6月1日のtwitterセキュリティクラスタ

6月になって、なぜか徐々に忙しくなってきました。仕事ってどうして重なるんでしょうね。それはどうでもいいとして、今日もセキュリティクラスタの方々は淡々と仕事に励まれていたようで、若干おとなしめです。
ネットエージェント10周年記念ということで、Winnyネットワークもそれを祝うかのように活発になってます。

HiromitsuTakagi: Winnyネットワーク観測システムが再び異常を検出。24時間の累積ノード数で、8万ノードが急増。接続成功率が急降下。ランダムIPアドレス観測。
そして、昨日の講演につきましては、togetterにまとめておきましたのでどうぞ。

はてなのXSSがなくなったそうです。指摘されてたはてなの@jkondoさん、がんばったのでしょうか。

kinugawamasato: これなおったね。 http://twitter.com/kinugawamasato/status/14843716515 ひとまずこれではてなのXSSストックがなくなった。
スーパーエンジニアの話。セキュリティの知識がないといくらスーパーな人でも脆弱性はほったらかしだったりするんですかね。

ockeghem: 昔、公開直前のサイトを診断したところ、XSSとか山のように出てきたことがあった。報告会の席で、謎のベトナム人が「そんなもの直す必要があるのか」みたいな顔で聞いていたし、量的にもとても公開までに直せないだろうと思ったけど、そのベトナム人一晩で直しちゃった。あれは凄かった
芸能人でも容赦なし。まあ、悪いのは管理してる人なんでしょうけど。

ymzkei5: ■NON STYLE 井上裕介さんの個人ページ「Gumblar.8080」改ざん – 無題なブログ – Yahoo!ブログ http://blogs.yahoo.co.jp/noooo_spam/59934681.html
忘れたパスワードを見つける8ツール。こういうのって他人のを探すよりも断然自分のパスワードを探す機会が多い私は記憶力が脆弱なんでしょうか。

Flipbooks: 8 Free #Tools To Recover Your Lost Password Stored In Popular Applications http://is.gd/51Mn9 #Security #Useful!
今回も無事出るみたいです。密かに私も書かせていただいてます。

ucq: 無事に出るのか RT @connect24h: もうすぐでる。RT @ssshinkan82: [新刊発見] 2010-06-08 Hacker Japan (ハッカー ジャパン)2010年 07月号 [雑誌] http://bit.ly/bHfzPK
引き続きDPIについて、高木先生のコメントを。通信の秘密とかプライバシーとかどう考えているのでしょう。

HiromitsuTakagi: DPI広告実施ISP事業者の同意を求める利用者への説明に真実でない記述が含まれていて、その記述は故意によるものではなかった場合、刑事訴追できるのだろうか。発覚したときに「間違えました」と言えばそれで終わりなのか。
HiromitsuTakagi: 説明に誤りがあった時点でそれまでの同意は無効になるが、無効だった期間に行われた通信傍受は、電気通信事業者の取扱中に係る通信の秘密が侵されたことになるが、その傍受行為に対して刑事責任は問えないのだろうか。
SASSER15: DPIの件。よくネット業界が待ち望んでいるという書き方をされている記事を見るのだが、どちらかというと待ち望んでいるのは広告業界では?そこからお金をもらいたい、という意味ではネット業界も欲しい技術ではあるのだろうけど
HiromitsuTakagi: しかし、事業者からのパブコメ提出意見によると、OCNとNiftyとSo-netはやる気満々のようですよ。@SASSER15
HiromitsuTakagi: OCN提出意見「行動ターゲティング広告に利用するためのDPI技術による通信情報の取得については、「例えば(中略)同意する旨の項目を契約書に設けて、明示的に確認すること等の方法を行う必要がある」ということですが、ライフログ取得に関して利用者にわかりやすく説明することを前提に、…
HiromitsuTakagi: (続き)…ことを前提に、個人向けのサービスの申し込み形態として利用度が高い「オンライン・サインアップ」等も同意取得の有効な手段の例示として追記されると利用者にもわかりやすいと考えます。」(OCN提出意見)
HiromitsuTakagi: 説明の誤りが発覚したとき、それまでに同意した利用者を当該ISPはどう扱うのか。一旦、全員未同意状態にリセットして再度同意を求めるのがスジだろうが、それが行われない予感がする。その場合、有効な同意でなくなったのを知りながら通信傍受を続けることになるので、刑事訴追できるのではないか。
HiromitsuTakagi: Nifty提出意見「ディープ・パケット・インスペクション技術の活用は、「行動ターゲティング広告」という新たなビジネスの可能性があり、通信の秘密の保護、個人情報の保護及びプライバシーの保護に関する課題など提言案にある配慮を考慮しなから、利用者に十分な理解を求めた上で実現の可能性を…
HiromitsuTakagi: (続き)可能性を模索していくことが新産業育成の観点からも重要であると考えております。」(Nifty提出意見)
HiromitsuTakagi: So-net提出意見「ライフログサービスは利用者に新たな価値を提供するサービスであり、新たな産業創造の可能性がある。事業者としてその可能性に大いに期待している。 DPIなどの個別のログ取得手法にはプライバシー保護や通信の秘密などの課題はあるが、提言案に示されたような配慮原則に基…
HiromitsuTakagi: (続き)…配慮原則に基づき、利用者の十分な理解の下に進めれば問題はないだろうと考える。」(So-net提出意見)
HiromitsuTakagi: So-netは提言案の意味すら読み違えているようだけど大丈夫か?提言の配慮原則に基づいて進めれば問題ないと言うけど、この「配慮原則」というのは、オプトアウトでOKとする従来の行動ターゲティング広告についての話であって、DPIのことは含んでいない。
HiromitsuTakagi: コメント欄 http://maruyama-mitsuhiko.cocolog-nifty.com/security/2010/05/dpiiinspection-.html
通信の秘密っていったいどうなっちゃうんでしょうね。

bugbird: 古典的な通信事業従事者の合い言葉は「秘密は墓まで持って行け」だった。DPI はそれを破戒するということ。だから、通信事業者の長があんな軽薄な事を言うべきではなかった

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>