前回の記事でインストールは終わったと思うので、
実際に使えるように設定を確認します。
まず、ZAPを起動して、「ツール」⇒「オプション」を開きます。
「ローカルプロキシ」の項目を開きます。
ここで、設定を確認します。
Address:localhost
ポート:8080
がデフォルトとなっていますので、この設定をブラウザに入れます。
今回はFireFoxを使ってみました。
設定が完了したら、適当なページを開いてみましょう。
このときに画面が正しく表示されていれば、ZAPの画面は次のようになっているはずです。
このように一覧がなっていれば準備はOKです。
早速診断をしてみようと思いますが、
それは次回。
2011年11月11日金曜日
2011年11月10日木曜日
zaproxy(ZAP)の使い方 ~インストール編~
Parosの派生ツールが出ているみたいなので、早速試してみた。
このツールはデフォルトで日本語対応しているようなので、日本人にはありがたい?ツールかもしれない。
本家はこちら
http://code.google.com/p/zaproxy/
早速ダウンロード。
ダウンロードページから該当するOSを選んでくればよい。
インストールに戸惑うことはないと思うので、その部分は割愛。
最初に起動すると次の画面が表示される。
(ちゃんと規約を読んでから)「Accept」を押して次に進む。
起動中・・・
起動するとTIPSが表示される。
画面を閉じると、初回だけヘルプページが表示されます。
(ただし英語です)
それを閉じると、ついにZAPが起動します。
初回起動時は、これも英語の画面になります。
「Tools」→「Options...」を開きます。
「Language」の項目を開き、『日本語』(デフォルトでなっているはず)を確認し「OK」します。
その後、ZAPを再起動すると・・・・
先ほどと同様にTIPSが表示されますが、文字化けしているのはご愛嬌。
メニューが日本語に変わっています。
使い方については、次回。
このツールはデフォルトで日本語対応しているようなので、日本人にはありがたい?ツールかもしれない。
本家はこちら
http://code.google.com/p/zaproxy/
早速ダウンロード。
ダウンロードページから該当するOSを選んでくればよい。
インストールに戸惑うことはないと思うので、その部分は割愛。
最初に起動すると次の画面が表示される。
(ちゃんと規約を読んでから)「Accept」を押して次に進む。
起動中・・・
起動するとTIPSが表示される。
画面を閉じると、初回だけヘルプページが表示されます。
(ただし英語です)
それを閉じると、ついにZAPが起動します。
初回起動時は、これも英語の画面になります。
「Tools」→「Options...」を開きます。
「Language」の項目を開き、『日本語』(デフォルトでなっているはず)を確認し「OK」します。
その後、ZAPを再起動すると・・・・
先ほどと同様にTIPSが表示されますが、文字化けしているのはご愛嬌。
メニューが日本語に変わっています。
使い方については、次回。
2011年10月19日水曜日
ここが変だよPマーク その4
今回は、プライバシーマークのホームページを見てみます。
プライバシーマークのホームページに今年度からこんなリンクができているのを知っていますか?
さて、このバナーのリンク先は、次のようになっています。
http://privacymark.jp/
ということで、バナーを踏んで飛んでみましょう。
次のようなページが表示されます。
あれれ?
リンク先がリダイレクトされて書き換わってますね。
https://privacymark.smktg.jp/public/authapi/login?api_key=4e79a0fdc5dbb5af785d9bb3610f68af&api_sig=2221a316073d939e599008429b91f1c7e1b70274&callback_url=http://member.privacymark.jp/login.php
大きな点は二つです。
①http が https になりました
②JIPDECのサイトだったのが smktg.jp のサイトに変わってしまいました。
①について、httpsになったことで、サーバ証明書が利用されています。
なのでサーバ証明書を見てみましょう。
発行先の項目を見ると
*.smktg.jp
ってなっています。
このドメインは、②のドメインと一致しています。
さて、このドメインは誰のものでしょうか?
http://smktg.jp/
にアクセスするとすぐに分かりますが、
株式会社シャノン という会社にたどり着きます。
ここで問題が出てきました。
JIPDECのページを見ていたはずなのにいつの間にか株式会社シャノンのページに変わってしまいました。
しかも『株式会社シャノンのサイトにログインしろ!』ということになっています。
ということで、JIPDECに対して以下の趣旨の質問を送りました。
(返答がこないので2回目を送ったわけですが・・・)
別件で問い合わせを送ったときには2営業日程度で返送いただいているので、問い合わせは見ていただいていると思うのですが・・・。
この 付与事業者限定「プライバシーマーク付与事業者専用サイト」 を利用するに当たって、
利用規約が存在し、利用規約の中で、JIPDECの定める「個人情報保護方針」への同意をもとめているのですから、適切な対応をしていただきたいものです。
プライバシーマークのホームページに今年度からこんなリンクができているのを知っていますか?
さて、このバナーのリンク先は、次のようになっています。
http://privacymark.jp/
ということで、バナーを踏んで飛んでみましょう。
次のようなページが表示されます。
あれれ?
リンク先がリダイレクトされて書き換わってますね。
https://privacymark.smktg.jp/public/authapi/login?api_key=4e79a0fdc5dbb5af785d9bb3610f68af&api_sig=2221a316073d939e599008429b91f1c7e1b70274&callback_url=http://member.privacymark.jp/login.php
大きな点は二つです。
①http が https になりました
②JIPDECのサイトだったのが smktg.jp のサイトに変わってしまいました。
①について、httpsになったことで、サーバ証明書が利用されています。
なのでサーバ証明書を見てみましょう。
発行先の項目を見ると
*.smktg.jp
ってなっています。
このドメインは、②のドメインと一致しています。
さて、このドメインは誰のものでしょうか?
http://smktg.jp/
にアクセスするとすぐに分かりますが、
株式会社シャノン という会社にたどり着きます。
ここで問題が出てきました。
JIPDECのページを見ていたはずなのにいつの間にか株式会社シャノンのページに変わってしまいました。
しかも『株式会社シャノンのサイトにログインしろ!』ということになっています。
ということで、JIPDECに対して以下の趣旨の質問を送りました。
①利用者側では、[https://privacymark.smktg.jp/]ドメインのサイトが悪意のあるサイトではないことをどのような手段で確認できるのでしょうか?などの質問を8月17日、9月6日の2回送ったのですが、JIPDECからは何の返答もありません。
(第三者のドメインであるため、サーバ証明書の有無では、悪意のあるサイトであるかの証明にはなりません)
②なぜ、privacymark.jpのサブドメインが使用できないサービスを利用されたのでしょうか?
(返答がこないので2回目を送ったわけですが・・・)
別件で問い合わせを送ったときには2営業日程度で返送いただいているので、問い合わせは見ていただいていると思うのですが・・・。
この 付与事業者限定「プライバシーマーク付与事業者専用サイト」 を利用するに当たって、
利用規約が存在し、利用規約の中で、JIPDECの定める「個人情報保護方針」への同意をもとめているのですから、適切な対応をしていただきたいものです。
2011年9月6日火曜日
電車でWAR!
WAR Driving(ウォードライビング)ってありますよね。
車に乗りながら(歩いてでもいいけど)、
誰でも利用できそうな無線LANのアクセスポイントを
探していくっていうアレです。
最近、テザリングのできる端末やポケットwifiとかが普及してきたので、
何気なく、電車内で観察してみました。
WAR Driving ならぬ WAR Train
日本語に置き換えると「電車でWAR!」ってところです。
==================
調査詳細
調査区間:都内某駅 ~ 自宅最寄り駅
調査時間:約1時間
調査方法:電車内でMac開いて、飛んでる無線をキャッチする
実際に接続する行為は自重する
※接続後に認証を要求するものなどは考慮しない
==================
余談ですが、
隣に座っていたオネーチャンが不思議そうに画面を覗き込んでました。
やっていると面白い物が見えてきました。
<ネットワーク名(SSID)>
・デフォルトでついてる名称をそのまま使ってる人
・使ってる機器のメーカー名を入れてる人
・個人的に分かりやすい名称にしてる人
・本名公開してる人
<セキュリティ>
・鍵をかけてる人・・・9割くらい
・ノーガード戦法の人・・・1割くらい
(MACアドレスで制限かけてるかもしれないけど調査してません)
<まとめ>
・ネットワーク名は周りに見えるので、自爆するのはやめましょう。
・ちゃんとネットワークキーを設定しましょう。
車に乗りながら(歩いてでもいいけど)、
誰でも利用できそうな無線LANのアクセスポイントを
探していくっていうアレです。
最近、テザリングのできる端末やポケットwifiとかが普及してきたので、
何気なく、電車内で観察してみました。
WAR Driving ならぬ WAR Train
日本語に置き換えると「電車でWAR!」ってところです。
==================
調査詳細
調査区間:都内某駅 ~ 自宅最寄り駅
調査時間:約1時間
調査方法:電車内でMac開いて、飛んでる無線をキャッチする
実際に接続する行為は自重する
※接続後に認証を要求するものなどは考慮しない
==================
余談ですが、
隣に座っていたオネーチャンが不思議そうに画面を覗き込んでました。
やっていると面白い物が見えてきました。
<ネットワーク名(SSID)>
・デフォルトでついてる名称をそのまま使ってる人
・使ってる機器のメーカー名を入れてる人
・個人的に分かりやすい名称にしてる人
・本名公開してる人
<セキュリティ>
・鍵をかけてる人・・・9割くらい
・ノーガード戦法の人・・・1割くらい
(MACアドレスで制限かけてるかもしれないけど調査してません)
<まとめ>
・ネットワーク名は周りに見えるので、自爆するのはやめましょう。
・ちゃんとネットワークキーを設定しましょう。
2011年9月5日月曜日
MACBOOK AIR に VirtualBox 使って WindowsXP 特別アップグレード版を入れてみた
タイトルに書いたまんまだけど、微妙に面倒なことになったので、備忘録。
用意できなかったもの
・USB接続のROMドライブ
(古くてMacが認識してくれなかったorz。純正品は持ってない)
用意したもの
・新MACBOOK AIR (Lion)
・VirtualBox 4.1.2
・WindowsXP Professional 特別アップグレード版
・Windows2000 Professional
/-----------------------------------------
やってみたこと(リモートディスク①)
windowsPC(自作機①)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒Macがリモートディスクを認識してくれなかった。
やってみたこと(リモートディスク②)
windowsPC(自作機②)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒Macがリモートディスクを認識してくれなかった。
やってみたこと(リモートディスク③)
windowsPC(ノートPC)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒MacでCDを認識できるけど、エラーがでて起動できなかった。
-----------------------------------------/
いろいろ調べたけど、解決方法が見つからず方針転換。
CDからのインストールをあきらめる。
WindowsPCでOSをiso化 ⇒ USBメモリにつっこむ ⇒ メモリのISOからインストール
ということで、ISO化ツールを探す。
まず引っかかったのは、「Free ISO Creator」。
ところが、開発元のリンク先が2つともリンク切れを起こしていて使えない。
その後、いろいろやったけど、最終的には、「nLite」を使った。
知ってる人は知ってると思うけど、このソフトはディスク統合ツール。
これを使って「ブータブルISOイメージ」を作成し、
USBメモリの中にそのままコピー。
使用しているWindowsOSメディアが特別アップグレード版だったので、
Windows 2000についても同様にISO化 ⇒ USBメモリに保存。
やっとWindows環境の構築ができました。
用意できなかったもの
・USB接続のROMドライブ
(古くてMacが認識してくれなかったorz。純正品は持ってない)
用意したもの
・新MACBOOK AIR (Lion)
・VirtualBox 4.1.2
・WindowsXP Professional 特別アップグレード版
・Windows2000 Professional
/-----------------------------------------
やってみたこと(リモートディスク①)
windowsPC(自作機①)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒Macがリモートディスクを認識してくれなかった。
やってみたこと(リモートディスク②)
windowsPC(自作機②)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒Macがリモートディスクを認識してくれなかった。
やってみたこと(リモートディスク③)
windowsPC(ノートPC)にWindowsXP Professional 特別アップグレード版を入れて、
リモートディスクからインストール・・・・したかった。
⇒MacでCDを認識できるけど、エラーがでて起動できなかった。
-----------------------------------------/
いろいろ調べたけど、解決方法が見つからず方針転換。
CDからのインストールをあきらめる。
WindowsPCでOSをiso化 ⇒ USBメモリにつっこむ ⇒ メモリのISOからインストール
ということで、ISO化ツールを探す。
まず引っかかったのは、「Free ISO Creator」。
ところが、開発元のリンク先が2つともリンク切れを起こしていて使えない。
その後、いろいろやったけど、最終的には、「nLite」を使った。
知ってる人は知ってると思うけど、このソフトはディスク統合ツール。
これを使って「ブータブルISOイメージ」を作成し、
USBメモリの中にそのままコピー。
使用しているWindowsOSメディアが特別アップグレード版だったので、
Windows 2000についても同様にISO化 ⇒ USBメモリに保存。
やっとWindows環境の構築ができました。
2011年8月22日月曜日
ケータイにスパムがきたよ 3通目
ついにウィルコムを語るようになりましたとさ。。。
----------------
From: ss060@willcom.com
Date: Mon, 22 Aug 2011 16:52:25 +0900 (JST)
To: ss057@willcom.com
Subject: Re
お疲れ様です。
私、面白サイト発見隊の
まさみです。
いろんなサイトを
あちこち見ていますが
私も女性なので、それは
エッチなサイトを見ます
その中でも完全無料の
アダルト動画サイトを
発見しました!
▼ここ
http://○○○○○○.○○
他の動画サイトは結構
いろいろあるとは思うん
ですけど、このサイトは
特長的で
『芸能人AV』『激似AV』
『お宝動画』といった
必見のサイトです!
そして、ここは種類も
豊富で、最新作のAVを
毎日更新している事や
いろんなジャンル。
あんなことこんなこと
想像膨らみますよね♪
そんな背中にかゆい所が
届くサイトだと思います
元AKB48の
「やまぐちりこ」
元ミスヤンマガ
「ほしのあすか」
も揃えているんですよ
知らなきゃ損なサイト
です♪
▼完全無料です
http://○○○○○○.○○
━━重要告知━━━
なんと、今なら
キャンペーン期間中で
某AV女優引退撮影で
50人とプレイ!
先着25名様に参加権が
当たります!!
━━━━━━━━━
[PR]
女の子と直接メアド交換
http://○○○○○○.○○
━━━━━━━━━━━
配信: willcom network
-------------------------------
[修正]
8月25日 リンク先URLを伏字にしました
----------------
From: ss060@willcom.com
Date: Mon, 22 Aug 2011 16:52:25 +0900 (JST)
To: ss057@willcom.com
Subject: Re
お疲れ様です。
私、面白サイト発見隊の
まさみです。
いろんなサイトを
あちこち見ていますが
私も女性なので、それは
エッチなサイトを見ます
その中でも完全無料の
アダルト動画サイトを
発見しました!
▼ここ
http://○○○○○○.○○
他の動画サイトは結構
いろいろあるとは思うん
ですけど、このサイトは
特長的で
『芸能人AV』『激似AV』
『お宝動画』といった
必見のサイトです!
そして、ここは種類も
豊富で、最新作のAVを
毎日更新している事や
いろんなジャンル。
あんなことこんなこと
想像膨らみますよね♪
そんな背中にかゆい所が
届くサイトだと思います
元AKB48の
「やまぐちりこ」
元ミスヤンマガ
「ほしのあすか」
も揃えているんですよ
知らなきゃ損なサイト
です♪
▼完全無料です
http://○○○○○○.○○
━━重要告知━━━
なんと、今なら
キャンペーン期間中で
某AV女優引退撮影で
50人とプレイ!
先着25名様に参加権が
当たります!!
━━━━━━━━━
[PR]
女の子と直接メアド交換
http://○○○○○○.○○
━━━━━━━━━━━
配信: willcom network
-------------------------------
[修正]
8月25日 リンク先URLを伏字にしました
2011年8月16日火曜日
mac book air 配送中?
ちょっと遅れたけど、mac book air 11inch をapple storeで買ってみた。
もうすぐ届くみたいだけど・・・
あれ?
なんか時系列おかしくない?
時差だってそこまでひどくないよね?
もうすぐ届くみたいだけど・・・
あれ?
なんか時系列おかしくない?
時差だってそこまでひどくないよね?
2011年7月31日日曜日
webサイトの負荷テスト (jmeterとBadboy) 実行
前回の続き。
<負荷テストの実行>
いろいろなリスナーがありますが、追加するのは、『シンプルデータライタ』がいいでしょう。
他のリスナーは視覚的にも面白いのですが、その分マシンパワーを使います。
『シンプルデータライタ』で取得した結果は、あとから他のリスナで表示することもできます。
1.IDとパスワードを記載したテキストファイルを作成し、csv形式・UTF-8で保存する。
(データ例)
user1,password1
user2,password2
user3,password3
3.CSV Data Set Config の設定をします。
Filename:1で作成したファイルをフルパスで指定します。
File encording:保存したエンコードを入力します。UTF-8がいいです。
Variable Names:username,pass (適当な変数名を入れます)
Delimiter:, (デフォルトで『,』が入っています)
4.HTTPリクエストのサンプラーを追加します。
「スレッドグループ」を右クリック ⇒ 追加 ⇒ サンプラー ⇒ HTTPリクエスト
5.HTTPリクエストで送るパラメータを追加します。
6.追加すると、入力できる枠が現れますので、入力します。
<負荷テストの実行>
1.スレッドグループを開き、スレッドプロパティの設定をします。
スレッド数:1回のテストで生成されるスレッド数
Ramp-Up期間(秒):何秒間で全スレッドを生成するかの秒数
ループ回数:設定したテストケースを何回繰り返すか
例)スレッド数:10、Ramp-Up期間:10 とすると
1秒間に1回ずつテストケースが実行される
例)Ramp-Up期間:0 とすると
全てのテストケースを同時に実行される
2.リスナーの追加
負荷テスト実施時の結果については、別途設定する必要があります。
追加は全て スレッドグループを右クリック ⇒ 追加 ⇒ リスナー から行います。
いろいろなリスナーがありますが、追加するのは、『シンプルデータライタ』がいいでしょう。
他のリスナーは視覚的にも面白いのですが、その分マシンパワーを使います。
『シンプルデータライタ』で取得した結果は、あとから他のリスナで表示することもできます。
3.HTTPクッキーマネージャの追加
クッキーを使用する場合、HTTPクッキーマネージャが必要になります。
「スレッドグループ」を右クリック ⇒ 追加 ⇒ 設定エレメント ⇒
4.負荷テストの実行
全ての設定が終わったら、 実行 ⇒ 開始 でテストを開始します。
<複数のID、パスワードを使用する>
同一アカウントによる多重ログインができない場合などに使用する。
(データ例)
user1,password1
user2,password2
user3,password3
2.CSV Data Set Configを追加します。
「スレッドグループ」を右クリック ⇒ 追加 ⇒ 設定エレメント ⇒ CSV Data Set Config
3.CSV Data Set Config の設定をします。
Filename:1で作成したファイルをフルパスで指定します。
File encording:保存したエンコードを入力します。UTF-8がいいです。
Variable Names:username,pass (適当な変数名を入れます)
Delimiter:, (デフォルトで『,』が入っています)
4.HTTPリクエストのサンプラーを追加します。
「スレッドグループ」を右クリック ⇒ 追加 ⇒ サンプラー ⇒ HTTPリクエスト
5.HTTPリクエストで送るパラメータを追加します。
6.追加すると、入力できる枠が現れますので、入力します。
名前:Webアプリの認証プログラムが受け付けるform変数名
値: ${username} とか ${pass} のように Variable Names を引用します。
【注意】
パラメータのレコード数は,同時アクセス数よりも多くしておくことが必要です。
webサイトの負荷テスト (jmeterとBadboy) 準備
業務で負荷テストをやらないといけなかったので・・・備忘録。
<使ったもの>
・jmeter(http://jakarta.apache.org/jmeter/)
みんな知ってるapache projectが提供するツール
httpsで接続するサイトのシナリオが自動生成できないのがちょっと残念
・Badboy(http://www.badboy.com.au/)
httpsでのシナリオを簡単に作成できるツール
jmeterとの連携も標準装備の頼もしいやつ
<インストール>
・jmeter
サイトからダウンロードして適当な場所に解凍するだけ
・Badboy
インストーラーが走るので、流れにそってやるだけ
<Badboyでシナリオ作成>
1.Badboyを起動させます。
2.起動と同時に『記録』状態になっているので、アドレスを対象サイトに書き換えEnterを押します。
3.Badboy内のブラウザを使用して、シナリオどおりとなるよう画面を遷移させます。
4.『●』もしくは、『■』を押して、記録取得を終了させます。
5.『File』 ⇒ 『Exprot to JMeter...』 をクリックし、データをエクスポートします。
6.好きな場所に保存します。
7.ファイルを確認して終了です。
<Badboyで作成したファイルをJMeterに取り込む>
1.JMeter.bat をダブルクリックして、JMeterを起動します。
2.『ファイル』 ⇒ 『開く』 から、Badboyで作成したファイルを選択し、開きます。
3.JMeterにデータがインポートされます。
4.インポートされた内容を確認して終了です。
【注意】
・ID、パスワードが、平文で保管されますので、漏洩に注意してください。
・Badboyで作成したHTTPリクエストは全て『自動リダイレクト』にチェックが入っています。サイトによっては、負荷テスト時に『Warning』になる場合がありますので、不要となる場合は、チェックをはずしてください。
【プロキシ環境下で使用する場合】
ながくなったので、二つに分けます。次へ
<使ったもの>
・jmeter(http://jakarta.apache.org/jmeter/)
みんな知ってるapache projectが提供するツール
httpsで接続するサイトのシナリオが自動生成できないのがちょっと残念
・Badboy(http://www.badboy.com.au/)
httpsでのシナリオを簡単に作成できるツール
jmeterとの連携も標準装備の頼もしいやつ
<インストール>
・jmeter
サイトからダウンロードして適当な場所に解凍するだけ
・Badboy
インストーラーが走るので、流れにそってやるだけ
<Badboyでシナリオ作成>
1.Badboyを起動させます。
2.起動と同時に『記録』状態になっているので、アドレスを対象サイトに書き換えEnterを押します。
3.Badboy内のブラウザを使用して、シナリオどおりとなるよう画面を遷移させます。
4.『●』もしくは、『■』を押して、記録取得を終了させます。
5.『File』 ⇒ 『Exprot to JMeter...』 をクリックし、データをエクスポートします。
6.好きな場所に保存します。
7.ファイルを確認して終了です。
<Badboyで作成したファイルをJMeterに取り込む>
1.JMeter.bat をダブルクリックして、JMeterを起動します。
2.『ファイル』 ⇒ 『開く』 から、Badboyで作成したファイルを選択し、開きます。
3.JMeterにデータがインポートされます。
4.インポートされた内容を確認して終了です。
【注意】
・ID、パスワードが、平文で保管されますので、漏洩に注意してください。
・Badboyで作成したHTTPリクエストは全て『自動リダイレクト』にチェックが入っています。サイトによっては、負荷テスト時に『Warning』になる場合がありますので、不要となる場合は、チェックをはずしてください。
【プロキシ環境下で使用する場合】
JMeterの起動時のパラメータを追加する必要があります。
-H:プロキシのホスト名またはIPアドレス
-P:プロキシのポート番号
-u:プロキシ認証ユーザー名
-a:プロキシ認証パスワード
JMeter.batのプロパティを開き、ファイル名を次のようにします。
『JMeter.bat –H 192.168.xxx.xxx –P 8080』
ながくなったので、二つに分けます。次へ
2011年7月28日木曜日
andiparos でサーバ証明書のエラーになる件
表題の通り、andiparos経由でサーバ証明書を設置しているサイトを閲覧しようとすると、
次のようなサーバ証明書のエラー画面が表示されます。
この画面がでても気にしないで大丈夫です。
続行してしまいましょう。
この動作は、暗号化が関係しています。
通常のhttps通信は暗号化されています。
そのため、ローカルとサーバが直接データの受け渡しをすると、
中間に介在するproxyツールでは、『暗号化されたパケット』しか
捉えることができなくなります。
これを避けるため、Andiparosは、
[ローカル]===[Andiparos]===[サーバ]
暗号化 暗号化
という二段階で対応しています。
サーバで設定されているサーバ証明書は、正規の証明書ですが、
Andiparos内で用意されているサーバ証明書は、オレオレ証明ですので、
はじめのエラー画面になります。
次のようなサーバ証明書のエラー画面が表示されます。
この画面がでても気にしないで大丈夫です。
続行してしまいましょう。
この動作は、暗号化が関係しています。
通常のhttps通信は暗号化されています。
そのため、ローカルとサーバが直接データの受け渡しをすると、
中間に介在するproxyツールでは、『暗号化されたパケット』しか
捉えることができなくなります。
これを避けるため、Andiparosは、
[ローカル]===[Andiparos]===[サーバ]
暗号化 暗号化
という二段階で対応しています。
サーバで設定されているサーバ証明書は、正規の証明書ですが、
Andiparos内で用意されているサーバ証明書は、オレオレ証明ですので、
はじめのエラー画面になります。
2011年7月19日火曜日
ここが変だよPマーク その3
今回はPマークの抱える矛盾点についてです。
個人情報を漏洩したときの備えとして、JIS Q 15001では次のように定められています。
Pマークの外部審査でも、緊急事態への準備として、この条項に適合できているかどうか審査されます。
個人情報の漏洩事故が発生した場合、備えていた緊急事態の対応手順に従って、対応が求められるので、事故対応に当たるのですが、ご存知のとおり、Pマークには、
「プライバシーマーク制度における欠落事項及び判断基準」
というものがあります。
これは、Pマーク付与事業者が個人情報漏洩事故を起こした場合の罰則規定です。
これにしたがって、Pマーク付与の取消しなどが決められるのですが、
この定めがあることで、
『Pマークで定めた緊急事態の対応手順に従って、適切に対応した認証組織が、Pマーク付与を取り消される』
という矛盾が生まれています。
おかしいと思いませんか?
そういえば、Pマークの認証マークに記載のあった
『JIS Q 15001準拠』 って文字が今年からなくなりましたね。
個人情報を漏洩したときの備えとして、JIS Q 15001では次のように定められています。
3.3.7 緊急事態への準備
事業者は、緊急事態を特定するための手順、また、それらにどのように対応するかの手順を確立し、実施し、かつ、維持しなければならない。
事業者は、個人情報が漏えい、滅失又はき損をした場合に想定される経済的な不利益及び社会的な信用の失墜、本人への影響などのおそれを考慮し、その影響を最小限とするための手順を確立し、かつ維持しなければならない。
また、個人情報の漏えい、滅失又はき損が発生した場合に備え、次の事項を含む対応手順を確立し、かつ維持しなければならない。(後略)
Pマークの外部審査でも、緊急事態への準備として、この条項に適合できているかどうか審査されます。
個人情報の漏洩事故が発生した場合、備えていた緊急事態の対応手順に従って、対応が求められるので、事故対応に当たるのですが、ご存知のとおり、Pマークには、
「プライバシーマーク制度における欠落事項及び判断基準」
というものがあります。
これは、Pマーク付与事業者が個人情報漏洩事故を起こした場合の罰則規定です。
これにしたがって、Pマーク付与の取消しなどが決められるのですが、
この定めがあることで、
『Pマークで定めた緊急事態の対応手順に従って、適切に対応した認証組織が、Pマーク付与を取り消される』
という矛盾が生まれています。
おかしいと思いませんか?
そういえば、Pマークの認証マークに記載のあった
『JIS Q 15001準拠』 って文字が今年からなくなりましたね。
2011年7月13日水曜日
ネット視聴でも受信料徴収、NHK調査会が答申
NHK始まったな。
ネット視聴でも受信料徴収、NHK調査会が答申
インターネットにつなげているだけで視聴料とか意味が分らない。
NHKは放送法で縛られているのだから、国の諮問機関がなんか言うのならまだ分るけど、
NHK会長の諮問機関からの発信。つまり身内を助けるためのパフォーマンスだな。
法律のことは良くわからないけど、契約はお互いが了承した上で出来るわけで、片一方が一方的に強制することはできないはずだけど、どうするんだろうね。
『契約自由の原則』っていうのがあったな・・・
いずれにしても放送法を変えなければいけないから、当分無理だと思うけどね。
今はそんなことを検討している場合じゃない。
っていうか、インターネットにつなげたら視聴料って、世界中からお金巻き上げるつもりなのかな?
『見れる環境=視聴している』
という発想はどこからくるんだろう?
そんなことを考えるのに検討会を開いて、検討会のメンバーに対してギャランティを払っているくらいだったら、誰しもがお金を払ってでも見たいと思わせる番組を作ることに専念した方がいいんじゃないかな?
スクランブルかけて、お金を払っている人だけが視聴出来るようにすればいいだけのはずなんだけどなぁ・・・・
ネット視聴でも受信料徴収、NHK調査会が答申
インターネットにつなげているだけで視聴料とか意味が分らない。
NHKは放送法で縛られているのだから、国の諮問機関がなんか言うのならまだ分るけど、
NHK会長の諮問機関からの発信。つまり身内を助けるためのパフォーマンスだな。
法律のことは良くわからないけど、契約はお互いが了承した上で出来るわけで、片一方が一方的に強制することはできないはずだけど、どうするんだろうね。
『契約自由の原則』っていうのがあったな・・・
いずれにしても放送法を変えなければいけないから、当分無理だと思うけどね。
今はそんなことを検討している場合じゃない。
っていうか、インターネットにつなげたら視聴料って、世界中からお金巻き上げるつもりなのかな?
『見れる環境=視聴している』
という発想はどこからくるんだろう?
そんなことを考えるのに検討会を開いて、検討会のメンバーに対してギャランティを払っているくらいだったら、誰しもがお金を払ってでも見たいと思わせる番組を作ることに専念した方がいいんじゃないかな?
スクランブルかけて、お金を払っている人だけが視聴出来るようにすればいいだけのはずなんだけどなぁ・・・・
2011年7月9日土曜日
システム稼働率と停止時間
データセンタや、SaaS、PaaSなどのクラウド環境を提供している企業は、『稼働率』を公開していたり、『SLA』に記載されていたりするので、チョット気になって調べてみた。
どこかの企業では、ファイブナイン(稼働率99.999)ということを謳っていたけど、年間での停止時間は、たったの『5分程度』ということになる。
機器障害やNW障害があった場合、5分で全てを解決するというのは、かなり厳しい。
障害があった場合に、全て自動で稼動できる状態にする仕組みが100%動かなければ達成できない数字であることは明白ですね。
シックスナイン(稼働率99.9999)になると、年間出の停止時間は、31秒程度。
もはや人力で何とかなるようなものではないです。
ホントにそこまで担保できているのかなぁ・・・
年間稼働率 | 稼働時間(秒) | 停止時間(秒) | 停止時間(分) | 停止時間(時間) | 停止時間(日) |
99% | 31220640 | 315360 | 5256 | 87.6 | 3.65 |
99.9% | 31504464 | 31536 | 525.6 | 8.76 | |
99.99% | 31532846.4 | 3153.6 | 52.56 | ||
99.999% | 31535684.64 | 315.36 | 5.256 | ||
99.9999% | 31535968.46 | 31.536 |
どこかの企業では、ファイブナイン(稼働率99.999)ということを謳っていたけど、年間での停止時間は、たったの『5分程度』ということになる。
機器障害やNW障害があった場合、5分で全てを解決するというのは、かなり厳しい。
障害があった場合に、全て自動で稼動できる状態にする仕組みが100%動かなければ達成できない数字であることは明白ですね。
シックスナイン(稼働率99.9999)になると、年間出の停止時間は、31秒程度。
もはや人力で何とかなるようなものではないです。
ホントにそこまで担保できているのかなぁ・・・
ラベル:
サーバ,
マネジメントシステム
2011年7月4日月曜日
ケータイにスパムがきたよ 2通目
また来たので晒しておこっと
----------------
From: yamaneeex@docomo.ne.jp
Date: Sun, 03 Jul 2011 21:47:37 +0900 (JST)
To: ○○○○@ezweb.ne.jp
Subject: 【ムービーレター】★MaRi ☆.・…
ユーザー名:★MaRi☆.・…
ムービーレターが届いています。
>>確認はコチラ
http://○○○○○○.○○
☆+:;;;;;;:+☆+:;;;;;;:+
★MaRi☆.・…メッセージ
投稿URL:
http://○○○○○○.○○
【メッセージ】
生理前ですごくしたぃ・・・
もし良かったらテルセクしませんか??
動画載せてるからそれ見て、決めてもらってイイヨ・・
ワタシ、声大きいから迷惑かもしれないケド、それでも良かったら相手してネ・・
●メッセージ動画1●
http://○○○○○○.○○
●メッセージ動画2-18禁●
http://○○○○○○.○○
☆+:;;;;;;:+☆+:;;;;;;:+
あなたはまだ、★MaRi☆.・… さんへ
メッセージの送信はできません。
下記よりプロフを作成して下さい。
http://○○○○○○.○○
※プロフ登録後、メッセージの交換・写メ・動画が
閲覧できます。
☆+:;;;;;;:+☆+:;;;;;;:+
――――――――――――
無料SNS 趣味とも
--18歳未満利用禁止--
【登録解除】
x0BbMms0LQ_spr_7@xxne.org
----------------
こういうのって、登録解除に送ると、余計にメールがきたりするんだよね。
ほったらかしにするのが一番!
-------------------------------
[更新]
8月25日 URLを伏字にしました。
----------------
From: yamaneeex@docomo.ne.jp
Date: Sun, 03 Jul 2011 21:47:37 +0900 (JST)
To: ○○○○@ezweb.ne.jp
Subject: 【ムービーレター】★MaRi ☆.・…
ユーザー名:★MaRi☆.・…
ムービーレターが届いています。
>>確認はコチラ
http://○○○○○○.○○
☆+:;;;;;;:+☆+:;;;;;;:+
★MaRi☆.・…メッセージ
投稿URL:
http://○○○○○○.○○
【メッセージ】
生理前ですごくしたぃ・・・
もし良かったらテルセクしませんか??
動画載せてるからそれ見て、決めてもらってイイヨ・・
ワタシ、声大きいから迷惑かもしれないケド、それでも良かったら相手してネ・・
●メッセージ動画1●
http://○○○○○○.○○
●メッセージ動画2-18禁●
http://○○○○○○.○○
☆+:;;;;;;:+☆+:;;;;;;:+
あなたはまだ、★MaRi☆.・… さんへ
メッセージの送信はできません。
下記よりプロフを作成して下さい。
http://○○○○○○.○○
※プロフ登録後、メッセージの交換・写メ・動画が
閲覧できます。
☆+:;;;;;;:+☆+:;;;;;;:+
――――――――――――
無料SNS 趣味とも
--18歳未満利用禁止--
【登録解除】
x0BbMms0LQ_spr_7@xxne.org
----------------
こういうのって、登録解除に送ると、余計にメールがきたりするんだよね。
ほったらかしにするのが一番!
-------------------------------
[更新]
8月25日 URLを伏字にしました。
2011年6月30日木曜日
東電の公表する電力使用状況
最近毎日のようにテレビでは
「電力使用状況が○時代に○○%でした」
っていうフレーズが流れてくる。
それにしても何で相対評価なんだろう?
パーセントで表示すると東電の思うような形で
情報操作ができるんじゃないか?
電力が不足してるように見せかけるために、
相対評価にしてるんじゃないか?
と最近思う。
電力使用状況は以下の数式で計算されている。
東電には、『最大供給能力』という別なデータがある。
このデータを使っていない。
つまり、東電が自分で勝手に決めた供給能力に対して、
使用量がどれくらいだったのかの割合を出しているだけ!
電力使用状況は、東電の思惑通りに高い数値を示すことになる。
情報操作とはまさにこのことですね。
株主総会も終わったことですし、
これから未発表の内容が続々出てくるんでしょうか?
「電力使用状況が○時代に○○%でした」
っていうフレーズが流れてくる。
それにしても何で相対評価なんだろう?
パーセントで表示すると東電の思うような形で
情報操作ができるんじゃないか?
電力が不足してるように見せかけるために、
相対評価にしてるんじゃないか?
と最近思う。
電力使用状況は以下の数式で計算されている。
電力使用状況(%) = 使用量 / 供給能力 × 100ここで問題なのは、『供給能力』である。
東電には、『最大供給能力』という別なデータがある。
このデータを使っていない。
つまり、東電が自分で勝手に決めた供給能力に対して、
使用量がどれくらいだったのかの割合を出しているだけ!
電力使用状況は、東電の思惑通りに高い数値を示すことになる。
情報操作とはまさにこのことですね。
株主総会も終わったことですし、
これから未発表の内容が続々出てくるんでしょうか?
2011年6月16日木曜日
クラッキング という言葉 ②
なんかタイムリーにセキュリティクラスタの人たちがtweetしてたみたいです。
意味が通じればそれでいい的な雰囲気ですね。
日本語は、長い時間をかけて言葉の意味が変わるという特徴がある言語です。
今まさに、その過程にあるのかもしれないですね。
①もともと別々な言葉
↓
②誰かが誤解し、それが広く伝わってしまった
↓
③正しい意味を知っている人が少なくなっていく
↓
④誤用が常用になる
ってことでしょうかね?
意味が通じればそれでいい的な雰囲気ですね。
日本語は、長い時間をかけて言葉の意味が変わるという特徴がある言語です。
今まさに、その過程にあるのかもしれないですね。
①もともと別々な言葉
↓
②誰かが誤解し、それが広く伝わってしまった
↓
③正しい意味を知っている人が少なくなっていく
↓
④誤用が常用になる
ってことでしょうかね?
2011年6月13日月曜日
w3af 使ってみようと思ったけど・・・
w3afが1.0になったということで、試してみた。
とりあえず、windows版があったので、
落としてみてやってみた。
やられ役は、いつものとおりbadstoreに登場してもらって、
エイヤッ!ってことで、やってはみたものの・・・
落ちた。。。
何回かやってみたけど、落ちた・・・
そりゃ、古いPC使ってVMでbadstore動かして、
さらにw3af動かしてましたよ
w3afのサイトにも「落ちないようにがんばってみました(勝手訳)」
って入ってたと思ったのにな。
きっと使ってる環境がいけないんだよね?
とりあえず、windows版があったので、
落としてみてやってみた。
やられ役は、いつものとおりbadstoreに登場してもらって、
エイヤッ!ってことで、やってはみたものの・・・
落ちた。。。
何回かやってみたけど、落ちた・・・
そりゃ、古いPC使ってVMでbadstore動かして、
さらにw3af動かしてましたよ
w3afのサイトにも「落ちないようにがんばってみました(勝手訳)」
って入ってたと思ったのにな。
きっと使ってる環境がいけないんだよね?
2011年6月7日火曜日
ケータイにスパムが来たよ
携帯電話のアドレスにスパムが来たので、晒してみる。
まだ引っかかる人いるんだな・・・
----------------
From: hamada---zennihonchousa@docomo.ne.jp
Date: Tue, 07 Jun 2011 11:33:15 +0900 (JST)
To: ●●●●●●●●●●●●●@ezweb.ne.jp
Subject:
最終通告及び重要なお知らせ
担当の浜田と申します。
この度、サイト運営会社様からご依頼があり、ご連絡させて頂きました。
お客様がご使用中の携帯電話端末より、認証ネットワーク事業者センターを介し以前にお客様がご登録されました
『有料総合情報サイト』
『特典付きメルマガ』
『懸賞付きサイト』
『SNSサイト』
等におけるご使用についての有・無を確認させて頂きたい為、お手数では御座いますが至急御連絡下さいますようお願い致します。(すぐに退会手続きが必要になります。)
御連絡頂けない場合は使用とみなし、即刻以下の手続きに入らせて頂きます。
※放置されますと携帯電話、その他各金融機関のブラックリスト、又は解除が対象になります。
現状
1、無料期間内等で退会手続きが完了されていない。
2、ご登録料金及びご利用料金が発生している。
3、料金未払いとなった状態のまま長期間の放置。
このままの状態ですと以下のことに該当します。
当社はサイト運営会社より依頼を受けまして、
料金滞納者の個人調査、悪質滞納者の身辺調査などを主に行っております。本通知メール到着より本日営業時間内までにご連絡を頂けない場合には、ご利用規約に伴い
①個人調査の開始(悪質な場合は身辺調査の開始)
②各信用情報機関に対して個人信用情報の登録
③法的書類を準備作成の上、即刻法的手続(強制執行対象者等)の開始
④各信用情報機関のブラックリスト
以上の手続きに入らせて頂きますので予めご了承下さい。 ※ご使用の有・無、退会手続等をご希望のお客様は、担当までお問い合わせ下さい。 尚、本通知は最終通告となります。 ※トラブルとなる前に至急ご相談下さい。
営業時間
平日 午前9時~午後7時
土曜/日曜/祝日 午前10時~午後5時
全日本調査情報センター
TEL03-6696-6211
担当 浜田 賢一
※営業時間外は受け付けておりません
また、メールでの返答にも対応出来ませんのでご了承下さい。
まだ引っかかる人いるんだな・・・
2011年6月6日月曜日
ここが変だよPマーク その2
前回の続きです。
前回は、JIPDECが審査を行っていることに関する問題点を挙げました。
今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。について取り上げていきます。
ところで、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』を読んだことがある人は、Pマーク取得企業に所属していてもそんなに多くいないと思います。
面白い読み物でもありませんが、ここに書かれている内容を満たさなければ、Pマークの取得はできないことになります。読みたい人は、こちらから閲覧することができます。
http://www.jisc.go.jp/app/JPS/JPSO0020.html
のサイトに行き、『JIS規格番号からJISを検索』のところで『JIS Q 15001』を検索してください。閲覧だけすることができます。
さて、本題に戻ります。
繰り返しになりますが、今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。についてです。
審査基準ということは、審査基準を満たせば、通常は、認定をもらえることになるので、
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけ守ればいいのか!
と思うと思います。
答えは『否』です。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』に書かれている内容だけ完璧に守ったとしても、残念ながら認定をもらえることはできません。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけではなく、
『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が求められます。
つまり、説明としては「JIS規格に適合していれば認定する」と言っておきながら、「こっちの内容にも適合してなければ認定しない」と後出しじゃんけんをしてきているのです。
もちろん『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』の中には、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が記載されているような事項はありません。
規格にも書いていないにもかかわらず、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合を強制してきているのです。
どのような規格書の書き方だったらよかったのでしょうか?
国際規格のISO/IEC27001が答えになっています。
ISO/IEC27001の場合、規格書の構成として、
・規格内容
・附属書A
・附属書B
・附属書C
・附属書D
となってます。
また、「規格内容」の中には、「附属書A」の内容に対して対応するよう規定が書かれています。
Pマークも同じ構成を採用していれば、問題はなかったのですが、規格に乗っていないことを要求されるのは、規格として成り立っていないと言わざるを得ません。
まとめ
JIS Q 15001は構成をやり直せ!
前回は、JIPDECが審査を行っていることに関する問題点を挙げました。
今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。について取り上げていきます。
ところで、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』を読んだことがある人は、Pマーク取得企業に所属していてもそんなに多くいないと思います。
面白い読み物でもありませんが、ここに書かれている内容を満たさなければ、Pマークの取得はできないことになります。読みたい人は、こちらから閲覧することができます。
http://www.jisc.go.jp/app/JPS/JPSO0020.html
のサイトに行き、『JIS規格番号からJISを検索』のところで『JIS Q 15001』を検索してください。閲覧だけすることができます。
さて、本題に戻ります。
繰り返しになりますが、今回は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。についてです。
審査基準ということは、審査基準を満たせば、通常は、認定をもらえることになるので、
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけ守ればいいのか!
と思うと思います。
答えは『否』です。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』に書かれている内容だけ完璧に守ったとしても、残念ながら認定をもらえることはできません。
『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』だけではなく、
『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が求められます。
つまり、説明としては「JIS規格に適合していれば認定する」と言っておきながら、「こっちの内容にも適合してなければ認定しない」と後出しじゃんけんをしてきているのです。
もちろん『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』の中には、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合が記載されているような事項はありません。
規格にも書いていないにもかかわらず、『「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン―第2版―」』への適合を強制してきているのです。
どのような規格書の書き方だったらよかったのでしょうか?
国際規格のISO/IEC27001が答えになっています。
ISO/IEC27001の場合、規格書の構成として、
・規格内容
・附属書A
・附属書B
・附属書C
・附属書D
となってます。
また、「規格内容」の中には、「附属書A」の内容に対して対応するよう規定が書かれています。
Pマークも同じ構成を採用していれば、問題はなかったのですが、規格に乗っていないことを要求されるのは、規格として成り立っていないと言わざるを得ません。
まとめ
JIS Q 15001は構成をやり直せ!
クラッキング という言葉
今朝 朝ズバを見ていたら、
アナウンサーが、「クラッキング」という言葉を使っていた。
テレビのニュース番組?で「クラッキング」って始めて聴いたような気がする。
大抵の場合は、「ハッキング」って言ってたと思うので、
「クラッキング」という言葉に「おぉっ!」反応してしまった。
個人的には「ハッキング」と「クラッキング」は使い分けてほしいと思っているけど、
有名な人も「ハッキング」という言葉を使ってたりしているので、
(たぶん一般の人にわかりやすい表現として使ってるんだろうな)
どうなんだろうな・・・
日本語の特性として、長い時間の中で言葉の意味が変わるというのは、
よくあることだけど、ハッキングの意味が180度変わるのは、
違和感しかないな。
アナウンサーが、「クラッキング」という言葉を使っていた。
テレビのニュース番組?で「クラッキング」って始めて聴いたような気がする。
大抵の場合は、「ハッキング」って言ってたと思うので、
「クラッキング」という言葉に「おぉっ!」反応してしまった。
個人的には「ハッキング」と「クラッキング」は使い分けてほしいと思っているけど、
有名な人も「ハッキング」という言葉を使ってたりしているので、
(たぶん一般の人にわかりやすい表現として使ってるんだろうな)
どうなんだろうな・・・
日本語の特性として、長い時間の中で言葉の意味が変わるというのは、
よくあることだけど、ハッキングの意味が180度変わるのは、
違和感しかないな。
ここが変だよPマーク その1
少し前にコレ書いたけど、殴り書きのようなので、改めて0から書くことにした。
基本的にはかぶる内容が多くなるけど、あしからず。
このことについて始める前に、Pマークとは何かについて改めて確認してみると、JIPDECのホームページには、次のように書かれてます。
「プライバシーマーク制度」のことで、事業者が「個人情報」を「基準」に沿って適切に取り組んでいるかを評価し、適正と判断した事業者を認定する制度です。
その基準は、日本工業規格(JIS)の「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」です。
参照:プライバシーマーク制度の認定基準とは?
http://privacymark.jp/wakaru/kouza/theme2_03.html
ここにはポイントとなる2つのことが書いてます。
1つ目は、『事業者を認定する制度』であるということ。
2つ目は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。
ひとつずつ見ていきましょう。
まず、1つ目の『事業者を認定する制度』についてです。
個人情報保護に対する取り組みを評価するのですから、どこかの機関が認定を受けたいと思っている企業がきちんと取り組んでいるかを審査(外部審査)する必要があります。
審査する機関はどのようにして決めていくのか、ざっくりと説明すると、
『JIPDECが定めに従って、審査ができる団体であるかの審査を行い決めています』
このことによって、企業と審査機関、JIPDECには次の構図が成り立ちます。
この関係が成り立つことで、審査機関は常にJIPDECの監視を受けながら、正しい審査を行う義務を負います。
また、多数ある審査機関のなかで審査内容や判断基準にバラツキが起きないようにJIPDECが指導を行うことで、企業はどの審査機関で外部審査を行っても同じ審査結果になることが見込まれています。
実は、Pマークには、ここに最大の問題点があります。
『プライバシーマーク付与事業者一覧ページ(http://privacymark.jp/certification_info/list/clist.html)』で、適当に検索してみてください。
『審査機関』の項目に『JIPDEC』と書かれているのが確認できると思います。
つまり、上の図がこのような形になります。
JIPDECが審査した企業に対して、認定機関であるJIPDECが企業を認定しています。
一番の問題点なのは、『JIPDECの審査結果の正当性判断が不適切である』ということです。
具体的にどう不適切なのか規約を見てみましょう。
審査機関の遵守すべき規約から抜粋してみました。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関の指定に関する規約」
6.4 付与適格性審査及び付与適格性の認否の決定
~前略~
審査機関は、申請者と直接の利害関係のある者を、当該申請者の審査又は付与適格性審査の手続きに関与させてはならない。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「利害関係者が審査を行ってはいけません」
ということが書いています。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関指定基準」
第4条
付与機関は、公益社団法人、公益財団法人、一般社団法人、一般財団法人その他日本の法律に基づいて設立された非営利の法人(以下「団体」という。)で、プライバシーマーク付与の適格性の審査にかかわる業務(以下「審査業務」という。)を適格に実施する能力があると認められる者を、審査機関として指定することができる。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「JIPDECが審査をして認めた団体が、審査機関としてしていされます」
ということが書いています。
『審査機関JIPDEC』は、『認定機関JIPDEC』から『審査機関として指定』されているんですね。
『企業』と『審査機関』の間では『利害関係者が審査を行ってはいけない』と言っておきながら、『審査機関』の審査を確認するはずの『JIPDEC』が、『利害関係者』から上がってくる審査報告を受けて『認定を交付している』という矛盾を抱えています。
長くなってしまったので、次は次回!
今回のまとめ
JIPDECは審査をするな!
基本的にはかぶる内容が多くなるけど、あしからず。
このことについて始める前に、Pマークとは何かについて改めて確認してみると、JIPDECのホームページには、次のように書かれてます。
「プライバシーマーク制度」のことで、事業者が「個人情報」を「基準」に沿って適切に取り組んでいるかを評価し、適正と判断した事業者を認定する制度です。
その基準は、日本工業規格(JIS)の「JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項」です。
参照:プライバシーマーク制度の認定基準とは?
http://privacymark.jp/wakaru/kouza/theme2_03.html
ここにはポイントとなる2つのことが書いてます。
1つ目は、『事業者を認定する制度』であるということ。
2つ目は、『JIS Q 15001:2006-個人情報保護マネジメントシステム-要求事項』が審査基準であること。
ひとつずつ見ていきましょう。
まず、1つ目の『事業者を認定する制度』についてです。
個人情報保護に対する取り組みを評価するのですから、どこかの機関が認定を受けたいと思っている企業がきちんと取り組んでいるかを審査(外部審査)する必要があります。
審査する機関はどのようにして決めていくのか、ざっくりと説明すると、
『JIPDECが定めに従って、審査ができる団体であるかの審査を行い決めています』
このことによって、企業と審査機関、JIPDECには次の構図が成り立ちます。
この関係が成り立つことで、審査機関は常にJIPDECの監視を受けながら、正しい審査を行う義務を負います。
また、多数ある審査機関のなかで審査内容や判断基準にバラツキが起きないようにJIPDECが指導を行うことで、企業はどの審査機関で外部審査を行っても同じ審査結果になることが見込まれています。
実は、Pマークには、ここに最大の問題点があります。
『プライバシーマーク付与事業者一覧ページ(http://privacymark.jp/certification_info/list/clist.html)』で、適当に検索してみてください。
『審査機関』の項目に『JIPDEC』と書かれているのが確認できると思います。
つまり、上の図がこのような形になります。
JIPDECが審査した企業に対して、認定機関であるJIPDECが企業を認定しています。
一番の問題点なのは、『JIPDECの審査結果の正当性判断が不適切である』ということです。
具体的にどう不適切なのか規約を見てみましょう。
審査機関の遵守すべき規約から抜粋してみました。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関の指定に関する規約」
6.4 付与適格性審査及び付与適格性の認否の決定
~前略~
審査機関は、申請者と直接の利害関係のある者を、当該申請者の審査又は付与適格性審査の手続きに関与させてはならない。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「利害関係者が審査を行ってはいけません」
ということが書いています。
――――――――――――――――――――――――――――――――――――――――
「プライバシーマーク指定審査機関指定基準」
第4条
付与機関は、公益社団法人、公益財団法人、一般社団法人、一般財団法人その他日本の法律に基づいて設立された非営利の法人(以下「団体」という。)で、プライバシーマーク付与の適格性の審査にかかわる業務(以下「審査業務」という。)を適格に実施する能力があると認められる者を、審査機関として指定することができる。
~後略~
――――――――――――――――――――――――――――――――――――――――
この条項では、
「JIPDECが審査をして認めた団体が、審査機関としてしていされます」
ということが書いています。
『審査機関JIPDEC』は、『認定機関JIPDEC』から『審査機関として指定』されているんですね。
『企業』と『審査機関』の間では『利害関係者が審査を行ってはいけない』と言っておきながら、『審査機関』の審査を確認するはずの『JIPDEC』が、『利害関係者』から上がってくる審査報告を受けて『認定を交付している』という矛盾を抱えています。
長くなってしまったので、次は次回!
今回のまとめ
JIPDECは審査をするな!
2011年6月2日木曜日
Play Station Networkのパスワードルールの不思議
Sonyの例のアレの件で、いろいろあったようですが、
Play Station Networkが復旧したということで、
遊びに行っている人がいるようですね。
私は持っていないので(情弱ということですね。ハイ)、
遊びに行けていないのですが、
新しいパスワードのところで、『変わったルール』が話題になってますので、
ちょっとだけ触れてみます。
パスワードのルールはこちらのようです。
(実機がないので、キャプチャはご勘弁ください。)
『なんかおかしいな?』
って思った人はいますか?
ちょっとおかしいですよ!!
なぜって?
ブルートフォース攻撃をやりやすくしてる。
(といってもそんなに変わりませんが・・・)
逆に、なんでこんなルールを作ったのかを考えると、
思い当たるのはこの一つだけですね。
・一文字だけを連続させたパスワードを作る人がでるかもしれないから。
たとえば「aaaaaaaa」とか「11111111」など
利用者のユーザーリテラシーが低いと思ってるんでしょうね。
最近は、多少複雑なパスワードをみんな使ってると思いたいですが、
実際どうなんでしょうね?
教えて偉い人!
Play Station Networkが復旧したということで、
遊びに行っている人がいるようですね。
私は持っていないので(情弱ということですね。ハイ)、
遊びに行けていないのですが、
新しいパスワードのところで、『変わったルール』が話題になってますので、
ちょっとだけ触れてみます。
パスワードのルールはこちらのようです。
(実機がないので、キャプチャはご勘弁ください。)
-------------------------------------------------------赤字で書いているのは、実機でも赤字のようですが、
・8文字以上
・1文字以上の英字および数字を含める
・同じ文字は3文字以上連続させてはいけない
・サインインIDまたはオンラインIDと同じものはダメ
・パスワードは2箇所に正しく入れる
・英字の大文字と小文字は区別される
・前回使ったパスワードは使えない
-------------------------------------------------------
『なんかおかしいな?』
って思った人はいますか?
ちょっとおかしいですよ!!
なぜって?
ブルートフォース攻撃をやりやすくしてる。
(といってもそんなに変わりませんが・・・)
逆に、なんでこんなルールを作ったのかを考えると、
思い当たるのはこの一つだけですね。
・一文字だけを連続させたパスワードを作る人がでるかもしれないから。
たとえば「aaaaaaaa」とか「11111111」など
利用者のユーザーリテラシーが低いと思ってるんでしょうね。
最近は、多少複雑なパスワードをみんな使ってると思いたいですが、
実際どうなんでしょうね?
教えて偉い人!
2011年5月26日木曜日
イースターエッグ
ふと思い立って、久しぶりにやってみた。
最近こんなの減ってきた気がする。
# aptitude moo昔の人って遊び心満載だったよね。
There are no Easter Eggs in this program.
# aptitude -v moo
There really are no Easter Eggs in this program.
# aptitude -vv moo
Didn't I already tell you that there are no Easter Eggs in this program?
# aptitude -vvv moo
Stop it!
# aptitude -vvvv moo
Okay, okay, if I give you an Easter Egg, will you go away?
# aptitude -vvvvv moo
All right, you win.
/----\
-------/ \
/ \
/ |
-----------------/ --------\
----------------------------------------------
最近こんなの減ってきた気がする。
2011年5月25日水曜日
2011年5月17日火曜日
技術者と資格
今年のIPAの試験まであと1ヶ月半になった。
今回の試験は当初日程の都合で受けられなかったけど、震災の影響で日程が変わったので受けられるようになった。
午前Ⅰからだからちょっと朝が辛い。
ところで、IT関係の技術者の人たちって、
資格試験に対して否定的な意見を言う人が多い気がする。
よく聞こえてくるのは
「資格取得と実務は違う」
「資格もってても実業務においては役に立たない」
などなど・・・
自分も『資格取得=できる人』というのは成り立たないことに対しては同意している。
枯れてしまって、今では使わなくなってしまった技術に対しての設問が結構あることも知っている。
でも、こんなことを発言するんだったら一つだけ守ってもらいたいことがある。
それは、『資格を取得してから言え!』ということ。
資格試験は、体系的な知識が必要になるし、
正しい知識を持っていることを客観的に第三者から判定される部分については、
非常に有効な手段だと自分自身思っている。
とってもいない資格に対してとやかく言う資格はないと思っている。
繰り返しになるけど、
(資格を)否定するなら、取ってから!
今回の試験は当初日程の都合で受けられなかったけど、震災の影響で日程が変わったので受けられるようになった。
午前Ⅰからだからちょっと朝が辛い。
ところで、IT関係の技術者の人たちって、
資格試験に対して否定的な意見を言う人が多い気がする。
よく聞こえてくるのは
「資格取得と実務は違う」
「資格もってても実業務においては役に立たない」
などなど・・・
自分も『資格取得=できる人』というのは成り立たないことに対しては同意している。
枯れてしまって、今では使わなくなってしまった技術に対しての設問が結構あることも知っている。
でも、こんなことを発言するんだったら一つだけ守ってもらいたいことがある。
それは、『資格を取得してから言え!』ということ。
資格試験は、体系的な知識が必要になるし、
正しい知識を持っていることを客観的に第三者から判定される部分については、
非常に有効な手段だと自分自身思っている。
とってもいない資格に対してとやかく言う資格はないと思っている。
繰り返しになるけど、
(資格を)否定するなら、取ってから!
2011年3月29日火曜日
いまさらですが、カンニング事件
某大学であったカンニング事件。
いまさら感はたっぷりだけど、掘り返してみた。
カンニングについて、情報セキュリティ的な観点で考えてみた。
<脅威>
・カンニングして学力の乏しい人物が合格してしまうこと
<対策>
・座る席を工夫して、少なくとも両隣には、他の人が座らないようにする。
・机の上に出していいものは、筆記用具と受験票だけにする。
・カンニングが見つかったら失格ということを受験者に伝える。
・試験官を配置し、巡回させる。
・教室内から、ヒントとなるようなことが書いてある掲示物を排除する。
<残存リスク>
・試験官が気づかない方法でカンニングされる
ということだろう。
今回の事件(?)は、残存リスクとなっていたことを受験生にされただけのことである。
つまり、大学側の対策が悪かっただけのことだ。
試験官のスキルの問題であって、責任は大学にある。
残存リスクによって引き起こされたインシデントなのだから、
それに伴って発生する業務すべては、大学側の責任で行うべき事項だ。
間違っても訴えを起こすようなことができないと思っている。
いまさら感はたっぷりだけど、掘り返してみた。
カンニングについて、情報セキュリティ的な観点で考えてみた。
<脅威>
・カンニングして学力の乏しい人物が合格してしまうこと
<対策>
・座る席を工夫して、少なくとも両隣には、他の人が座らないようにする。
・机の上に出していいものは、筆記用具と受験票だけにする。
・カンニングが見つかったら失格ということを受験者に伝える。
・試験官を配置し、巡回させる。
・教室内から、ヒントとなるようなことが書いてある掲示物を排除する。
<残存リスク>
・試験官が気づかない方法でカンニングされる
ということだろう。
今回の事件(?)は、残存リスクとなっていたことを受験生にされただけのことである。
つまり、大学側の対策が悪かっただけのことだ。
試験官のスキルの問題であって、責任は大学にある。
残存リスクによって引き起こされたインシデントなのだから、
それに伴って発生する業務すべては、大学側の責任で行うべき事項だ。
間違っても訴えを起こすようなことができないと思っている。
2011年3月28日月曜日
Pマークのここがダメ
一般的なマネジメントシステムについて知れば知るほど、
プライバシーマークのよくない部分が目に付いてくる。
個人的にとても嫌なことがあったので、
列挙することにした。
1.JIPDECが審査をしている
(これじゃ泥棒が裁判官をやるようなもんですよ)
2.規格(JISQ15001)自体がくだらない
(多すぎて語りきれない・・・察してやってください)
3.「Pマークは、JISQ15001に適合して・・・」と謳われているにもかかわらず、
規格(JISQ15001)に掲載されていない
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム
実施のためのガイドライン」
に書かれている内容を満たしていないと「不適合」とされる。
4.審査員が法律を理解していない
(法律では問題ないことについて「不適合」と審査されましたよ)
5.審査員がくだらない書類ばかり作るようなことを要求する
(書類を作れば、ちゃんと保護できてる・・・とは言えないですよ)
6.審査員は、書類を見ることばかりに専念して業務を見ていない
7.取消しとか一時停止なんていう枠組みは無駄
情報漏えいなんてもんは、どんなに防御をしていても100%防ぐことができないものなのに
事故を起こしたら取り消しますよとかいうのはナンセンス
8.役所も役所だ!Pマーク取得を入札要件に入れるな
(官公庁ではPマークを取得しているところはない)
異論は(ry
プライバシーマークのよくない部分が目に付いてくる。
個人的にとても嫌なことがあったので、
列挙することにした。
1.JIPDECが審査をしている
(これじゃ泥棒が裁判官をやるようなもんですよ)
2.規格(JISQ15001)自体がくだらない
(多すぎて語りきれない・・・察してやってください)
3.「Pマークは、JISQ15001に適合して・・・」と謳われているにもかかわらず、
規格(JISQ15001)に掲載されていない
「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム
実施のためのガイドライン」
に書かれている内容を満たしていないと「不適合」とされる。
4.審査員が法律を理解していない
(法律では問題ないことについて「不適合」と審査されましたよ)
5.審査員がくだらない書類ばかり作るようなことを要求する
(書類を作れば、ちゃんと保護できてる・・・とは言えないですよ)
6.審査員は、書類を見ることばかりに専念して業務を見ていない
7.取消しとか一時停止なんていう枠組みは無駄
情報漏えいなんてもんは、どんなに防御をしていても100%防ぐことができないものなのに
事故を起こしたら取り消しますよとかいうのはナンセンス
8.役所も役所だ!Pマーク取得を入札要件に入れるな
(官公庁ではPマークを取得しているところはない)
異論は(ry
無計画停電 こうすればいいんじゃね?
東京電力がアレなので、ちょっと考えてみた。
今のままじゃあまりにも不公平だ。
23区外に本社を構えてる会社だっていっぱいあるんだぞ。
政治主導とか言ってる輩がいるのだからこれくらいはやってほしい。
1.停電範囲
日本で一番電力を消費している23区を全面的に輪番停電の範囲内にする。
ただし、経済がとまるといけないのはわかるので、港区と千代田区と中央区に限っては
19時30分~22時30分の時間に限定する。
(経済の中心なんだから夜は人がかなり減るでしょ。その分一般家庭に電気を回してね)
2.停電除外区域
警察、病院、信号、水道、ガス、鉄道、被災地域に限っては、停電させてはいけない。
(最低限の生活ができるようにしましょう。でもオール電化の人はごめんなさい)
3.風営法の改定
災害時には、最大電力を○○キロワットまでとか、上限を制限したり、
電力消費が多くなる時間帯の営業を停止させるとか強制力を持たせるようにしてしまおう。
千葉にある某巨大アミューズメント施設だって、営業自粛してるんだ。
(こんなときに娯楽を優先させるのは不謹慎と個人的に思ってる。)
4.電気の周波数の統一
そろそろ統一しよう。
今の家電は50Hz、60Hzの両方に対応してるのも多い。
この狭い国土で違う周波数を使っているのは非効率。
5.東京電力の解体
もういいよ。ご苦労様。
こんな非常時に社長以下役員が現場で、最前線で復旧に努めないような
危機管理意識の乏しい会社なんかいらない。
賛同してくれる人いないかな?
今のままじゃあまりにも不公平だ。
23区外に本社を構えてる会社だっていっぱいあるんだぞ。
政治主導とか言ってる輩がいるのだからこれくらいはやってほしい。
1.停電範囲
日本で一番電力を消費している23区を全面的に輪番停電の範囲内にする。
ただし、経済がとまるといけないのはわかるので、港区と千代田区と中央区に限っては
19時30分~22時30分の時間に限定する。
(経済の中心なんだから夜は人がかなり減るでしょ。その分一般家庭に電気を回してね)
2.停電除外区域
警察、病院、信号、水道、ガス、鉄道、被災地域に限っては、停電させてはいけない。
(最低限の生活ができるようにしましょう。でもオール電化の人はごめんなさい)
3.風営法の改定
災害時には、最大電力を○○キロワットまでとか、上限を制限したり、
電力消費が多くなる時間帯の営業を停止させるとか強制力を持たせるようにしてしまおう。
千葉にある某巨大アミューズメント施設だって、営業自粛してるんだ。
(こんなときに娯楽を優先させるのは不謹慎と個人的に思ってる。)
4.電気の周波数の統一
そろそろ統一しよう。
今の家電は50Hz、60Hzの両方に対応してるのも多い。
この狭い国土で違う周波数を使っているのは非効率。
5.東京電力の解体
もういいよ。ご苦労様。
こんな非常時に社長以下役員が現場で、最前線で復旧に努めないような
危機管理意識の乏しい会社なんかいらない。
賛同してくれる人いないかな?
2011年3月27日日曜日
無計画停電
ここ数日のニュースから。
・輪番停電で信号が消えたことで、交通事故が発生。
・輪番停電で病院施設に電力供給がなくなり、検査ができずに重体になる。
ここまでくると立派な人災だと思う。
異論は認める。
最近では、輪番停電と言わずに計画停電と言い出した。
23区内ではかなりの範囲が停電にならず輪番じゃないから。
どっかの総理大臣の選挙区では、停電にならないように東京電力に要請したとかしないとか。。。
ほかにも、停電の地域じゃないからいくらでも電気を使っていいとのたまう老人もいたなぁ。
世も末だと思った。
関係ないけど、電車の中で通話しているのも年寄りが多い印象だしな。
ずいぶん昔に言われていた「最近の若者は・・・」というのが
今では、「最近の老人は・・・」に変わってきてるな。
・輪番停電で信号が消えたことで、交通事故が発生。
・輪番停電で病院施設に電力供給がなくなり、検査ができずに重体になる。
ここまでくると立派な人災だと思う。
異論は認める。
最近では、輪番停電と言わずに計画停電と言い出した。
23区内ではかなりの範囲が停電にならず輪番じゃないから。
どっかの総理大臣の選挙区では、停電にならないように東京電力に要請したとかしないとか。。。
ほかにも、停電の地域じゃないからいくらでも電気を使っていいとのたまう老人もいたなぁ。
世も末だと思った。
関係ないけど、電車の中で通話しているのも年寄りが多い印象だしな。
ずいぶん昔に言われていた「最近の若者は・・・」というのが
今では、「最近の老人は・・・」に変わってきてるな。
2011年3月17日木曜日
計画停電 2
計画停電はやっぱりずさんで無計画だった。
埼玉県○○市○○1丁目にある我が家は、
東京電力のHPに掲載されていたグループ分けの表では2グループに
入っていて、ほかのグループには記載がなかった。
なので、必然的に2グループと思っていて、16日を迎えていた。
停電の予定は、15:20~18:20だったので、それに備えて準備をしていたが、
停電は行われなかった。
今日はなかったと思ってゆっくりお風呂の準備をしていたら
19時を回ったところで、突然停電になった。
この時間は3グループの時間なのに・・・
テレビのインタビューで停電の対応窓口をしている誰かが話していた
「停電情報を電話で確認するのではなく、自分で情報を集めることをやってもらいたい」
ちょっとまて、
それを言えるのは、ちゃんとすべての情報を正しく開示してからの話だ。
間違った情報をあたかも正しい情報として流されていたのでは困る。
その辺ちゃんとしてもらいたい。
埼玉県○○市○○1丁目にある我が家は、
東京電力のHPに掲載されていたグループ分けの表では2グループに
入っていて、ほかのグループには記載がなかった。
なので、必然的に2グループと思っていて、16日を迎えていた。
停電の予定は、15:20~18:20だったので、それに備えて準備をしていたが、
停電は行われなかった。
今日はなかったと思ってゆっくりお風呂の準備をしていたら
19時を回ったところで、突然停電になった。
この時間は3グループの時間なのに・・・
テレビのインタビューで停電の対応窓口をしている誰かが話していた
「停電情報を電話で確認するのではなく、自分で情報を集めることをやってもらいたい」
ちょっとまて、
それを言えるのは、ちゃんとすべての情報を正しく開示してからの話だ。
間違った情報をあたかも正しい情報として流されていたのでは困る。
その辺ちゃんとしてもらいたい。
2011年3月14日月曜日
計画停電
東京電力の計画停電だけど
実施理由も良くわかるし、必要だってことは認識してる。
だけど、なんでこんなに不公平が生じる形でやるんだろう
不公平と思うのは次の2つ
6時半を過ぎて第1グループは計画停電をしないとか報道が流れるような
無計画な計画停電ってどういうことよ
実施理由も良くわかるし、必要だってことは認識してる。
だけど、なんでこんなに不公平が生じる形でやるんだろう
不公平と思うのは次の2つ
- 第1グループ、第2グループは2回も停電する。7回も停電を実施するんだったらはじめからグループを7つに分けるという発想はないんだろうか?
- 23区内では停電しないところが多い。人が多いのは23区内のはずなのになんで?
6時半を過ぎて第1グループは計画停電をしないとか報道が流れるような
無計画な計画停電ってどういうことよ
平成23年3月14日
今朝5時に起きて出社準備したけど、
テレビでは電車の終日運休が流れてた。
代替のバスかなんかあればいいなって思って
最寄駅まで行ってみたけど、代替輸送はないってorz
とりあえずお家に帰ってきましたよ
テレビでは電車の終日運休が流れてた。
代替のバスかなんかあればいいなって思って
最寄駅まで行ってみたけど、代替輸送はないってorz
とりあえずお家に帰ってきましたよ
2011年3月13日日曜日
東北地方太平洋沖地震 2
帰宅困難者(芝公園→埼玉県)になっての出来事とか
AU → ソフトバンク ダメポ
AU → docomo たまに繋がった!
AU → 固定電話 ダメポ
ウィルコム → ウィルコム 相変わらず絶好調!
ウィルコム → 固定電話 繋がる!
ウィルコムの強さは際立ってる。
ただ、バッテリーがなくなったときの対応は一切出来ないのがウィルコム!
夜中には弱点が露呈しましたorz
自分は、7時間(うち1時間くらいは休憩)くらいかけて、埼玉県までは到達!
でも、自分の家は遠いので自宅まではたどり着けなかった。
- 人がいっぱいで、歩道は埋め尽くされているけど、暴動みたいなのは起きないし、罵声も聞こえなかった。日本人さすがだな。
- 東京タワーの先端がちょっと曲がってた。
- 目的地の方向が一緒の人はある程度まとまって話しながら歩くのは大事。一人だと寂しくなる。
- 途中で通った秋葉原。XXX系のグッズ売ってる店に男女の人だかり!何かと思ったらテレビを外から見える場所に設置してました。
- コンビニだったりカフェだったり営業してくれていた人たち・・・ありがとう。暖まりました。
- 自転車屋さんの自転車が結構なくなってた。歩くよりは楽だよね。
- 足立区の関係者の方々ご苦労様でした。避難所を解放してくれていました。しかも区民でなくても利用できるように配慮していただいていたので、助かった人も多かったと思います。
AU → ソフトバンク ダメポ
AU → docomo たまに繋がった!
AU → 固定電話 ダメポ
ウィルコム → ウィルコム 相変わらず絶好調!
ウィルコム → 固定電話 繋がる!
ウィルコムの強さは際立ってる。
ただ、バッテリーがなくなったときの対応は一切出来ないのがウィルコム!
夜中には弱点が露呈しましたorz
自分は、7時間(うち1時間くらいは休憩)くらいかけて、埼玉県までは到達!
でも、自分の家は遠いので自宅まではたどり着けなかった。
東北地方太平洋沖地震 1
勤務先の都内の建物の9階で地震にあった。
今後の備忘録として・・・
大型のキャビネットは倒れ、危うく下敷きになるところだった。
PCとかも倒れちゃって数台壊れた様子。
すぐに外に出て、建物にいた人はとりあえず無事だったみたい。
そのまま避難先になっている芝公園に移動。
普段はみんなビルの中にいるので分らなかったけど、
この界隈にはものすごい多くの人がいることをはじめて知った。
芝公園にいる間、家族の安否確認をしようとした。
ウィルコムとAUを持っていたので、電話掛けまくり・・・
AU→AU かかりにくい
AU→ソフトバンク 無理
AU→docomo 無理
ウィルコム→ウィルコム つながる!!
ウィルコム→固定電話 たまに呼び鈴鳴る
ウィルコム強いw
周りのiPhoneユーザーは、twitterで安否確認なう
余震も続く中、ビルにもどって帰り支度。
余震への備えとして、PCとかサーバとかを落とした。
そしてそのまま帰宅困難者になってしまった。
今後の備忘録として・・・
大型のキャビネットは倒れ、危うく下敷きになるところだった。
PCとかも倒れちゃって数台壊れた様子。
すぐに外に出て、建物にいた人はとりあえず無事だったみたい。
そのまま避難先になっている芝公園に移動。
普段はみんなビルの中にいるので分らなかったけど、
この界隈にはものすごい多くの人がいることをはじめて知った。
芝公園にいる間、家族の安否確認をしようとした。
ウィルコムとAUを持っていたので、電話掛けまくり・・・
AU→AU かかりにくい
AU→ソフトバンク 無理
AU→docomo 無理
ウィルコム→ウィルコム つながる!!
ウィルコム→固定電話 たまに呼び鈴鳴る
ウィルコム強いw
周りのiPhoneユーザーは、twitterで安否確認なう
余震も続く中、ビルにもどって帰り支度。
余震への備えとして、PCとかサーバとかを落とした。
そしてそのまま帰宅困難者になってしまった。
2011年2月26日土曜日
andiparosとparosでbadstoreにアタック!
ふと思ったので、badstoreに攻撃を仕掛けてみた。
検索結果はこんな感じ
【paros】
検索結果はこんな感じ
【paros】
【andiparos】
結果の見え方としては、andiparosのほうが若干わかりやすい。
検索の性能は・・・っと
アレ・・・andiparosさん・・・・・・・・レポートのエクスポートでエラーがでる・・・orz
今まで使ってなかったから気にもしてなかった・・・と言ってみるテス・・
とりあえずざっくり眺めてみたけれど、
どちらもほぼ同じ結果でしたよ。。。
自動ツールなので、過信はできないから
『ある程度見つけてくれればそれでいい!』
というくらいの感じでいないとね
2011年2月25日金曜日
apacheの変なログ
管理しているサーバのaccess.logに変なものがあった。
どうやら、誰かさん(88.80.10.1)がプロキシでも探しているようだ。
もちろんプロキシではないし、ちゃんと404を返しているので大丈夫と思われ。
あんまり気分のいいものじゃないからdenyしちゃおうかな
88.80.10.1 - - [22/Feb/2011:06:42:57 +0900] "GET http://88.80.10.1/pp/anp.php?a=VTVHWPFY%40%40AJDS%5C&b=1155&c=1e72 HTTP/1.1" 404 208 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
どうやら、誰かさん(88.80.10.1)がプロキシでも探しているようだ。
もちろんプロキシではないし、ちゃんと404を返しているので大丈夫と思われ。
あんまり気分のいいものじゃないからdenyしちゃおうかな
2011年2月14日月曜日
andiparosでポートスキャン
andiparosには、ポートスキャンの機能が追加されているので、使ってみた。
※くれぐれも責任の取れる範囲で行ってください。
1.andiparosを立ち上げて、ポートスキャンしたいサーバのwebページを表示させます。
(アクセスしていないサーバに対してはポートスキャンできないようです)
2.下段の「Port Scan」タブを開き、『Site』から対象のサーバを選択します。
※くれぐれも責任の取れる範囲で行ってください。
1.andiparosを立ち上げて、ポートスキャンしたいサーバのwebページを表示させます。
(アクセスしていないサーバに対してはポートスキャンできないようです)
2.下段の「Port Scan」タブを開き、『Site』から対象のサーバを選択します。
3.ポートスキャンの設定をするため、『Tools』→『Options...』を開きます。
(先にやってもOK)
4.『Options』→『Port Scan』を選択します。
5.スキャン範囲と1ホストあたりの同時スキャンスレッド数を調整します。
Maximum port to scan:1番から何番ポートまでスキャンするか選択します。
Concurrent scanning threads per host:1ホストあたりの同時スキャンスレッド数を選択します。5でいいです。
・・・オプションこれだけしかありません。
6.『Start Port Scan』のボタンをクリックしスキャンを実行します。
7.スキャンが終わるまで待ちます。終わるとこんな感じです。
・・・と、ポートスキャンをやってみたのですが、andiparosでポートスキャンをするのはお勧めできません。なによりとても遅いです。1から1024ポートまでスキャンするのに数時間かかります。
素直にNmapなどのポートスキャンツールを使う方がよっぽど早いですし、オプションも用意されていますね。
2011年2月8日火曜日
クラウドの問題 その1 ~定義がちょっとでも曖昧に・・・~
「定義がちょっとでも曖昧になってくると間違ってくるんだよ。」
どっかで聞いたことのあるフレーズですが、
今のクラウドコンピューティングには、この問題がある。
クラウドコンピューティングといっても、実態が様々なので、
時には、SaaSを指し、PaaSを指し、HaaSを指したりする。
そのことが利用者にとって混乱を招く。
売り込むほうは「クラウドコンピューティングですよ」
としかいわないことが多く、利用者側で、どこまでのサービスなのか確認する必要がある。
そのため、契約締結後に「こんなはずじゃなかった」的なことが起こりうる。
思い込みで、クラウドコンピューティングを判断すると痛い目に会うので、
「このクラウドはSaaSですか?PaaSですか?HaaSですか?それともほかの何かですか?」
ということを初めに聴く必要がある。
売る側にとっての魔法の言葉は、利用側への重要な説明を省く言葉になっている。
業者によっては、一般的なASPサービスまで『クラウドですよ』なんてしたり顔で言ってきている。
SaaSとかPaaSとかの言葉があるんだからそれを使えばいい。
『クラウド』というひとくくりでしかものを言ってこない業者には、
まさにあの言葉がお似合いだ。
「定義がちょっとでも曖昧になってくると(顧客の理解が)間違ってくるんだよ。」
どっかで聞いたことのあるフレーズですが、
今のクラウドコンピューティングには、この問題がある。
クラウドコンピューティングといっても、実態が様々なので、
時には、SaaSを指し、PaaSを指し、HaaSを指したりする。
そのことが利用者にとって混乱を招く。
売り込むほうは「クラウドコンピューティングですよ」
としかいわないことが多く、利用者側で、どこまでのサービスなのか確認する必要がある。
そのため、契約締結後に「こんなはずじゃなかった」的なことが起こりうる。
思い込みで、クラウドコンピューティングを判断すると痛い目に会うので、
「このクラウドはSaaSですか?PaaSですか?HaaSですか?それともほかの何かですか?」
ということを初めに聴く必要がある。
売る側にとっての魔法の言葉は、利用側への重要な説明を省く言葉になっている。
業者によっては、一般的なASPサービスまで『クラウドですよ』なんてしたり顔で言ってきている。
SaaSとかPaaSとかの言葉があるんだからそれを使えばいい。
『クラウド』というひとくくりでしかものを言ってこない業者には、
まさにあの言葉がお似合いだ。
「定義がちょっとでも曖昧になってくると(顧客の理解が)間違ってくるんだよ。」
2011年2月1日火曜日
IPv4アドレス枯渇は秒読み段階!?
いろんな記事がでてるので、詳細は抜き。
IPv4なくなったからといってIPv6に切り替えるなんてムリポ。
IPv4しか対応していない機械なんかいっぱいあるし、
IPv6を理解している人なんかはまだまだ少ないよ。
これからどうなっちゃうんだろうね?
だれにも分かんない。
IPv4なくなったからといってIPv6に切り替えるなんてムリポ。
IPv4しか対応していない機械なんかいっぱいあるし、
IPv6を理解している人なんかはまだまだ少ないよ。
これからどうなっちゃうんだろうね?
だれにも分かんない。
2011年1月18日火曜日
andiparos 使ってみよう
年末年始に引っ越し前のブログのアクセス件数が不思議なほど増えていた。
日々書いているわけでもないし、宣伝してるわけでもないのに・・・
なんだろうと思ってたら、最近やっと理由が分かった。
「ハッカージャパン1月号」が原因だろう。(勝手に推測)
なんかの特集の後ろにandiparosが1行だけ紹介されてた。
andiparosの公式サイトには、いまだにドキュメントが全くない。
そのためか日本語でなんか書いてるサイトなんかも全然見当たらない。
それで流れ着いた人が見てたんだろうな・・・
大したこと書いてなくてごめんよ~ >流れ着いてしまった人々
-----------------------------------------------------
さて、本題。。。
前回までで起動確認までは行った。
実際に脆弱性診断してみよう。
脆弱性診断ツールは、基本的にはアタックをしかけるので、
くれぐれも人様に迷惑をかけないようにしましょう。
ということで、プライベートネットワークにサーバを立てて、
適当なコンテンツを作った。
http://192.168.3.123/e-test
Parosを使ったことがあれば、基本的な操作は同じ。
andiparosを起動させた状態で、アクセスするとこんな感じ。
実際には、ブラウザのホームページとか「Sites」の欄になんだかんだいっぱい出てくる。
不要なドメインは、右クリックして「Purge」してしまおう。
次に、「サイトを選択」→「Analyse」→「Spider...」をクリックする。
そうすると次の画面が表示されるので、「Start」をクリックして実行する。
終わるとこの画面が消える。
この作業は、脆弱性を診断する前に、どんなリンク先があるのか探索する処理なので必須。
自動的に選択したドメインだけを収集して、外部のリンクは排除される。
そして、いよいよ脆弱性診断を行なう。
「Sites」から選択して、「Analyse」→「Scan」をクリックする。
Scanningの画面が流れるのでしばらく放置。
リンク先が多かったりすると結構時間がかかる。
終わると、アラートがスキャニングにかかった時間(秒)と共に表示される。
今回は6分強かかったようだ。
「OK」をクリックすると、元の画面に戻る。
「Alerts」の項目に見つかった脆弱性が表示される。
赤>オレンジ>黄色>青 の順でレベル分けされている。
詳細については、ツリーを開きダブルクリックすると、右側に表示される。
「Alerts」で出ている項目を右クリックすると、脆弱性と判断した動作を個別に再度行うこともできる。
というのが一連の流れ。
繰り返しになるけど、自分の責任範囲内で行うこと!
日々書いているわけでもないし、宣伝してるわけでもないのに・・・
なんだろうと思ってたら、最近やっと理由が分かった。
「ハッカージャパン1月号」が原因だろう。(勝手に推測)
なんかの特集の後ろにandiparosが1行だけ紹介されてた。
andiparosの公式サイトには、いまだにドキュメントが全くない。
そのためか日本語でなんか書いてるサイトなんかも全然見当たらない。
それで流れ着いた人が見てたんだろうな・・・
大したこと書いてなくてごめんよ~ >流れ着いてしまった人々
-----------------------------------------------------
さて、本題。。。
前回までで起動確認までは行った。
実際に脆弱性診断してみよう。
脆弱性診断ツールは、基本的にはアタックをしかけるので、
くれぐれも人様に迷惑をかけないようにしましょう。
ということで、プライベートネットワークにサーバを立てて、
適当なコンテンツを作った。
http://192.168.3.123/e-test
Parosを使ったことがあれば、基本的な操作は同じ。
andiparosを起動させた状態で、アクセスするとこんな感じ。
実際には、ブラウザのホームページとか「Sites」の欄になんだかんだいっぱい出てくる。
不要なドメインは、右クリックして「Purge」してしまおう。
次に、「サイトを選択」→「Analyse」→「Spider...」をクリックする。
そうすると次の画面が表示されるので、「Start」をクリックして実行する。
終わるとこの画面が消える。
この作業は、脆弱性を診断する前に、どんなリンク先があるのか探索する処理なので必須。
自動的に選択したドメインだけを収集して、外部のリンクは排除される。
そして、いよいよ脆弱性診断を行なう。
「Sites」から選択して、「Analyse」→「Scan」をクリックする。
Scanningの画面が流れるのでしばらく放置。
リンク先が多かったりすると結構時間がかかる。
終わると、アラートがスキャニングにかかった時間(秒)と共に表示される。
今回は6分強かかったようだ。
「OK」をクリックすると、元の画面に戻る。
「Alerts」の項目に見つかった脆弱性が表示される。
赤>オレンジ>黄色>青 の順でレベル分けされている。
詳細については、ツリーを開きダブルクリックすると、右側に表示される。
「Alerts」で出ている項目を右クリックすると、脆弱性と判断した動作を個別に再度行うこともできる。
というのが一連の流れ。
繰り返しになるけど、自分の責任範囲内で行うこと!
登録:
投稿 (Atom)