yojikのブックマーク - はてなブックマーク

高木浩光＠自宅の日記 - OECDガイドラインの8原則についてChatGPTに聞いてみた

■ OECDガイドラインの8原則についてChatGPTに聞いてみた ChatGPTに色々聞いてみるテストは1月にTwitterに結果を報告していた*1が、GPT-4が使えるようになったということで、もう一度やってみた。ChatGPTは基本的に、質問者に迎合しようとする︵質問者の期待に応えようとする︶ので、ChatGPTが答えたといっても質問者の意図した答えになっているにすぎない︵それゆえ、質問者の意図が明確にされず、ChatGPTも知らないことが問われると、全くの出鱈目を答えてしまうという現象が起きるようだ。︶わけであるが、それでも、質問者が誘導しているわけでもないのに質問者が必要としていることを言葉の端々から察知して根拠を探してきてくれるような回答をする。以下は、できるだけ誘導しなように︵といっても、後ろの方で明確に誘導しているところもあるがw︶質問した例だが、最初のうちはChatGPT

yojik 2023/03/28

リンク

高木浩光＠自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む

■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」（改定第7版2015年、初版2006年）のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック／ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF（クロスサイト・リクエスト・フォージェリ） 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の

yojik 2020/09/15

リンク

高木浩光＠自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた

■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた先週から、﹁ドコモ口座不正引き出し事件﹂の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ

yojik 2020/09/15

リンク

高木浩光＠自宅の日記 - 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章）

■ 天動説設計から地動説設計へ：7payアプリのパスワードリマインダはなぜ壊れていたのか（序章） 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。そもそもスマホアプリの時代、もはやauthenticationですらないと思うのよね。（何を言ってるかわからねえだろうと思うが。） — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。スマホ時代の「パスワード」のあり方を再考しよう高木浩光 2015年2

yojik 2019/07/09

リンク

高木浩光＠自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」序章昨日の読売新聞朝刊解説面に以下の記事が出た。［解説スペシャル］ウイルスか合法技術か他人のPC「借用」仮想通貨計算サイトに設置摘発相次ぐ, 読売新聞2018年6月9日朝刊「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー（30）は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。（略）昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。（略）略式命令を受けたウェブデザイナー

yojik 2018/06/13

いろいろひどい。。

リンク

高木浩光＠自宅の日記 - クロスサイトリクエストフォージェリ（CSRF）の正しい対策方法

■ クロスサイトリクエストフォージェリ︵CSRF︶の正しい対策方法﹁クロスサイトリクエストフォージェリ﹂がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策方法について書いておくとする。クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。前提ログインしていないWeb閲覧者に対するCSRF攻撃︵掲示板荒らしや、ユーザ登録を他人にさせる等、サイト運営者に対する業務妨害行為︶はここでは対象としない。ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション追

yojik 2018/05/24

リンク

高木浩光＠自宅の日記 - CCCはお気の毒と言わざるをえない

■ CCCはお気の毒と言わざるをえない驚きのニュースが舞い込んできた。CCCがプライバシーマーク︵Pマーク︶を返上したというのである。日経コンピュータの取材によれば、CCC社の﹁管理本部法務部リーダー﹂と、﹁経営戦略本部リスク・コンプライアンス統括部情報管理Leader﹂と、﹁経営戦略本部法務部会員基盤Leader﹂の3氏もそろってこれを認めているという。 CCC︵ツタヤ︶がプライバシーマーク返上で日本中のプライバシーフリークが騒然の事態(山本一郎) - Y!ニュース https://t.co/BKKhMTRyqX — やまもといちろう (@kirik) 2015, 11月19書きました。後編は来週掲載です。/ なぜCCCはプライバシーマークを返上し、T会員規約を改訂したのか︵前編︶ https://t.co/mJFLHTEnvK — Naoki Asakawa / 浅川直輝 (@n

yojik 2015/11/24

リンク

高木浩光＠自宅の日記 - 年金機構から基礎年金番号の付番機能を剥奪せよ, 追記（6月29日）

■ 年金機構から基礎年金番号の付番機能を剥奪せよ我が目を疑うニュースが飛び込んできた。性同一性障害者に年金共通番号一時ネット閲覧可能に, 共同通信, 2013年5月7日日本年金機構が、性同一性障害で性別変更した人を判別するため、昨年１０月から基礎年金番号１０桁のうち前半４桁に共通する固定番号の割り当てを始めていたことが７日、分かった。この４桁の番号が性同一性障害者を示すと明記した機構の内部文書が一時インターネットで確認できる状態だった。「内部文書が一時インターネットで確認できる状態だった」というのが意味不明だなと思いつつ、Twitterを検索してみたところ、この問題と戦っている方々のツイートと、問題提起のブログが見つかった。ＧＩＤ（性同一性障害）年金基礎番号　強制付番問題について, URＡIKADA | ＦＴＭＴＳのために, 2013年4月19日急ぎで載せました「ＧＩＤ（性同

yojik 2013/05/08

人権的にも、技術的な観点からもも、ひっどい話ですな。。。

リンク

高木浩光＠自宅の日記 - 遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書, 追記（24日）

■ 遠隔操作ウイルス事件での冤罪・誤認逮捕を警察自身が問題点検証した報告書遠隔操作ウイルス事件において、冤罪や誤認逮捕を生み出したことについて、警視庁、神奈川県警、大阪府警、三重県警は、それぞれ、自らの捜査の経緯を検証し、報告書をWebサイト上で公表した。いずれも2012年12月14日に同時発表されている。しかし、半月あまりでこれらのいずれの報告書もWebサイトでの掲示が取りやめられていたことが発覚した。︻遠隔操作︼誤認逮捕の報告書、警視庁と神奈川県警が公開から1ヵ月もしない内に削除, 2013年1月10日私が各警察本部︵広報課、広報室︶に電話で問い合わせたところ、元々掲載期間を2012年末までとしたものであったため、12月28日や31日に掲載終了したとのことだった。国立国会図書館に納入しているわけでもない様子である*1。この報告書は、警察の捜査のあり方を研究する上で重要な意義を持

yojik 2013/01/21

リンク

高木浩光＠自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。実線矢印はブラウザが送信するHTTPのrequest︵ヘッダおよび、POSTの場合はボディを含む︶を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse︵ヘッダおよび、HTML︶を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な﹁登録個人情報変更﹂の機能である。﹁メインメニュー﹂画面の﹁登録情報変更

yojik 2012/10/18

CSRF対策のための画面毎ワンタイムトークンは複数画面を同時に開かれるケース等を考えると実装が複雑になりすぎて無駄。そもそもセッション毎の固定トークン(むしろセッションIDそのもの)で十分。という話。

リンク

高木浩光＠自宅の日記 - 企業秘密を含み得るメールの件名がNAVERへ送信されている

■ 企業秘密を含み得るメールの件名がNAVERへ送信されている前回の日記の件、あのようなサービス形態︵サービス内容の説明の構造を含む︶が偶然に誕生したとは考えにくい*1ことから、現場で早まって安易な(b)の選択をする*2のでなく、元々本来の設計は﹁モニタ登録﹂した場合だけ送信するはずのものでなかったのか*3、今一度ちゃんと経営の判断も含めて検討されるよう促せないかと思い、︵サポートデスクへの伝言では心許ないので︶前回の日記を書いたのであった。しかし、結局、翌日のサポートデスクからの電話回答は、利用規約の文言を変更するというもの、つまり(b)が選択されたものであった。以下のように、28日の午後*4に﹁必ずご確認ください﹂という注意書きが加えられていた。この対応について、Twitterでは、当該事業者︵NHN Japan︶の本件当事者と、永久不滅プラス利用者の反応が、それぞれ以下のように

yojik 2012/08/31

本論と話は変わるけど、そもそもなぜURL収集と同じタイミングでタイトルが必要なんだろう。(収集したURLの中身を後でクロールして取得したりしないのかな)

リンク

高木浩光＠自宅の日記 - 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める

■ 技術音痴なIT企業CTOが国のWGで番号制度の技術基盤を歪める非公開で進められている︵傍聴が許されていない︶﹁情報連携基盤技術WG﹂の配布資料を入手した。しかも、この﹁情報連携基盤技術WG﹂には、存在自体が非公表のサブWGがあり、その構成員は、﹁情報連携基盤技術WG﹂から中立の有識者らを除いた、ベンダーの人々だけの集まりになっているらしい。入手した資料は、そうしたベンダーの構成員から今月提出されたもののようだ。入手した資料のうち、一つは重大な問題のある文書であり、他にもう一つ、問題のある文書があった。﹁番号制度﹂は、推進派に言わせれば﹁国家百年の大計として国の礎を作ることに他ならない﹂という*1ものであり、ベンダー試算によれば何千億円もの国家予算が必要と言われているものである。しかも、その方式設計は国民のプライバシー影響を左右する重要なものであって、一度不適切な方式を普及させると

yojik 2011/06/27

日本IBMのCTO様、自社製品売りつけるために恣意的に結論をゆがめているのか、アクセストークン方式のスジのよさ（疎結合）を素で理解できてないのか、どっちにしろ酷い話

リンク

高木浩光＠自宅の日記 - ユニークIDがあれば認証ができるという幻想

■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に﹁かんたんログイン﹂なるエセ認証方式が急速に広がり、その実態は﹁はてなのかんたんログインがオッピロゲだった件﹂のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。各サイトの﹁かんたんログイン﹂に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない︵不正アクセス禁止法違反になる︶ので、自分用のアカウントを作成して︵会員登録して︶、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は

yojik 2010/04/12

リンク

高木浩光＠自宅の日記 - 久しぶりのSwing開発で躓いたところ

■ 久しぶりのSwing開発で躓いたところ10年ぶりにSwingでデスクトップアプリを開発し、いつのまにか本格的に実用に耐えるフレームワークに仕上がっていたのを知った。NetBeans IDEはとても快適で、API仕様の確認やAPIライブラリのソースコードの確認も簡単にできる。わからない部分があっても、Web検索をすればたいていのことが解説されているのを発見できた。しかし、それでもいくつか、解決策がすぐには見つからない点があった。せっかくなのでここに書き残しておく。 1. テキストコンポーネントのHTML機能を殺す Swingでは、登場した当初からテキストコンポーネントでHTMLが使えるようになっていた。つまり、テキストの冒頭が﹁<html>﹂で始まっていると、それ以降のテキストがHTMLとして解釈される。IEでセキュリティ問題を引き起こしたのと同根のうざい仕様だ。JavaScriptは

yojik 2009/12/20

10年ぶりに高木さんからJavaの話題が！！

リンク

高木浩光＠自宅の日記 - こたえはきっとソースの中に〜ドコモのCAPTCHAモドキ

そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。︵図2の﹁gifcat/call.php?SID=948545﹂︶これでは何の意味もない。これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に︵同じ番号の︶違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。背景のノイズのようなものも、動的に生成されてい

yojik 2009/10/02

笑った > "CAPTCHA風の雰囲気を醸し出す"

リンク

高木浩光＠自宅の日記 - 日本のインターネットが終了する日

■ 日本のインターネットが終了する日︵注記‥この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。︶終わりの始まり今年3月31日、NTTドコモのiモードが、契約者固有ID︵個体識別番号︶を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。重要なお知らせ:﹃iモードID﹄の提供開始について, NTTドコモ, 2008年2月28日ドコモは、お客様の利便性・満足の向上と、﹁iモード(R)﹂対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID﹃iモードID﹄︵以下、iモードID︶機能を提供いたします。︵略︶ ■お客様ご利用上の注意・iモードID通知設定は

yojik 2008/07/11

security

リンク

高木浩光＠自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通？

■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通？論座2006年8月号に﹁IT技術は小学生を守るか﹂という記事が出ていた。これに次の記述がある。立教小学校︵略︶の﹁登下校管理システム﹂は、ICタグを用いたセキュリティーシステムの草分けだ。︵略︶導入を進めた石井輝義教諭︵情報科主任︶は﹁動機は、どちらかというとセキュリティーよりも利便性にありました﹂と語る。︵略︶﹁教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる﹂。今後はさらに、記録を時間順にソート︵並べ替え︶して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。さらに、技術

yojik 2006/08/14

まさにディストピア。自分も明確になぜクレイジーか説明できないのがもどかしい。

リンク

高木浩光＠自宅の日記 - 飾りじゃないのよCAPTCHAは〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか

■ 飾りじゃないのよCAPTCHAは〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。︵荒らしがよりハードルの低いところへ行ってくれることを期待できる。︶そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国

yojik 2006/08/12

capture風味の曲線描いてるときどんな気分だったんだろ

リンク

はてなブックマーク

タグ

ブックマーク / takagi-hiromitsu.jp (18)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス