パスワードを忘れた? アカウント作成
2401591 comment

jbeefのコメント: MACアドレスはハッシュしている by hylom (スコア 2) 1

hylom編集員曰く:
http://srad.jp/comments.pl?sid=564090&cid=2126299

MACアドレスはハッシュして送信するとのことで、また事前に情報送信に対する同意を求めているため、プライバシー侵害とは言えないのでは。
(下記のSDK利用規約に記述あり)。
http://satch.jp/jp/terms/index.html

347037 submission
犯罪

イカタコ被告人をGeorge Hotz同様に企業が雇うべき、とガジェット通信 121

タレコミ by jbeef
jbeef 曰く、
ガジェット通信が、「イカタコ容疑者をヘッドハントする企業はないの?」という記事を出している。著者の草野真一氏は、イカタコウイルスの作者を「エンジニアとして相当の腕があるのは事実でしょう」と評価。「iPhoneのジェイルブレイクを繰り返し、Appleのセキュリティを幾度となく破った」ジョージ・ホッツ氏と同列視して、「ホッツ君もソニーに訴えられたわけですから中辻氏と同じ容疑者」「Facebookは彼の「容疑者」属性よりも、実力を買ったんです」として、「日本にだって、その実力を買う企業が出てきたっておかしくないのに」「メディアがあまり報じない部分で誤解が広まっている可能性もある」と疑問を呈している。さらには、「日本の国益を考えれば、彼を牢獄につないでおくのは絶対に得策じゃない」「セキュリティ・ソフトウエアを作ってる会社とか、彼の知識と能力は相当役に立つでしょう」というのだが、はてさてフフーン。
285463 comment

jbeefのコメント: Re:だから、法律を理解しろよ (スコア 2, すばらしい洞察) 89

by jbeef (#1879749) ネタ元: ウィルス作成罪、今度こそ創設へ

故意を否定しているのではなく、故意を肯定する要素を否定しているのです。

つまり、故意を肯定する要素の一つを否定しているだけで、それが決定的な根拠になることはないと合意していただけたようです。

警察は「落ちるはずのないサーバが落ちたのだから」という理由で、検察は「プロならわかるはず」という理由で、被疑者の故意を推定したわけで、それらを否定することは最も重要な要素です。故意を証明する「決定的な証拠」も存在しなかったのですから、サーバ側の欠陥は最も重要な証拠です。意味、わかりますか?

警察が故意を疑ったのは、アクセスを遮断されたら他からアクセスしたとか、他の要素も入っていて、サーバーのバグなんて話は、そういう要素の否定にはなってないわけです。

だからこそ警察や検察が批判されているのです。故意の推定に最も重要な要素「サーバのバグ」について捜査することを怠った。

やっている本人が「このアクセスでサービスが落ちるなんてことは考えられない」と思いこんでやっていた場合には、過失を主張できます。

その通りです。実際その通りだったそうです。

その通りだったそうです、ってのは、本人がそう言っているという話ですよね。それで、はいそうですか、と警察や検察が納得したら、世の中に有罪になる事件なんて存在しなくなりますね。

あなたは、自分が痴漢に間違えられて逮捕されるとき、その考えを貫きますか?

仮に、「サービスが落ちてるけど、それはサーバーのバグのせいで自分は悪くない」などと開き直ってアクセスし、実際に何回もサービスを落とした人がいたら、それは故意の業務妨害で有罪です。

その通りですがこの事件に関係ありません。

関係ないかどうかは、調べないとわからないことです。警察や検察が勝手な判断でその可能性を排除して捜査しなかったら、そっちの方が問題です。そのパターンなのかどうか調べないわけにはいかないでしょう。

逮捕して調べたところ、そのような兆候を示す証拠は何も得られなかったというのが、今回の事件です。知りませんでしたか?

あなたはどうですか? あのような仕組みと性質のバグのことを知っていましたか?(事件が明るみになる前の時点で。)

なんらかの条件を満たしたアクセスによってリソースを使い尽くしてしまう類のバグは DoS 攻撃では一般的に利用されてますよね。通常のアクセスでもリークを起こすようなタコなプログラムなんて、珍しくないでしょう。

本物のDoS攻撃用のツールが起こすアクセスと、今回のアクセスの、技術的な違いを知らないのですか? 違いを考慮しないで十把一絡げに語ろうとするのは、あなたに何の能力が欠けているからでしょうか。

「世の中のサーバーのリソース管理はまともなところばかりで、アクセスが一定量を超えたときにリソースを使い尽くして死ぬものはない」、なんて主張する人がいたら、そんなわけないだろと返事します。もちろん、事件が明るみになる前の時点の話ですよ。

今回のアクセスの方法であれば、通常、落ちないはずと考えるものです。なぜなら、たとえばひとつには、既に検索エンジンからのクローラアクセスを受けているはずだからです。

あなたはどうですか?事件が明るみになる前の時点で、「世の中のサーバーのリソース管理はまともなところばかりで、アクセスが一定量を超えたときに死ぬものはない」なんて主張する人がいたら、ああ全くその通りと大賛成したんでしょうか。そんなわけないでしょ。

今回のアクセスの方法であれば、ああ全くその通りと大賛成したでしょうね。事件が明るみになる前の時点で。

サーバ側の不具合の可能性を疑い始めたのは勾留された後、取調中にアクセスログを見せられてですよ?

と、本人が現在言ってますという話ですね。

何か不足が? それ以外の証拠、つまり、本人の故意を推定させる証拠は、何も見つからなかったことが明らかになっています。

技術的にはそれに気づくだけのベースがあったことは間違いないわけです。

根拠がありません。逮捕勾留という異例の事態に追いつめられ、アクセスログを見せられて、ようやくその可能性に思いが至ったと考えるのが普通でしょう。

だったら、なんでその前に気づかないのかと。サービスが落ちているのに気づかなかったのは本当ですか、という疑問が生じるわけです。

あなたも一度、痴漢冤罪で逮捕されてみてはいかがですか?

285412 comment

jbeefのコメント: Re:だから、法律を理解しろよ (スコア 2, すばらしい洞察) 89

by jbeef (#1879675) ネタ元: ウィルス作成罪、今度こそ創設へ

故意を否定する人が持ち出す根拠は、「アクセス頻度は一秒一回程度」とか、「サービスが落ちたのはサーバーにバグがあったから」というものですが、それは故意かどうかの判断に影響を与えません。

いいえ影響があります。もし仮にサーバ側にバグがなくてもこういうことが起きるとすれば、それは、どこでも容易に起き得ることを意味しますので、その場合には、故意があったはずだとの推定を導きます――(A)。しかし今回、事実はそれと異なります。サーバ側にバグがなければ起きないことが起きたわけです。今回のような事例は前例がなく、今回初めて世間に明らかになったものです。従来、こういうことでサーバに大きな障害が出ることがあるとは、通常考えられてきませんでした。そのため(A)の「故意があったはずだ」との推定は導かれません。以上の論理から、故意を否定するために、サーバ側にバグがあったことの証明は重要な意味を持ちます。わかりますか?

仮にそれで故意が否定できるなら、サーバーのバグをついて落とすDoS攻撃を業務妨害罪に問えなくなります。実際にはそんなことはありません。

関係のない話です。「サーバ側に不具合があっても業務妨害罪に問える」ことと、「サーバ側の不具合の存在が故意の推定の否定に関係する」こととは、排他ではありません。意味わかりますか?

故意を否定しているのではなく、故意を肯定する要素を否定しているのです。わかりませんか?

故意かどうかの判断に影響を与えるのは、「サービスが落ちていることに気づいていたかどうか」という点です。ですから、やっている本人が「このアクセスでサービスが落ちるなんてことは考えられない」と思いこんでやっていた場合には、過失を主張できます。

その通りです。実際その通りだったそうです。

そうではなくて、サーバーにバグがあれば落としてしまうようなアクセスをしていることを知っているのであれば、相手に迷惑をかけないよう、サービスが落ちてないかどうか気をつけることが期待されます。

サーバにバグがあれば落ちるようなアクセスであるとの認識はなかったそうです。今回のような事例は前例がなく、今回初めて世間に明らかになったものです。

仮に、「サービスが落ちてるけど、それはサーバーのバグのせいで自分は悪くない」などと開き直ってアクセスし、実際に何回もサービスを落とした人がいたら、それは故意の業務妨害で有罪です。

その通りですがこの事件に関係ありません。

岡崎の事件では、逮捕に至る前に一度アクセスを遮断されています。仮に、自分のアクセスがサーバーのバグをついてしまう可能性を認識し、そういう事態にならないように意識できている人なら、この時点で気づいてクロールを止めることができ、逮捕は避けられます。

自分のアクセスでサーバが止まるようなバグがあるとは思わなかったそうですよ。遮断については本人の弁を参照のこと。

が、実際には、他のサイトからアクセスを継続しました。この時点で考えられるのは、「サービスが落ちてるが知ったことか」と開きなおってやっているのか、あるいは、本当に無知で「このアクセスでサービスが落ちるなんてことは考えられない」と思ってやっているかです。前者の疑いが濃厚だと判断されたから、逮捕されたわけです。

「無知で」というか、普通、後者の通りだと思いますよ。あなたはどうですか? あのような仕組みと性質のバグのことを知っていましたか?(事件が明るみになる前の時点で。)

ちなみに、本人は、サーバーのバグでリソースを使い尽くして落ちている可能性を取調べで指摘しています。この話を聞いて、私はこの事件に関する認識を変えました。「このアクセスでサービスが落ちるなんてことは考えられない」と思い込み、過失で落としていたという話かと思っていたら、実は落ちる可能性を認識していたわけです。

エエ? サーバ側の不具合の可能性を疑い始めたのは勾留された後、取調中にアクセスログを見せられてですよ? 後からその可能性に思いをめぐらすことと、逮捕前に知っていたことが、あなたには同じことに見えるのですか? 論理がおかしくありませんか?

しかも、取調中の段階でも、どういう不具合なのか具体的にわかったわけでもありません。アクセスログのコードから、DB接続のエラーではないかということ、何らかの不具合ではないか?と疑うまでが精一杯で、釈放後に書かれた librahack.jp でも「技術者の方へご質問」という記事が書かれています。サーバ側に明確な欠陥があったことは、周囲の人々の分析によって8月になってようやく突き止められたことであり、本人がそれを初めからわかっていたわけではありません。わかりますか?

逮捕は当然です。起訴されていれば有罪になっても不思議ではないケースでしょう。

出鱈目ですね。

234074 submission
変なモノ

「業界初、PCへの個体識別番号付与」を謳うサービスが登場、その実現方法は? 60

タレコミ by jbeef
jbeef 曰く、
5年前に「右クリックとHTMLソース閲覧の禁止を提供するソフトが登場」というストーリがあったが、今度は「PCへの個体識別番号付与」を実現するというサービスが登場した。

SourceForge.JPによると、ソフトバンク・ペイメント・サービス株式会社ほか2社らが、「Cross-Z(クロス・ゼット)」と呼ばれる、Webサイト向けの「不正」対策サービスの提供を開始したという。ここで言う「不正」とは、「ポイントサイト」において「複数IDを登録して、各IDで少額ポイントを獲得し、換金後に退会する」といった行為や、会員制サイトでの「何回も会員登録を行うなどの不正行動」のことを指しており、これを防止するために、「個別のPCごとに個体識別番号を生成し、ユーザの行動履歴を利用する」のだという。

ガラケーじゃあるまいにどうやってPCのWebでそんなことを? と疑問を抱かずにはいられないが、同社らのプレスリリースは、「ブラウザの利用履歴やキャッシュを削除しても同一の個体識別番号を利用し個体識別します」と謳っている。おそらくは、Flashクッキーや、HTML 5のローカルストレージに類するもので実現しているのではないだろうか。

そもそも、利用者のPCに何かをインストールさせない限り、変更不能な「個体識別番号」なんぞ原理的に実現不可能であるし、偽装を防ぐこともできないわけで、このサービスが何をやっているのかが気がかりだ。スラド諸兄の試用レポートを求む。
208041 submission
リンク

日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 174

タレコミ by jbeef
jbeef 曰く、
日本経済新聞がWebサイトを刷新、新サイト「日本経済新聞 電子版」を始動した。新サイトは「紙と違う魅力満載」として紹介され、「新聞では表現できない」「これまでにない読み方を提案」「ネット時代にふさわしい情報発信の新しいプラットフォームを目指す」とされていた。しかし、始動した新サイトのフッタには「リンクポリシー」というページが用意されており、次のように書かれている。

リンクポリシー

  • 「日本経済新聞 電子版」のフロントページや専門サイトのトップページへのリンクは原則として自由ですが、リンクを張る場合は、リンク先のページとURL、リンク元のホームページの内容とURL、リンクの目的などを記載してお問い合わせページでご連絡ください。
  • リンクの仕方やページの内容によっては、お断りする場合があります。リンクをお断りするのは次の場合です。
    1. 営利目的や勧誘を目的とするなど、「日本経済新聞 電子版」の趣旨に合わないホームページからのリンク
    2. 「日本経済新聞 電子版」のコンテンツがリンク元のホームページの一部に見えるような形のリンク(フレームの中にコンテンツを取り込むような形のリンクなど)
    3. 日本経済新聞社の事業に支障をきたす恐れがあるリンク
    4. 個別記事へのリンク
  • リンクを張る場合には、「日本経済新聞 電子版」へのリンクだとはっきりと分かる表現・記述をしてください。ただし、「日本経済新聞 電子版」のロゴマークはリンクボタンとして使わないでください。
  • 以上の項目に違反した場合は、損害賠償を請求することがあります。

2010年にもなって個別記事へのリンクが禁止だという。これのいったいどこが「ネット時代にふさわしい情報発信の新しいプラットフォーム」なんだろうか。あえてはっきり言いたい。馬鹿じゃないの?

59184 submission
日本

グーグル日本法人「急上昇ワード」の汚い宣伝手法で自滅 130

タレコミ by Anonymous Toward
Anonymous Toward 曰く、
2月10日の午後、グーグル日本の公式ブログに「Google のマーケティング活動について」という告知が出た。「お詫びするとともに、再発防止に向けて、透明性の高いコミュニケーションに努めてまいります」と結ばれているのだが、何のことやら意味がわからない。どうやらこれは、TechCrunchの記事「Yahooからの市場奪取に向けて手段を選ばぬGoogle、PayPerPostキャンペーンを採用」で指摘された、Pay-Per-Post手法による宣伝キャンペーンを中止したという話のようだ。CNET Japanの記事がこの顛末を伝えている。

経緯をたどると、2月9日の時点でネタフルがレポートしていたように、Googleは「急上昇ワード」の宣伝のために、ブロガーにお金を払って口コミ記事を書かせるバズマーケティング手法「CyberBuzz」(サイバーエージェントの子会社のサービス)を実施していた。「急上昇ワードランキング ブログパーツ CyberBuzz」でブログ検索すると、お金をもらって書いたと思われる提灯ブログが大量にヒットする(事例1事例2事例3)状態だった。米国では同様の手法を用いる「PayPerPost」が、Webの検索結果にspamまがいのゴミをまき散らすことになりかねないとして、以前からGoogleに問題視されていた。2007年11月には、「PayPerPost参加ブログ、Googleから締め出される」、「ページランクがゼロになり途方に暮れるPayPerPostユーザーたち」という記事が出ていた。今回のグーグル日本法人の行為が、Asiajinのサイトで「Google Japan Buys Dirty Pay-Per-Post Links(Google日本が汚いPay-Per-Postリンクを買う)」として英文でレポートされると、TechClunchの記事になり、急きょ当該キャンペーンの中止という展開になったようだ。

CNET Japanの記事によると、この件についてグーグル日本法人は取材に応じ、「急上昇ワードランキングのブログパーツをプロモーションするにあたって、ブログを使ったクチコミマーケティング手法が有効であると考えた」「ブロガーに対してメディア掲載費を支払った」と答えたそうだ。これが、Google自身のウェブマスター向けガイドラインに違反していることを認め、キャンペーンを中止したという。既に書かれたブログについては削除または修正を依頼していくとのことだが、Googleは「ガイドラインに違反する行為が認められた場合には、適切な処置を行うことがある」としているのだそうで、削除や修正に応じない場合、参加したブロガーらがページランク引き下げあるいは検索インデックスからの削除といった被害に遭うおそれがあるようだ。

こうした、検索のランキングを人為的に上昇させようとする行為に対するGoogleの厳しい考え方は、Google Japan Blogの「PageRankの計算に使われるリンクを売り買いすることについて [前段]」と同 [後段]に詳しく説明されており、次のように書かれているのだが、まさにこれをグーグル日本法人自身がやってしまったわけだ。

残念なことに、ウェブマスターの方々のなかに、検索エンジンのランキングを操作する目的でリンクの売買を行う方もいて、私たちはインデックスの質を守るために対策を行うことがあります。PageRank を渡すリンクの売買は、Google の ウェブマスター向けガイドライン 違反になります。その理由は、売買されたリンクは次のような理由から、的確な検索結果を提供する妨げになることがあるからです。

  • 不正確である: 偽りの人気度を示しており、そのサイトが本来持つ評価、関連性、信用に基づいていない。
  • 不公平である: 自然発生的であるはずの検索結果の中で、資金力のあるサイトに不当に有利になってしまう。

TechCrunchの記事には「日本では米国におけるほどPayPerPostに対する風当たりは強くない」とあるのだが、はたしてそうだろうか。確かに従来、マスコミでブログが取り上げられるときは、「口コミマーケティングで新しいビジネス」という形で取り上げられることが多かった。また、Googleの今回の告知文に対する反応を見てまわると、例えば、Webプランナーの美谷広海氏のブログでは、「ほかならぬグーグルこそが、AdSenseによりブログをプロモーション活動のメディアとして活用してきた」「プロモーション活動でブログを活用することは広く行われていることですし、AdSenseなどを通じてブログとの関係が深いグーグル」と書かれており、何が問題とされているのかあまり理解されていないようだ。

40440 submission
アップル

Safari 3.2リリース、EV SSLに対応 46

タレコミ by jbeef
jbeef 曰く、
AppleのWebブラウザ「Safari」のバージョン3.2がリリースされた。FirefoxやIEと同様に、フィッシングの疑いが報告されているサイトへのアクセスをブロックして警告する機能が搭載されたほか、EV SSLに対応した。4月には、PayPalがEV SSLに対応しないブラウザを締め出すのではないかとの噂が話題になった(関連ストーリ「PayPalがフィッシング対策を強化」)が、これで解決といったところだろうか。EV SSL対応サイト(たとえば https://mixi.jp/)にアクセスすると、ウィンドウの右上角の南京錠マークの左に、緑色でサイト運営者名が表示されるようになった。このユーザインターフェイスは使いやすいだろうか。その他、Safari 3.2には11件の脆弱性修正が含まれるとのこと。
37943 submission
プライバシ

謎の行動ターゲティング広告の仕組みが判明、Flashの脆弱性を活用 122

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
6月27日のストーリー「行動ターゲティング広告とプライバシー」で、「閲覧情報の照会範囲が世界中のウェブサイトへと拡大」というのが謎とされていた、楽天とドリコムの新型広告システムについて、その仕組みがNIKKEI NETの記事「行動ターゲティング広告はどこまで許されるのか」で明らかにされた。記事によると、「ブラウザー側の欠陥を突くことによって閲覧履歴を取得するもの」で、「Flashオブジェクトの中に数千個の隠しリンクが埋め込まれており、JavaScriptによってそのリンクの訪問の有無を調べ、どんなカテゴリーのサイトに多く訪問しているかを集計」しているのだという。記事では「合法ではあるが、企業のビジネス行為として倫理的に許されるものだろうか」と疑問を投げかけているが、スラッシュドットのみなさんはどう思われるだろうか。
25626 submission
テクノロジー

携帯電話の電波を受信し、公共施設等での行動を把握するシステム 57

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
ショッピングモールで携帯電話を使って顧客の動きを把握するシステムの運用が開始されている(本家/.記事)。顧客の携帯電話が発する電波を受信し、三角測量によって位置を割り出す仕組みで、顧客の移動経路、各店舗で過ごす時間などの情報を数メートル単位で把握でき、マーケティングに活用できる算段だ。Path Intelligenceという会社によって開発されたこのシステムは既に英国の2つのショッピングモールで運用され、来月にも新たに3つのモールで運営開始予定となっている。顧客の動きは端末固有の番号であるIMEI(International Mobile Equipment Identity)によって識別されるが、法的にはこれは「個人情報」に当たらないとのこと。
タレコミ人はIMEIについて詳しくないのだが、例えば空港などにこのシステムを取り付け犯罪捜査に活用するということも可能なのだろうか?
23583 submission
セキュリティ

サウンドハウスの情報流出の経緯のまとめ 133

タレコミ by peyoung
peyoung 曰く、
4月18日付けの 不正アクセスに伴うお客様情報流出に関するお詫びとお知らせからリンクされているPDF文書が興味深い。

サウンドハウスでカード情報漏洩の経緯が詳細に書かれている。どういった攻撃があったのか、情報公開が遅れた理由、関わった会社はどこか、当時と現在のセキュリティ体制など、こういった事件のときにあまり表に出てこない情報が満載です。ためになりました。

情報元へのリンク
23556 submission
日本

靴底にRIFDを埋め込んで児童の居場所を把握する小学校が登場 168

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
17日の朝日新聞の記事産経新聞の記事(共に写真あり)及び毎日新聞の記事によると、大阪教育大学付属池田小学校が、5年生と6年生の全児童の上履きの靴底にRFIDタグを埋め込み、玄関と運動場の出入り口のマットの下にRFID読み取り機のアンテナを配備して、そこを通る児童をコンピュータで記録するシステムを導入したという。記録された情報は、職員室のパソコンで閲覧できるほか、担任教師の携帯電話でも確認できるそうだ。1年間の実験とのことだが、継続することも検討するという。 同校の校長で学校安全が専門の藤田大輔大阪教育大学教授は、「くつの中に埋め込めばICタグを付け忘れる心配もない」、「地震や火災などで逃げ遅れた子供を早期に発見できればいい」などと話しているとのこと。4、5年前から繰り返されてきたこの種の実験には食傷気味だが、ここまで人間の尊厳に気を遣わない直球な手法が登場したのは今になってこれが初のようだ。文部科学省の学校安全の研究費によるものらしい。
23514 submission
日本

内閣メールマガジンがHTMLメールに移行する?

タレコミ by
あるAnonymous Coward 曰く、
2001年に鳴り物入りで登場した「小泉内閣メールマガジン」、当時タレコミ子も物珍しさもあってすぐさま購読登録したものでした。その後、総理大臣の交代後も引き継がれ、現在は「福田内閣メールマガジン」となっていますが、皆さんも購読していらしゃるでしょうか。タレコミ子はもう読んでないのですが、解除するのも面倒なのでそのままゴミ箱へ自動振り分けしています。さて、4月17日の日刊ゲンダイの記事「グチ、ボヤキばっかり「首相メルマガ」年間1億円のムダ遣い 」によりますと、このメルマガに2008年度予算に1億1250万円を計上しているのだとか。スラッシュドットでは2006年に「小泉内閣メールマガジン+首相官邸Webサイトの制作運営費は年間7億円超」というストーリーもありましたから、IT業界の方からすれば1億ちょいくらい大した金額じゃないのかも?
ところでその福田内閣メールマガジンですが、日刊ゲンダイの記事によりますと、「これまでの文字だけのメルマガと違い、今度は写真などの画像も付けられるHTML形式になる予定です。(永田町事情通)」とのこと。HTMLメールといえば、ウイルス感染したりフィッシング詐欺に騙されやすくなったりと、セキュリティの問題が古くから指摘されているところです。内閣官房情報セキュリティセンター(NISC)も、「府機関統一基準適用個別マニュアル群」の「庁舎内におけるクライアントPC利用手順 電子メール編」(PDF)で次の通り定めているところです。

3 電子メールソフトの設定
3.1 電子メール受信に係る設定
(1) 行政事務従事者は、受信した電子メールをテキスト(リッチテキストを含む。)として表示することとし、HTMLメールなどの表示による偽のホームページへの誘導や不正なスクリプトの実行を未然に防ぐこと。
3.2 電子メール送信に係る設定
(1) 行政事務従事者は、原則として、HTML形式の電子メールを送信しないこと。これは、当方よりHTML形式の電子メールを送信した場合、それを受信した側の情報セキュリティ水準の低下を招くおそれがあるからである。
政府機関内でセキュリティ上の理由で利用を禁じているHTMLメールを、内閣メールマガジンでは、国民には読めるよう設定させる計画なのでしょうか。常時接続が当たり前となった2008年の今、はたしてメールマガジンというスタイル自体どうなのかと疑問です。派手なコンテンツにしたければウェブページにマガジンをおいて、RSS配信するのが今時のやり方ではないでしょうか。
23279 submission
プログラミング

メモリ操作の安全性を保証する、ANSI C規格準拠C言語コンパイラ 81

タレコミ by Nuisan
Nuisan 曰く、
数日前の話になりますが、産業技術総合研究所は4月11日、既存のC言語プログラムにメモリ操作の安全性を付与できるコンパイラ、「Fail-Safe C — release 1」を開発したと発表しました(産総研のプレスリリース)。
プレスリリースや開発部門である情報セキュリティ研究センターの解説ページによると、既存のソースコードをそのままこのコンパイラに掛けるだけで、危険なメモリ操作の自己チェック機能を備えた実行可能ファイルが生成されるという仕掛けのようです。更に、このコンパイラはANSI C規格に完全準拠しており、また厳密には規格違反だけれども既に一般的になっている様々な記述手法についても安全な範囲でサポートしているとのこと。
バッファオーバーフロー等、メモリ破壊が原因のソフトウェア脆弱性が後を絶たない現状ですが、こういうコンパイラが普及したら少しはそのような状況が改善されるのかなぁ、と期待します。このコンパイラはオープンソースでLinux対応だそうなので、C言語+Linux使いの皆様におかれましては、お手元のソースコードがこのコンパイラを通るかどうか実際に試してみるのも面白いのではないでしょうか。

以下、プレスリリースの概要を引用します。

 
独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【研究センター長 今井 秀樹】ソフトウェアセキュリティ研究チーム【研究チーム長 柴山 悦哉】の 大岩 寛 研究員は、日本工業規格(JIS)や、米国規格協会のANSI C規格互換でメモリ安全性を確保するC言語コンパイラ「Fail-Safe C — release 1」を開発した。インターネット上で用いられるサーバーソフトウェアなどのセキュリティ脆弱性の防止に利用できる。今回、産総研情報セキュリティ研究センターは「Fail-Safe C — release 1」をウェブサイト上で一般に公開する(https://www.rcis.aist.go.jp/project/FailSafeC-ja.html)。

 このコンパイラはC言語で書かれた既存のプログラムをそのまま処理し、プログラム中のメモリ操作の正しさを常に保証しながら動作させることが可能である。そのため、通常のコンパイラの代わりに、このコンパイラを用いてC言語で書かれたプログラムを処理すると、不正コードを含むコンピューターウイルス等によりプログラムが攻撃された場合でも、通常のコンパイラで処理されたプログラムのように実行が汚染されることや不正コードに乗っ取られたりすることを防止し、プログラムを安全に停止させることができ、システム全体の安全性が大きく向上する。

 今回公開する「Fail-Safe C — release 1」は、Linuxオペレーティングシステム上で動作し、日本工業規格(JIS)または米国規格協会のANSI規格に準拠したC言語プログラムを基本的にすべて動作させることができる。これまで完全なメモリ安全性とANSI規格への完全準拠を両立したものはなく、これを実現したことが本コンパイラの特長である。

情報元へのリンク
23266 feed

Open Tech Press: 産総研、メモリ安全性を確保したC言語コンパイラを開発

フィード by otpdeveloper-feed
独立行政法人 産業技術総合研究所(産総研)は、JISやANSI C規格と互換性を持ち、メモリ安全性を確保したC言語コンパイラ「Fail-Safe C - release 1」を開発、2008年4月11日に一般公開した。ライセンスはQPL(Q Public License )を採用した。
情報元へのリンク
typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...