サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ノーベル賞
himag.blog26.fc2.com
本家よりFirefox 3.6対応版の Sage 1.4.5 がリリースされました。開発者ブログによると「セキュリティを改善した」とのことなので早速テストしてみました。 その結果、このバージョンにおいても依然として幾つかの脆弱性が残っていることを確認しました。 Roberto Suggi Liverani氏が報告した脆弱性のうち、link要素内に特殊なURIを埋め込む攻撃に対して依然として脆弱ですし、それどころか、後述のようにエントリ本文に対して従来よりも簡単にスクリプトを埋め込むことができるようにさえなっています。一体何を修正して何を確認したのか、大いに疑問を感じざるを得ません。 公平のために付言すれば、一応セキュリティ面において若干の改善が行われたのは事実のようですが、残念ながらその改善はこれらの脆弱性に対しては効果を発揮していません。一体どこに問題があるのか、ポイントは3つあります。
種明かしをすると、昨日のような日本語+(拙い)英語の長文エントリをSageの最新版が公開されたその日に書き上げることができるわけもなく、あれは先月24日にバージョン1.4.4がリリースされてから少しずつ書き進めていたものに1.4.5で更新された内容を加筆したものです。実は1.4.4において脆弱性が修正されていないことはリリース直後に把握していましたが、作者によると「Firefox 3.6 compatibility release following shortly」とのことでしたので公開は保留していました。ですが、恐らくバージョン1.4.5になっても脆弱性が修正されない可能性も十分にあり得ると踏んでいました。そして実際その通りになったわけです。 昨日書いた問題点のうち、不正なリンクURIを使った攻撃については発見者によって脆弱性の実証が可能なテストファイルを含む形で公開されていますし、そ
以下で言及している脆弱性は Sage 1.4.6 において修正されましたが 引き続き 適切な対策 を講じることを推奨します (2010年3月10日追記) 下記サイトにおいて、本家Sageに脆弱性が存在することが公表されています。 Zero-day vulnerabilities in Firefox extensions discovered この脆弱性の詳細は不明ですが、情報提供者の一人であるRoberto Suggi Liverani氏はBugzillaにおいて今年2月にSageの脆弱性について以下ような報告を行っています。 Bug 20610 - Chrome Privileged Code Injection 上記報告に添付されているレポート [PDF] 上記の各報告の中に掲載されている攻撃成功時のスクリーンショットが非常に似ている点から、これら2つの報告は同一又は類似の脆弱性に関
09月≪|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31|≫11月
「ニンテンドーDSi には重大な欠陥アリ?」というエントリを書いてから約10日。この問題に関する人々の関心は日に日に高まりつつあるようで、当ひまグへのアクセスも通常比3倍近くに伸びている。問題意識を持つ人が増えることは実に良いことだ。 ところで初期の報道で「20MBの盗聴で10秒で解読」という情報が先行したためか、「DSゲーム程度の低速・低容量の通信で20MBのデータを集めるのは困難。よって心配する必要なし」という認識が一部の間で見られるが、自分の理解する限りこれは誤りだ。先日提案された手法はIPヘッダの一部を利用するものであり、データ本体は解読に全く寄与しない。重要なのは収集するデータの容量ではなくパケット数だ。 件の発表内容を調べたところ、解読に必要なパケット数は1~2万パケットらしい。つまりこれだけの数のパケットを傍受するのにどれだけの時間がかかるかが問題となる。そこで手持ちのゲーム
Mike氏への手紙 まず最初に、これまでのSage-Tooプロジェクトに対する貴殿の努力と献身に対して感謝の意を表したいと思います。貴殿の仕事がなければ私のSage++をFirefox3の上で動作させることは不可能だったでしょう。また、利己的なユーザーに対する貴殿の失望について同情します。と同時にお詫びを言わねばなりません。というのも、彼らを引き寄せた責任の一端はこの私にもあるからです。 貴殿が最初にこのプロジェクト(当初はSage 2.0となるはずでした)を立ち上げた時、貴殿は唯一の関心が現状のSageの機能をそのままFirefox3に移植することにあり、それ以外の何も付け加えるつもりがないことを表明されていました。事実、当時仕様が不確定だった(今も?)Firefox3、とりわけPlaces上でまともに動作するソフトウェアを書き上げるだけでも大変な労力が必要な仕事でした。 それがおよそ完
一部サイトの報道が原因で「WPA(TKIP)が破られた」という情報がネット上に広まっているようです。自分も気になって色々と調べた結果、これはデマであることが判明しました。以下のサイトで当の研究者本人が明確に否定しています。 Battered, but not broken: understanding the WPA crack The early coverage of this crack indicated that TKIP keys were broken. They are not. "We only have a single keystream; we do not recover the keys used for encryption in generating the keystream," Tews said. "It's not a key recovery at
このところ話題となっているDSのWEP問題について、「(DSiでも)従来のDS用ソフトは従来のセキュリティレベル」という点がどうしても気になっていたので直接任天堂に電話して確かめることにした。 任天堂の「各種お問い合わせ先」によると「任天堂テクニカルサポートセンター」がニンテンドーDSiの仕様・取り扱い方法について案内しているとのことなので、まずはそちらに電話してみたのだが、そこでは「(発売前の商品につき)任天堂ホームページに記載されている情報以外は答えられない」とのことで、何ら有意義な回答は得られなかった。 そこで、次に本社の「お客様ご相談窓口」に電話してみた。そこでもやはり同じことを言われたが、任天堂ホームページの『社長が訊く』に掲載されている内容であることを伝えると「それなら答えられる可能性もある」ということで話を訊くことができた。 得られた情報を箇条書きで示す。 ニンテンドーDSi
今回は Sage++ (Higmmer's Edition) や Sage-Too を使う場合のちょっとしたTips集を紹介します。 ケース1. 削除できないフォルダができたけどどうすればいい? 最新版ではこの問題は解決されている(はず)ですが、少し前のSage-Tooを使っていた場合や異常終了などによってブックマークデータベースが壊れたりした場合、「すべてのブックマーク」の直下などに削除できない(削除メニューがーグレイアウトされて選択できない)フォルダができることがあります。これを強制的に削除可能にするには userChrome.js 0.8 以上を導入した上で以下のスクリプトを追加します(*1)。 // This is quite dangerous! Remove this code as soon as you delete extra folders! // I cannot g
先日Wiiに追加されたテレビの友チャンネルを暫く試してみたのだが、残念ながら自分としては「使いたい」と思うに至らなかった。使わない機能に137ブロックものメモリを占有されるのは勿体ないので早晩リストラすることになるだろう。 確かにセンサーバーを逆手に取ったTVリモコン機能は単純に凄いと思ったし、ポインタによる先進的インタフェースや注目度の3D表示などは「一見の価値あり」だ。ただ、肝心の番組表としての基本機能がイマイチなのでこれを常用するのはちょっと厳しいように思う。注目度をチェックするために週1回くらいは起動するかも知れないが。 以下に挙げるようなことは開発者も百も承知という可能性はさっぱり無視してとりあえず自分が感じた不満点を列挙してみる。 起動が面倒くさい&遅い Wiiの電源入れる→Aを押す→テレ友Chを選択→Aを押す→15秒ほど待つ→(場合によって)更新ダイアログ表示→更に待つ 多く
――とはいえ、あれから1年という時間が経過していることを踏まえ、少しだけ当時のことについて思うところを記しておこうと思う。 まず1.について。勿論、自分の個人情報と引き換えにユーザーを犠牲にするような対応を取ったのは開発者として許されるものではなかったことは十分認識し反省している。しかし、脆弱性情報を入手するのに個人情報(特に住所・電話番号)の登録が必要だというシステムには若干疑問を覚えたのも事実だ。しかもその後のやり取りの中で実は本家Sageプロジェクトの開発者は製品開発者リストへの登録なしに(氏名とメールアドレス、公開鍵の提出のみで)脆弱性情報が提供されていたことが判明した。同じ機関から同じ情報を得るのに国内と海外とで対応が違うというのは理不尽だと思う。 これに関してはJPCERT/CCに質問状を提出し回答も得ているのだが、公開は望まないとのことなのでここで詳細を記すことは控える。ただ
このエントリではFirefox向けフィードリーダー「Sage」の私製改造版「Sage++ (Higmmer's Edition)」を配布しています。本ソフトウェアのダウンロード及びインストールにあたっては必ず使用上のご注意をお読み下さい。 You can download "Sage++ (Higmmer's Edition)" here. It's a privately customized version of the feed reader Sage for Firefox. If you want to download and install this software, please be sure to read CAUTIONS. Sage++ (Higmmer's Edition) の特徴 (公式版 Sage 1.3.x との比較において。Sage-Tooとの機能比較は
本年2月4日を以て公開停止状態となっておりましたSage++ (Higmmer's Edition)ですが、諸事情を考慮して明日より公開を再開させて頂くことに致しました。今回のバージョンでは一部セキュリティ対策が強化されたほか、フィード解析処理の改善、自動更新チェックの高速化、Yahoo!ブックマークとの連携機能、自動アップデートへの対応など大幅な変更が加えられております。主に自分が欲しい機能を追加していっただけの代物ですが、それでも必要とする方がいれば使って頂ければなと思っております。特に現在Sageユーザーの方ならきっと損はしないはずです。 さて、この再公開にあたっては前回の脆弱性問題の時と同じ過ちを繰り返さないようにしなければならないと考えております。その為には新たな脆弱性の報告又は通知を受けた際の対応方針を明確化しておく必要があります。それに関連して先ごろIPAより重要な発表があり
当ひまグで公開している「Sage++ (Higmmer's Edition)」の機能を更に拡張し、より利便性を高めることができるツールとして、ここに「Read Manager for Sage++」をリリースします。 (説明を飛ばしてインストール方法に進みたい方はここをクリック) 【新着情報】 ・2014-06-10 Version 1.4.5 公開 [New!] ・2013-04-01 Version 1.4.4 公開 ・2012-06-10 Version 1.4.3 公開 (更新内容の詳細はこちらを参照) Read Manager for Sage++の特徴 Google Readerライクな操作性と既読・未読管理を実現しました もう前に読んだエントリを何回も目にする必要はありません フィードを閉じる際に残っているエントリを自動的に既読にすることができます 勿論、未読エントリのみ表示
当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の
実はこの連絡を受けるまで寡聞にしてJPCERT/CCという組織のことは知らなかったのですが、Wikipediaによると「コンピューターセキュリティの情報を収集し、インシデント対応の支援、コンピュータセキュリティ関連情報の発信などを行う中間法人」らしいです。 本来なら早急に脆弱性の内容を確認して対策バージョンをリリースすべきだとは思うんですが、JPCERT/CCから脆弱性情報の詳細を入手するには開発者ベンダ登録リストというものに住所・氏名・電話番号等の個人情報を登録する必要があるらしく、残念ながら当方では緊急度・影響度が不明な脆弱性情報を入手することの必要性と、そのために自分自身の個人情報を晒すというリスクの度合いを比較検討した結果、これ以上の情報入手を断念しました。従いまして指摘を受けた脆弱性(具体的内容は不明)は現時点でも対策されていません。 ただ、JPCERT/CCからの連絡によるとこ
07月≪|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|31|≫09月 更新履歴 目次 Version 2.4.0 ~ Version 2.4.1 Version 2.3.0 ~ Version 2.3.26 Version 2.0.0.0pre1 ~ Version 2.2.0 Version 1.3.10b ~ Version 1.3.21.2 Version 1.3.7++ ~ Version 1.3.10a 更新履歴 (Version 2.4.0 ~ Version 2.4.1) 【Version 2.4.1】 2016/4/10 Firefox 47に対応 ————— その他の修正 ————— Yahoo!ブックマークのサービス終了につき、ソーシャルブックマーク追加
03月≪|1|2|3|4|5|6|7|8|9|10|11|12|13|14|15|16|17|18|19|20|21|22|23|24|25|26|27|28|29|30|≫05月
「DesktopCapture for Skype」では全画面の他に指定したウィンドウ又は任意の座標範囲をキャプチャ対象として設定することができますが、その際ウィンドウリストから選択したり座標を数値入力するのではなく、対象としたいウィンドウや座標範囲を直接クリックorドラッグすることで直感的に設定できるようにしたいと考えました。つまり、自分のフォーム外でのクリックやドラッグなどのマウスイベントを取得する必要があります。 これを実現するための手法としてはだいたい次の4つが考えられると思います。 システムフックを利用する マウスキャプチャを利用する タイマーを使って定期的にマウスの位置を調べる 画面全体を覆う透明ウィンドウを作成する 最初に思いついたのは(1)の方法ですが、フォーム外のイベントを取得するにはグローバルフックを使用する必要があります。ところが.NET Frameworkの環境では
「DesktopCapture for Skype 0.6.00β」をリリースします。 変更点は以下の通りです。 2005/11/24 Version 0.6.00 ・各種設定の保存機能を実装 ・ログのファイル出力機能をデフォルトでオフに変更 ・ログテキストが32700文字を超えたら自動的に削除するようにした ・No Target Windowエラー後にキャプチャして送信ボタンが押せなくなるバグを修正 下の画像をダウンロードした後、Xxxファイル分割結合を用いてzipファイルに変換し、適当なフォルダに展開して下さい。既に旧バージョンがインストールされている場合は上書きで大丈夫です。 2006/6/29追記:ファイルを画像に変換するのをやめ、zipファイルのままで再アップロードしました。以下のリンクを右クリック→「名前を付けて保存」などで拡張子を.zipに変更して保存して下さい。 (なんでも
このページを最初にブックマークしてみませんか?
『ひぐまのひまグ sage』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く