今更だけどJIS X 0213:2004(ヴァルカンの気まぐれ日記)

セキュリティ

UTF-16で世界中の文字が表現できると思っていたが、足りなかったので2つ分のCharに仕様を変えたみたいらしいです(難しい・・

でも、Java側が対応しきれてなかったので、実装できなかったんだって、そして、JavaES5とか6で実装する環境が準備されたとのこと。ふーん!

Javaの内部の(char配列、StringクラスおよびStringBufferクラスで利用されている)文字エンコーディング方式は、UTF-16です。
そして、昔のUnicodeは世界中の文字が16bitで表現できると考えていたから、Javaでも「1文字=char型配列1つ分」という考え方でよかったんですが、実は16bitで表現できないことがわかったので、「さぁ困ったぞ」となってしまって、JSR204で検討された結果として、簡単に言うと「16bitで表現できない文字は、char型配列二つ分で表現してしまおう」となったのです。*1
つまり、Javaの仕様としては対応“できて”いるのですが、対応“する”ためには、上記のような概念の変更をJavaアプリケーション側で対処する必要があるというわけです。

それでも サロゲートペアには対応してないって事ですなぁ。

JIS X 0213:2004では、「ト」と「゜」を結合した文字などもありますが、結合などの正規化処理はJavaSE 6から実装されているので、現時点で、WLS9.x/10では結合文字は取り扱うことが出来ません。

アフィリエイト目的で書籍の文章を無断掲載、著作権法違反で逮捕

セキュリティ

アフェリエイト目的で書籍内容を無断掲載していたそうで、100個のURLで毎月10万ですか。。。一つ1000円かぁ・・・

男性は、アフィリエイト収入を得るために無許諾で書籍の文章を複製・掲載していたこと、アフィリエイト収入を得るために約100件のURLを持ち、毎月約10万円の収入を得ていたことを供述しているという。

仙石浩明CTO の日記: 技術者の成長に役立つ会社とは?(2)

セキュリティ

技術そのもので評価してくれる会社は少ないんでしょうねぇ。うちなんか(ry

技術者を「技術そのもの」で評価する会社

技術者という人材を「人財」すなわち会社の資産と考えるのであれば、技術者の成長とは、「人財」の価値の増加、すなわち会社の資産の増加を意味します。売上は単にそのとき限りのフローに過ぎませんが、 技術者の成長はストックとなるわけです。会計数字には現われにくいので見落とされがちなのですが、技術者自身の成長こそ、本来は最も評価されるべき「成果」と言えるのではないでしょうか。

こういう会社は技術者の成長によいのでしょうねぇ。技術の全体を見ることが出来るそういう教育を受けさせてくれる会社とかもよさそうですね。

本業の完璧な遂行もいいのですが、自身の能力を最も発揮できる分野は一体何なのか考える余裕は持って欲しいですし、技術者それぞれが最も自分に向いている仕事に出会えるように手助けすることこそが、技術者のための技術会社の存在意義なのではないかと思います。

「フレッツサービス」および「ひかり電話」のご利用できない状況について

セキュリティ

NTT東日本のフレッツの大規模障害、Openmyaが一番早かったか?とりあえず、東京23区、神奈川、千葉、埼玉に影響が無くって良かった・・・・

東京都(23区は除きます)、北海道、青森県岩手県宮城県秋田県山形県福島県茨城県、栃木県、群馬県新潟県山梨県、長野県の14都道県のお客様に影響が出ておりました。
なお、東京都23区および、神奈川、千葉、埼玉の3県のお客様には影響はございませんでした。

関連URL

JVN#81294906ホームページ・ビルダー付属の CGI サンプルプログラムにおける OS コマンドインジェクションの脆弱性(Japan Vulnerability Notes/Vendor Status Note JP 詳細)

セキュリティ

加藤泰文さんだぁ!!!Openmyaでお話していた内容ですね。

ホームページビルダーのCGIを使ってる人は要注意!

ホームページ・ビルダー付属の CGI サンプルプログラムのうち anketo.cgi, kansou.cgi, order.cgi には、入力内容の検査処理が適正に行われないことによる OS コマンドインジェクションの脆弱性が存在します。

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC がベンダとの調整を行いました。報告者:加藤 泰文 氏

関連URL

Webアプリセキュリティ検査ツール(ikepyonのお気楽な日々〜技術ネタ風味〜 - 今日も電車が遅れてたorz)

セキュリティ

ほしぃ!!!!

さて、どうやって公開しようかなぁ。
まずは、欲しい人にはメールで申し込んでもらうか?
まだ、ドキュメント類が全く整ってないけど・・・

IPA、15名の天才プログラマーを認定:日経パソコンオンライン

セキュリティ

今年も未踏ユースがきまったそうです。

「天才プログラマー/スーパークリエータ」は、支援対象の中から、特に優秀な人材を選出・認定するもので、過去にはVPNソフト「SoftEther」を開発した登大遊氏などが選ばれている。2006年度上期に選ばれたのは未踏ソフトから9人、未踏ユースから6人だった。認定者の開発テーマはIPAの資料(PDF形式の発表資料)に詳しい。

関連URL

ITmedia エンタープライズ:Unicode悪用の不正トラフィック、ファイアウォール通過も

セキュリティ

結局はUNICODEの処理でIPSをバイパスしてしまう技法ってやつですね。

全角と半角のUnicode文字を使って悪質なトラフィックがネットワークに侵入できてしまう問題があることが発覚した。今のところ自社製品に脆弱性があることを認めているのはCisco Systemsのみ。しかしUS-CERTのアドバイザリーでは、影響を受ける可能性があるベンダーとして90社以上を挙げている。

ITILはなぜあいまいなのか − @IT情報マネジメント

セキュリティ

ITILは様々なITに適用できるように標準的なベストプラクティスなので、色々な意味で取れるようになっていますよね。仕様ですってw

広範なフレームワークに基づいています。例えば「変更はワークフローに従って実施する」といったことが示されています。しかしほとんどの人々にとっての問題は、ITILを標準であるかのように扱っていることです。ITILは標準ではありません。

コレうまいこと言った!本当に必要なシステムですか?!

ソフトウェアを実装しさえすれば、ITIL準拠したことになるのか? ソフトウェアを実装しさえすれば、ISO 20000に準拠したことになるのか? ソフトウェアを実装しさえすれば、能力が高まるのか? 答えはすべて「ノー」です。ソフトウェアを実装することによって実現するのは、ITILのプロセスの一部をまかせられるようになるということです。

ITmedia エンタープライズ:人気通販サイトに脆弱性悪用のトロイの木馬が潜伏

セキュリティ

アニメーションカーソルを使ったページ結構あるんですねぇ。

Microsoftがアニメーションカーソルの脆弱性を修正した後1カ月以上たって、マニアに人気のネットショッピングサイトTom's Hardwareのバナー広告の1つに、この脆弱性を悪用したトロイの木馬が潜んでいるのが見つかった

火曜日に発生して、気づくのに24時間ですか、、、長いような短いような・・・

このバナー広告は24時間にわたって公開され、システムにパッチを当てていない被害者に感染した。ScanSafeがTom's Hardwareに連絡した時点で、同サイトは既に被害者からこのトロイの木馬について通報を受けているとのことだった。その後同サイトは問題の広告を削除している。

添付ファイルを暗号化ZIPにまとめるメール・サーバー機の新版,パスワードの通知機能を追加:ITpro

セキュリティ

パスワードを送付する方法と、添付を自動圧縮+暗号化するソリューションみたいです。これはおもしろい。

BRODIAEA safeAttachは,メールの添付ファイルを暗号化することで,ネットワーク上で傍受されても情報が漏えいしないようにするメール・サーバー機である。メールに含まれる添付ファイルをZIP形式のファイルにアーカイブする。ZIPには暗号化を施すため,パスワードを知っている人だけが添付ファイルを復号できる。パスワードを別途,メール受信者に伝えることで,安全なファイルのやり取りが可能になる。

HP Systems Insight Manager Session Fixation Vulnerability - Advisories - Secunia

セキュリティ

HPのInsight Managerに脆弱性があって、セッションFixation攻撃を受けるそうです。

a vulnerability in HP Systems Insight Manager, which can be exploited by malicious people to conduct session fixation attacks.

BEA Products Multiple Vulnerabilities - Advisories - Secunia

セキュリティ

**Beaに複数の脆弱性のお話です。

1) Input passed to unspecified parameters in WebLogic Server and WebLogic Express is not properly sanitised before being returned to the user. This can be exploited to execute arbitrary HTML and script code in a user's browser session in context of an affected site.

The following versions are affected:
*1179305169* WebLogic Server 9.1 GA release, on all platforms
*1179305170* WebLogic Server 9.0 GA release, on all platforms
*1179305171* WebLogic Server 8.1 released through Service Pack 5, on all platforms.
*1179305172* WebLogic Server 7.0 released through Service Pack 7, on all platforms.
*1179305173* WebLogic Server 6.1 released through Service Pack 7, on all platforms.

2) An error in the processing of requests within the "HttpClusterServlet" and "HttpProxyServlet" proxy servlets, when configured with the "SecureProxy" parameter, can potentially be exploited to gain access to certain administrative resources that are only accessible to an administrator.

The following versions are affected:
*1179305174* WebLogic Server 9.1 on all platforms
*1179305175* WebLogic Server 9.0 on all platforms
*1179305176* WebLogic Server 8.1 released through Service Pack 5, on all platforms
*1179305177* WebLogic Server 7.0 released through Service Pack 7, on all platforms
*1179305178* WebLogic Server 6.1 released through Service Pack 7, on all platforms

3) An error in WebLogic JMS can be exploited to bypass the front-end validation and read and write messages from a protected queue.

The following versions are affected:
*1179305179* WebLogic Server 8.1 released through Service Pack 4, on all platforms
*1179305180* WebLogic Server 7.0 released through Service Pack 6, on all platforms
*1179305181* WebLogic Server 6.1 released through Service Pack 7, on all platforms

4) An error in the WebLogic Server embedded LDAP can be exploited to brute force an administrator's password or to cause a DoS via repeated attempts to login.

The following versions are affected:
*1179305182* WebLogic Server 9.1 on all platforms
*1179305183* WebLogic Server 9.0 on all platforms
*1179305184* WebLogic Server 8.1 released through Service Pack 5, on all platforms
*1179305185* WebLogic Server 7.0 released through Service Pack 6, on all platforms

5) An error in the "configToScript" causes sensitive attributes like the node manager password to be stored in clear text in the executable WLST script.

The following versions are affected:
*1179305186* WebLogic Server 9.1 on all platforms
*1179305187* WebLogic Server 9.0 on all platforms

6) An error in the Administration Console can be exploited by an Admin or Deployer to upload files for deployment, against the configured security policy.

The security issue affects the following versions:
*1179305188* WebLogic Server 9.1 on all platforms
*1179305189* WebLogic Server 9.0 on all platforms

7) An error in the WebLogic JMS Message Bridge can be exploited to send unauthorized messages to a queue protected by a security policy.

The following versions are affected:
*1179305190* WebLogic Server 8.1 released through Service Pack 6, on all platforms
*1179305191* WebLogic Server 7.0 released through Service Pack 7, on all platforms

8) An error in the WebLogic Server within the handling of SSL connections can be exploited to cause a DoS by accessing an SSL port when it is half-closed.

The following versions are affected:
*1179305192* WebLogic Server 9.2 on all platforms
*1179305193* WebLogic Server 9.1 on all platforms
*1179305194* WebLogic Server 9.0 on all platforms

9) An error exists within the verification of certain signatures. If an RSA key with exponent 3 is used, it may be possible to forge a signature signed by that key.

The following versions are affected:
*1179305195* WebLogic Server 9.2 on all platforms
*1179305196* WebLogic Server 9.1 on all platforms
*1179305197* WebLogic Server 9.0 on all platforms
*1179305198* WebLogic Server 8.1 released through Service Pack 6, on all platforms
*1179305199* WebLogic Server 7.0 released through Service Pack 7, on all platforms

10) Input passed to unspecified parameters in WebLogic Portal Groupspace is not properly sanitised before being used. This can be exploited to insert arbitrary HTML and script code, which is executed in a user's browser session in context of an affected site when the malicious data is viewed.

The following versions are affected:
*1179305200* WebLogic Portal 9.2 installations using the GroupSpace application; this applies to all platform versions of WebLogic Portal 9.2 GA.

11) An error in the edit functionality for role descriptions can cause all resources that were protected to no longer be protected when entering more than 255 characters.

The security issue affects the following versions:
*1179305201* WebLogic Portal 9.2 GA on all platforms.

*1179292061*[セキュリティ]MS Windows Vista forged ARP packet Network Stack DoS Exploit**げっ!!!VistaSP0のマシンでArpパケットでネットワークスタックがDoSするそうです・・・極悪だ・・・

# Description: Microsoft Windows Vista (SP0) dumps interfaces when
# it receives this ARP packet. This DoS is useful for an internet
# cafe, wireless venue, or legitimate local attack. The victim will
# need to manually refresh their network interface. OK, sure
# it's a dumb local attack, but why does Vista disable iface!?!??

Symantec Security Response Weblog: Found Your Password on a Search Engine

セキュリティ

なんか300MBを超えるログがWebで公開されていて(クレジットカードや住所を含めた)それを検索エンジンで検索することが出来るそうです。

As I'm writing this, more than 300MB logs are at the site and we can see a huge collection of confidential information such as names, addresses, phone and credit card numbers, and login information for email, online banking, MySpace, or eBay. And all of this information can be accessed through search engines.

日本人ですか!

Posted by Kaoru Hayashi