタレコミおよび日記アーカイブページが表示されてしまい、日記やタレコミが作成できないというものです。

現在スラドではGoogleによる重複コンテンツペナルティへの対策としてサイト内URLの整理作業を進めており、その一環として行っていた記事アーカイブページのURL整理作業に関連したリダイレクト設定変更ミスによって今回の問題が発生しました。問題の発覚後設定内容の巻き戻しを行ったため、現時点では日記およびタレコミの新規作成は可能となっています。

また、同時期でスラドのWebサーバーの一部でInternal Server Errorが頻発するトラブルも発生しておりましたが、こちらも現時点では復旧しております。

スラド利用者の皆様にはご迷惑をおかけして申し訳ありませんでした。

12648893 journal
日記

hylomの日記: スラドにおける投稿コンテンツの削除について 5

日記 by hylom

本日(1月12日)、スラド利用者からの申し立てを受け、匿名で投稿されたコメント4件(ストーリーに対するコメント1件およびそのコメントへの返信コメント2件、日記に対するコメント1件)の削除を行いました。

スラドの運営元であるOSDNではサービス利用規約(http://osdn.co.jp/terms.shtml)を定めており、いくつかの行為について禁止するとともに、そのようなコンテンツを独自の裁量で拒絶または削除する権利を有しています。

今回問題となった投稿は、利用規約で定めている「4. 利用にあたっての順守事項」で定義している禁止行為のうち、「7. 他人の権利を侵害するもの、または他人の迷惑となるものを、投稿・掲載・開示・提供・送信する行為」に該当するものと判断し削除を行いました。

スラドでは言論の自由を尊重しておりますが、投稿されたコンテンツ(コメントおよび日記等)に対し申し立てがあった場合、その内容に応じて今回のように一方的に削除を行う場合があります。また、スパム投稿や犯罪予告等、明らかに問題があると判断される投稿に対しても削除を行っています。

スラドにおいては、過去にプロバイダ責任制限法のガイドラインに従った手続きに応じ、投稿されたコンテンツの削除や修正を行った例があります。現在に至るまで一度も例はありませんが、正当な手続きを経ての請求があった場合は発信者情報の開示を行う可能性もあります(スラドでは投稿時のIPアドレス情報を一定期間保存しています)。

インターネット上へのコンテンツ投稿においては最悪の場合、損害賠償請求や各種法的措置、訴訟等が発生する可能性もあります。利用者の皆様におかれましては、冷静な投稿をお願いいたします。

12636521 journal
日記

hylomの日記: 新年のご挨拶

日記 by hylom

新年明けましておめでとうございます。昨年はスラドをご愛顧いただき、誠にありがとうございました。

弊社(OSDN)としましては、昨年は新サイトの設立という大きなトピックがあり、社内的には大変ゴタゴタとしておりました。弊社ではスラドのほかにもOSDNというオープンソースの開発支援サイトを運営しており、しばらくはそちらに重点的にリソースが割かれる体勢となっており、なかなかスラドには手を回せない状況となっておりますが、少しずつではありますがサイト自体のアップデートも進めて行く予定です。

また、今年も昨年同様、ネットで話題のネタから世界の重大ニュースまで、幅広く雑談のネタを提供していきたいと思っております。また、昨年よりモバイル版スラドも稼働しています。こちらともども、今年一年間よろしくお願いいたします。

12569821 journal
日記

hylomの日記: スラドのはてなブックマーク公式アカウントができました

日記 by hylom

10月20日より、はてなブックマーク上でスラドの公式アカウント(id:srad)の運用を開始しました。はてな認定の公式アカウントとして、記事公開直後に記事のブックマークを行うアカウントになっています。

これにより、はてなブックマークの「公式アカウント」にスラドの記事が掲載されるようになりました。

また、スラドでははてなブックマークだけでなく、RSSやFacebook、Google+、Twitterでも更新情報を発信しています(RSS/XML Feeds/各種ソーシャルアカウント一覧ページ)。こちらもご利用いただけると幸いです。

12515634 journal
日記

hylomの日記: スラドの一部ページがセキュリティソフト等で「危険」と診断される件について(中間報告) 6

日記 by hylom

9月8日、スラドに掲載された記事「GoogleやNetflixら7社、次世代動画標準を目指すアライアンスを立ち上げ」(http://it.srad.jp/story/15/09/07/0620213/)の記事ページが、Google Safe Browsingや一部セキュリティソフトによって有害なコンテンツ(フィッシング的なコンテンツ)と判断される問題が発生しました。

この報告を受けてスラドの運営元であるOSDN社内で該当ページを調査しましたが、特に問題点は確認できず、その後異議申し立てを行ったところGoogle Safe Browsingに関しては当日中に有害サイト指定が解除されました。しかし、トレンドマイクロによる診断結果は現時点でも「危険」のままとなっています。

スラドトップページやインデックスページ、ほかの記事ページについては、問題は確認されておりません。現在OSDN社内で原因を究明中ですが、該当のページが「危険」と判断された理由について明示されていないため、現時点では「危険」と診断された理由は不明です。広告枠に広告ネットワーク経由で危険なコンテンツが表示された可能性もありますが、現状そのような報告は受けておりません。

OSDN社内では現状、該当ページやスラドに問題があるとは認識しておりませんが、もし不審なリンクや書き込み、広告などを見つけられましたら、コメントもしくはチケットでご報告いただければ幸いです。

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...