雑記

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|
2007|01|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|09|11|
2009|02|03|05|06|07|08|10|11|12|
2010|01|03|04|05|06|07|08|09|10|
2011|05|06|09|10|
2012|03|07|09|12|
2013|01|02|04|05|07|08|10|11|
2014|04|05|08|10|12|
2015|01|05|
2016|09|
2024|06|
2025|01|

2003-12-11

false positive? (続き)

"W32.Blaster.Worm has not been found on your computer"だそうです.そろそろ言っても良いでしょうか? 「MSのアホー」

なんかこういうことされると,報告する気が失せますねぇ.ただでさえこちらのコンピュータの情報を送信すると言うリスクを強いられているのに.

現状の IE は危険すぎて使いものにならない (セキュリティホールmemoより)

アドレスバーやステータスバーの表示内容を偽装できるそうです.なぜこれが非常に危険かと言うと,たとえば,今これを読んでいるあなたが実際にはwww.on-sky.netではない,よく似せた偽ページにアクセスしていても分からないということです.このページならまず問題にはなりませんが,もしオンラインショップがターゲットにされたらどうなるでしょう?

もうひとつ,さらに危険なのはSSLで暗号化されているページさえ,この脆弱性を使えば偽装できてしまう可能性があると言うことです.まず,悪意ある人間が適当なドメインをでっち上げ,SSLサーバ証明書を取得します.で,どうにかしてターゲットサイトへのアクセスをこのサーバへと飛ばすように仕込みます.あとはこのサーバで,ユーザーとターゲットサイト間の通信を中継してあげます.悪意あるサーバに対してSSLサーバ証明書を発行した認証局のルート証明書が,IE標準のTrusted CA Listに含まれていれば,「偽者かもしれないよ〜ん」というサーバ証明書に関する警告は出ない()ので,引っかかってしまったIEのユーザーが,間に悪意のあるサーバが介在していると認識できる可能性はかなり低いでしょう.結果,このサーバを立てた悪意ある人間は,ユーザーが入力した個人情報やクレジットカードの番号を抜き取ることが出来ます.

これがいわゆるSSL MITMというやつです.先日,SSL MITMについて書いたときには,この点(アドレスバーの偽装が難しい)をクリアするのが難しそうだったので,別シナリオのほうが現実味があると思っていたのですが...

言わずもがなですが,この脆弱性を使えばSSLでないMITMなんてお茶の子さいさいです.いろんなところに○○を××して,☆☆を△△させ,あとはただひたすら□□すれば,何でもできちゃうなぁ.(あまりにも現実的な手法だし,実際にやる人が出てくると困るので伏字.)

本日のツッコミ(全3件) [ツッコミを入れる]

- taru_k [送信レポートを送ったりヘルプを開いたりして、問題が解決された記憶が無い…。]

- hs [その場で解決されないのは当然として:-p,今回のように感染もしていないウィルスに感染しているという警告を出すのはさら..]

- taru_k [コレ怖すぎる…もう誰も信じられない。引き篭もろうかしら。]


2005-12-11

誤発注

まず気になるのが、「売り値を指定する」という仕様。株なんて時価で売れるものだと思っていたし、現に57万円とかで売れたそうなので、そもそも売り値の指定に意味があるのかと。意味があるとすれば、最低売買価格の指定、つまり、この値段以下なら売らないよという値段の設定ということになりますが、確かにこれだと1円でもはじくわけにはいかなさそう。経営破たんした会社が1円2円で取引されていたのを見たことがあるので。

株数の上限については、空売りが可能な時点で、保有株数で上限を決めることは無理でしょうし、発行済み株数で上限を縛ろうとすると、増資などによる株数の変動への対応とか大変そうですし、なにより、今の取り引き数で、売り注文に対していちいち株数のチェックを入れていたら処理が間に合わないでしょう。

それより個人的に一番問題たと思うのは、キャンセルが効かなかった原因である、売値の指定方法。売り注文を行った際に指定した額(1円)ではなく、実際に売った額である57万2千円と指定しないと、キャンセルできないという仕様は、1円と指定した人の人為的なミスというにはあまりに酷で、むしろシステムの瑕疵と言っても良いぐらいではないかと個人的には思います。そもそも注文番号等で管理していれば良い話ですし、注文内容を間違いなく記述させることによる認証の意味があるのであれば、注文時にオペレータが入力した値と異なる値が実際に採用されるような項目(売り値)を、そうした認証用の項目に入れては駄目でしょう。

そもそも論はそうだとして、そういう仕様のものを受け入れ、今まで使い続けて十分に慣れていたということであれば、その会社やオペレータにも問題ありということになるとは思いますが。ただ、あれだけの誤発注をやっちゃった人に、いくら慣れていたとしても、そこまで冷静になれるかという話もあります。発注担当と、キャンセル担当を分けるとか、運用面での工夫もしないといけないでしょうね。

追記:東証が自社のシステムに不具合があったと認めたようです。内容が分かりませんが、上記の仕様の話でしょうか?