2006-10-20

λ mixi の認証脆弱性

画像見放題で話題のmixi。

デフォルトのログインで送られる ID と パスワードの組がSSL経由じゃなくて生のまま送信されてる方がよっぽどやばいと思うのだが。 (yahoo も livedoor も同じだけど) SSLサイトに移動する際に出るかもしれない警告ダイアログが嫌だというなら、 メジャーなブラウザ&JavaScript有効な時限定でいいのでクライアント側でハッシュ化して送るぐらいの芸当は見せてほしいもんだ。 Yahooに匹敵するサイトにまで育てたいというんなら是非。

認証で制限をかけつつ画像はキャッシュさせて負荷を減らすのは難しいようだ の件、リンク先はPHP経由でアクセスした場合の話題だ。

クッキー情報を利用して認証するようなApacheモジュールとか、あるいは mod_rewrite ルールを書いて、 クライアントから見たらただの画像という状況だったら普通にキャッシュしてくれるんじゃないか。

と思ったのだが、途中に共有キャッシュサーバがいた場合はどうなんだろ。 クッキーの中身が違ったら別リクエストなのか、とか、 クッキーの中身のうち「クッキーの有効期限だけスライディングで更新されてたら」別リクエストなのか、とか悩みが尽きない。

こんな時は共有キャッシュされないように HTTP/1.1 の Cache-Control: private だ。 …これがどれぐらいまともに機能するのかは分からんけど。 特に根拠のない数字で言えばカバー率90%はいけても99.9%はダメなんじゃないかな。

そしてmixi側で画像キャッシュサーバがいた場合は…… そこに認証モジュール組み込まないといけないわけだが、 「キャッシュ専用アプライアンスサーバ」としてどっかから買ってきたものだとすると困難かもしれぬ。あとakamai経由とか。

λ [.NET] SignTool.exe

証明書ストアに有効なコード署名証明書が1つしかないんだったら

signtool sign /v /a tako.exe

とやるだけで署名できる。

WindowsServer2003上で運用している証明機関に「コード署名」テンプレートを追加すると、コード署名証明書を発行できるようにさる。 それで発行した証明書を使って署名しつつ、発行元を信頼するようにしてやれば 不明な発行元 と文句言われないように構成できるようになるはず。

λ Bluetoothハンズフリー:社員証フォルダー型

社員証なしだと会社の入れない現在、財布レベルで絶対に持ち歩き忘れない物になっている社員証+社員証入れ。

これだったら仕事中に普通に使えそうだ。しかも常に持ち歩ける。

Bluetooth GPS Receiver with Digital Compass を買おうかどうか悩んでいたら見つけた。

λ 総務省、NTT東西のIPv6相互接続に関して認可の方向

前回記事を読んだ後冷静に考えると、NTT東西間だけつながるのか? と思ったのだが、

認可の条件としては、IPv6通信の中継伝送区間に係る接続事業者の選定は公平性・透明性を確保すること、IPv6通信を行なう際の通信手順など技術的条件に関する取り決めが他の事業者との相互接続に著しい支障を及ぼさないことなどが案として上げられた。このほか、中継伝送路を自ら設置するなどサービス提供の仕組みを変更するといった場合には、改めて認可申請が必要としている。

意味がわからないよう。接続事業者はNTT東西自体ではない(たぶんNTTCom)だけど、やっぱり外界には出られないということ? それとも出られる?

まあ外界に出られるIPv6サービスを今のFlets.NET 月額300円のままで提供されたら、他の事業者に著しい支障がある気はする。

本日のツッコミ(全1件) [ツッコミを入れる]
λ 川上みけ (2006-10-24 18:33)

知ってるかもしれないけど、HI-406BT-Cは$HCHDMセンテンスを出力してないのだよー。

[]