セキュリティ

えっと...

はなおかじった — Tue, 23 Sep 2008 11:13:00 GMT

chrome.exe のアップデートで別のプログラムを起動させる方法（関心した事とか、どうかねこれと思った事とか）より：

ようは、そこに配置されている、たしかに想定通りの名前のファイルが、本当にバイナリとして正当であるかどうかを、なにも検証してないのです。

普通に、「脆弱性」ではないかと思うのですが、いかがでしょう？

せめて、自社の署名があるかどうかのチェックぐらいはして欲しい。

Vista は Program Files への書き込みでアラートが出るけど、XP はチェックないからなぁ。当面、XP での使用は要注意ってことで。

印象操作

はなおかじった — Tue, 09 Sep 2008 21:53:00 GMT

「Google Chrome」に初のセキュリティ上の脆弱性（builder by ZDNet Japan）より：

この記事のタイトル。もしこれが、次のようだったら、どう感じるだろう。

「Google Chrome」に早くもセキュリティ上の脆弱性（builder by ZDNet Japan）より：

注意：文字を同じにするため、同じ記事にリンクさせています。

「初の」の方は、いくらか時間が経って、やっと見つかった印象がある。「早くも」だと、大して経っていないのに、もう見つかったという印象がある。見つかった脆弱性の程度に対する印象に、差が出ると思う。

なお、「IE8 (脆弱性 OR セキュリティ)」で検索してみたが、5ページ目（50件）までに「IE8 で脆弱性が見つかった」という記事はなかった。しかし、WindowsUpdate に IE8 のセキュリティパッチが含まれているので、脆弱性がないわけではない。「Internet Explorer」に変更すると、ぼろぼろ出てくるが、バージョンがわからない。

「FireFox」に変えても同じ。いっぱいあるけど、リリースから発見までの時間はわからない。

しかし、脆弱性が発見され、公開されてから24時間以内にその脆弱性を利用した攻撃が発生するそうだ→ブラウザ攻撃の94％は脆弱性公開後24時間以内に発生。もちろん、多くの場合、脆弱性の公開とともにパッチも公開されている。セキュリティパッチは、すぐにでも適用できるようにしたい。

直接は関係ないと思うけど。Street View に対する批判が強くなってきたこの時期に出た Chrome。Street View 批判を一気に吹き飛ばしたような感がある。が、早くも脆弱性が見つかったことは、どのように働くだろう？また、次の記事も、気になる。

Chromeのプライバシー機能は穴だらけ？（ITmedia アンカーデスク）より：

とにかく、まず見ていただきたいのは、Chromeのプライバシーポリシーに書かれている次の文面だ。「アドレスバーにURLまたはクエリを入力すると、入力した文字がGoogleに送信され、ユーザーが探しているであろう用語またはURLをGoogle Suggest機能が自動的に推奨するようになっている」

・・・やっぱり、仕込んであるのね。

人間って、勝手だね（Google Street View）

はなおかじった — Wed, 27 Aug 2008 21:45:00 GMT

CNET のエントリにあるコメントが、笑えた。

撮影者のきた道（クロサカタツヤの情報通信インサイト）より：

これがGoogleではなくて，マイクロソフトだったら嫌悪感を感じたかも．

同じ「行為」でも、それをした人が誰であるかによって感じ方が違う。よくあることです。たとえば、「セクハラ」。「セクハラ」が言われ出した頃のテレビドラマで、ちょっと疲れたおっさん系の上司に肩を叩かれた女性が、「私、そういうの嫌いなんです。」その後、イケメンの男性社員に同じことをされながら、「うっとり～～」。。。差別です。

いったい、なんだかねぇ。。。

そういえば、「Vista である」という情報なしに Vista のデモを見て、「これスゲ～！」「実は Vista なんだ」「なんだってぇ～！」ってニュースも、ありましたね。

プラスのイメージを築くのは、たくさんの労力や時間がかかります。しかし、そのプラスのイメージを壊してマイナスのイメージに転じるのは、とてもたやすいです。

Google は、若い会社ですが、プラスのイメージをたくさん築いてきました。それを壊すきっかけとならなければいいのですが。。。

で、これでわからないのが、収集する情報として意味があるのか？というところ。

道や街並みは、結構な頻度で更新される。その更新に追いつける頻度で更新できるのか？「現在」と違っている情報は、情報としての価値が無いのだけれど...たとえば、桜並木があったとする。これ、季節によって感じが違いますよ。また、仙台の、なんて通りだっけ？…あ、そんなの持ち出さなくても、昼と夜で、受ける印象はかなり異なります。前のエントリで、「国道2号線で、西行き車線と東行き車線を行ったり来たりする」と書きましたけど、歩行者が車道からの写真を提供されても困ります。「逆走するってこんな感じ」ってのも、得られません。みんながバックしているから。。。

ところで、これって、何が「便利」なの？あっちこっちで擁護派の「便利」って言葉を見るけど、“何が”便利なの？わっかんねぇーー

もしかして、歩いているときに、地図と実際の風景を重ねられない？

何かのテレビドラマで、列車を映しながら地図をスーパーインポーズ（懐かしい言葉だ）で重ねるという表現をしています。歩きながら、これができない？自分がどれくらい歩いたから、地図上でどの辺だと、想像できない？・・・まぁ、確かに、そういう人には“既視感”として情報を送り込むのだから、…既視感となり得る情報だったら、便利かな？

なんにしても、のぞき見趣味を満足させるために、便利なツールになってますね:p

CNET Japan の、不完全な翻訳記事

はなおかじった — Wed, 27 Aug 2008 21:17:00 GMT

対象は、これ→グーグル、私道内に侵入したとして非難される--Street Viewをめぐって

オリジナルの記事と比べると、次の段落がない。

Google finds no privacy on private roads（cnet newa）より：

Cerf may have been channeling former Sun Microsystems' CEO Scott McNealy, who said, "You have no privacy. Get over it" in 1999. Either way, Cerf explained himself on Google Blogoscoped: "It was intended to be partly in jest and partly irony...I was trying to suggest that we really have entered a period when things are a lot less private. Think of the ease with which photos and videos can be taken, digitized, shipped around on the Internet, posted on YouTube or its equivalent."

Cerf 氏は、Sun Microsyatems の CEO である Scott McNealy 氏の「プライバシーなんてものはない。受け入れなさい。」という1999年の発言を意図したのであろう。Cerf 氏は Google Blogoscoped で次のように説明している。「あの発言は、冗談且つ皮肉を含んでいます。私は、我々がすでにプライベートではないことを示唆しようとしてきました。写真やビデオが撮られ、デジタル化され、インターネット上の YouTube や同等のサービスに対して容易に送信し、公開されることについて考えてください。」

で、その、Scott McNealy 氏の発言については、こちら→Sun on Privacy: 'Get Over It'

ん～。。。まぁ、この段落があったからって、あまり変わらないか...？

もう一つ CNET から、おもしろいブログエントリを紹介。

グーグルはストビューで「よそ者」化する（佐々木俊尚　ジャーナリストの視点）より：

日本人観光客にとって、ドイツに住んでいるドイツ人は見知らぬよそ者であり、そうしたドイツ人の存在は単なる通りすがりの風景のひとこまに過ぎないからだ。自分の住んでいる日本の地元の街は世間というコミュニティの内側、つまり「身内」だが、ドイツの街角は世間の外の「よそ者」であり、そこは日本人にとっては同じ人間の住む街としては認められていない。

なるほど、おもしろい考え方だと思う。同じ記事で紹介されている、ドイツにお住まいのアメリカ人の方について、少し。

観光客が、カメラを向ける。ここで撮られる写真は、どのように使われることを想定しているでしょう？この方は、次のように書いているそうです。日本人のアルバムに自分が収まっている

なるほど。では、このアルバムは、どのように使われるのでしょう？本人が、旅行を懐かしんだり、その友人などごく限られた範囲で見せるくらいではないでしょうか。

Google Street View と、旅行者による写真の違いは、２つあると思います。ひとつは、公開範囲。もうひとつは、撮られているという意識。

写真を撮るとき、撮られるとき。インターネットがない時代では、そこには撮る人が制御できる範囲で公開するという、暗黙の取り決めがありました。というか、制御できない範囲まで公開する方法がありませんでした。もちろん、ジャーナリストや写真家などは除く。

ところが、インターネットの時代になると、公開する範囲が格段に広がります。撮影者のプライベートな範囲でしかなったのが、それこそ世界中になったのです。もっとも、初期の頃は、印刷したものをスキャナで取り込み、必要によっては縮小してアップロードするという、それなりに手間がかかる行為でした。また、インターネットを閲覧する人も、限られていました。

さらに進んで、今。写真やビデオは、撮影したときにデジタル化されています。日本の家庭においては、インターネットに繋がっていないパソコンの方が少ないかもしれません。Flickr などのサービスによって、公開する場も提供されています。

しかし、そうであったとしても、考えなければならないポイントがあるのではないでしょうか。

他人の、プライベートな部分に立ち入っていないか。

隠したいものが、たまたま写ってしまっていないか。

悪意（ここでの「悪意」は、被写体が「好ましくない状態である」と思う状態にすることを意味する）を持って公開するのでない限り、人が公開するものは、被写体が他人にふれて欲しくない部分がマスクされていることを期待できるでしょう。あくまでも、公開する人に悪意がないことが前提としてありますけど。

で、Google Street View の悪いところは、人為的な「善意」（先の「悪意」の対局）が介入しておらず、機械的に処理されているところではないでしょうか。機械的に処理されているので、悪意はありません。しかし、善意（というか、悪意の是正？）もありません。

また、撮影されたことに気づいたかどうか、という問題もあるかと思います。確かに、何をしようと逃れられないし、何をしようと気づかれずにはいられないと思います。確かに、「意図的に軽率になる瞬間」には、「プライバシーなど存在せず、受け入れるしかない」でしょう。ところが、ここにも、“公開されるであろう範囲”に対する思惑の違いがあります。公の場で軽率なことをしている人でも、その軽率な行為が大衆の目にさらされているのは、“その場限りである”という意識があるでしょう。しかし、写真に撮ると、その行為は永続化されます。

秋葉原で起こった殺人事件の時だったと思いますが、被害者を携帯電話のカメラで撮影していた人がいたそうですね。その人たちに向かって、「やめてください」という人もいたそうです。撮影されていることがわかれば、公開される前に「やめてください」ということも、あるいは可能です。しかし、Google Street View の場合はどうでしょう？ほとんどの場合、撮影されたことに気づかず、写真が公開された後に気がついて、「やめてください」と言っているわけです。

また、意図的に軽率になるわけではなく、あるいは軽率な行為の被害者として、被写体になる場合もあります。そのような場合に対する考察が行われているのでしょうか。

CNET Japan にもうひとつ、興味深い記事がありました。

自宅前に倒れ伏した泥酔者を激写--グーグル「Street View」をめぐり豪州で物議（CNET Japan）より：

運転手は車を止めて、Billさんが大丈夫かどうか確かめなかった。車道に出ているBillさんの足を戻そうともしていない。

人助けという善い行いをしなかった運転手は誰だったのか？彼は冷血なロボットのような人物なのか？どんな指示をもらっていたのか？　なぜ彼は助けなかったのだろうか。せめて、サービスを開始する前にGoogleの社員は倒れているBillさんの姿に気づかなかったのか？これはそんな疑問が残ってしまう1件であった（Googleはこの話が世論の注目を集めたことを受けて、この画像を削除している）。

Google が Web 上で集めていた情報は、誰かが公開することを望んだ情報でした（もちろん、悪意によって公開されてしまった情報もある）。しかし、路上で Google が集めているのは、公開を望んでいない情報かもしれません。公開されることを望んでいない情報を公開する必要があるのでしょうか。

５０え～？！

はなおかじった — Mon, 18 Aug 2008 22:36:00 GMT

「へぇ～！」と感心するのではなく、「え～っ？？」と、疑問を投げてみたい。

通信プラットフォーム研究会傍聴録（高木浩光＠自宅の日記）より：

グーグル（藤田一夫オブザーバー）

最後にプライバシーについて。確かに問題があるかもしれないが、日本のプライバシーに対する感覚は、アメリカ、イギリスとでは違うのではないか。日本では、マンションとかはまた違うかもしれないが、一戸建てでは名前を表札に書いている。名前まで。わざわざ自分の名前を公道に出しているわけだから、プライバシーなんて気にしていない。（会場苦笑。）それが、ネットの世界でだけ気にするというのはうーんどうかなと思う。（会場冷笑。）これは最近のフィルタリングのことを彷彿させる。有害情報、有害情報と声高に言われるが、たしかにそういうところもあるが、人によって有害無害と価値観が違うのだから、一人の学者さん、偉い学者さんの倫理観で縛るというやり方というのは、いかがなものかなと考えている。

グーグルと書いているけど、グーグル株式会社ですよね。肩書きがないけど、どういう立場の人が、どういう立場で出席しているんだろう？

この発言をした人は、どういうところに住んでいるのだろう？私の家の周りで、姓名を表札にあげているのは、古い家だけです。とはいえ、40年ほど前に作られた、比較的新しい住宅地なんだけど。

最近の家は、姓しかあげていない方が多いでしょう。特に、家族全員の名前を挙げていることは、まずないと言っていいでしょう。引っ越しをして、自分の家の表札を作るために、他の家の表札がどんなものか、興味津々見て回ったので、間違いありません。少なくとも私の行動範囲内では、古い家では、姓名、住所があがっています。しかし、新しい家では、姓だけ。あるいは、番地と姓だけになっています。

倫理観なんてものは、時代とともに変わっています。もちろん、プライバシーに対する感覚も、変わっています。

最近では、温泉は流行るが、町のお風呂屋さんは流行りません。なぜ？プライバシーの問題が、一面にあると言えるでしょう。（プライバシーなのか？）

新しいアパートでは、昔ほど簡単には、音は響きません。迷惑という面もありますが、プライバシーという面もあります。

はてなブックマークに、表札についてのリンクがありました→岡田憲治の「野次馬住宅時評」

江戸の頃は自己表現として存在していた表札、そして表札もどきのもの、それが明治になると庶民を管理し監視する道具となっていった。

玄関を見れば、徴兵すべき人がわかること。それが明治からの表札というわけですね。それが戦時まで続き、戦後は「なぜ」が失われたけれど、慣例として残っていた、と。

なんていうか、「なぜ」を知るって、大切ですよね。「変化する」ってことを受け入れることも、大切ですよね。

「会場苦笑」や「会場冷笑」は、高木氏の主観によるもと思われるけど、どうもなぁ。。。「Google社には、（中略）ずいぶんとナめられたものだな」への誘導のような気がしないでもない。また、この Google 社員の発言は、携帯電話のサブスクライバ ID に対しての発言なのだけど、サブスクライバ ID と「表札」がどう関係するか、不明。

たびたび発言されている、楠氏によるエントリにも、リンクしとこっと→通信プラットフォームの安全な解放へ向けて（雑種路線でいこう）

数字のマジック

はなおかじった — Tue, 05 Aug 2008 21:53:00 GMT

古い記事の焼き直しですが。。。

【セキュリティのずさんな実態】社長は現場の窮状を見ぬふり（ITpro）より：

一般に，経営層がセキュリティ対策にお金を出したがらない理由の一つは，対策を怠ることによって生じ得る損害の大きさを十分に理解できないことにある。だがC社の社長は，これに全く当てはまらない。

もちろん，繰り返し起こる被害に対して，PCの復旧にかかるコスト，PCが使えない間のユーザーの損失などは相当な金額に換算できるはず。しかし，この社長にとっては「通常の人件費」の一部であり，会社の利益を減らさない限り，損失とは考えそうにない。

2005年9月の雑誌記事を、記事としての価値が相当に減った今になってウェブで無料公開している、、、というものでしょうが、3年経ってもあまり変わってないように思えるなぁ。

PC の置き換えにしてもそうなのですが、一時的な費用が発生します。置き換えないと、効率が悪いまま、作業効率が低いままでいるわけですが、その場合費用は長期にわたって分散されます。

この、「分散される」というのがくせ者です。

ローンを組むと、本当は必要な額以上に返さなければならないために損なのですが、月々の金額を見るとそう高いものではないように思えてきます。

ローンより怖いのが、リボ払いですね。毎月一定額と、手数料です。この手数料がくせ者です。ローンによる金利よりも大きな額になります。ローンの“金利”は、法律によって上限が決められています。しかし、リボ払いで払うのは“手数料”です。手数料に上限はありません。「月々一定額」ということが、利用者に対して少ない金額に見せかけるトリックです。

そういえば、手塚治虫の「ブラックジャック」に、こんな話がありましたね。

ある男の子が、交通事故で四肢が不自由になります。そのため、超能力を身につけてしまいます。ブラックジャックは、四肢が元通りになれば、超能力を使う必要がなくなり、元通りになるだろうと言います。そして、手術費用を提示します。その額はとても大きいのですが、「毎日10円ずつ返してもらおう。おまえさんに子供が生まれれば、その子供からも毎日10円だ。」

返す額は変わらないのに、「1日10円」というところで、「そんなに安いの！？」と思ってしまいます。

こんな昔話もありますね。雇われものが、「1日目は1円、2日目は2円というように、前の日の倍の金額でいいです」といって雇われる話。数日間は3桁4桁という金額でしかありませんが、30日目には2^30=1,073,741,824になっています。日払いですから、(2^31)-12=2,147,483,647の収入が得られている、ということになります。あれ？その数の米粒をくれ、という話だったかな？

とにかく、数字のマジックです。少ない額を長い期間をかけて徴収することで、「安い」と見誤らせながら、多くの額を徴収しています。

セキュリティにかけるお金も、これと同じなのでしょうね。いつ、どのような形で支払いが発生するのか。それが、出せる、出せないの分かれ目なのかもしれません。

[広告]こんな本はイヤだ

はなおかじった — Tue, 29 Jul 2008 22:29:00 GMT

@IT で、jQuery なるものがあると知りました。今日、他の目的で本屋に行ったのですが、なにげにコンピュータの棚へいって見つけたのが、『jQueryで作る Ajaxアプリケーション』という本。手に取りかけて、その手が止まった。著者に気がついたから。沖林正紀氏です。そう、builder by ZDNet ~~で、炎上記事を書いた~~を有名にした、あの人です。

でもね、JavaScript と C++ だし。やっぱり、チェックが必要かなぁ、と思って、見たですよ。するとね、こんなような言葉が書いてあったとです。

セキュリティについては知っておくべきですが、本書ではセキュリティについては割愛します。

アマゾンの書評では、4と5が付いていますね。私なら、こんな言葉がある以上、4や5は付けたくないなぁ。

でもね、もっとすごいのを見つけてしまったのです。『実践!Ajaxフレームワーク jQuery』という本です。こちらには、こんな風に書いてありました。

他のサーバへデータを参照に行くときは、JSON 形式でなければならない。

セキュリティの「セ」の字も書いてないんでやんの!

こういう書籍がまかり通っている限り、日本のインターネットが終わる日も近いのかなぁ？と思ってしまいますです。はい。

セキュアな環境を阻むものを考えてみる

はなおかじった — Mon, 07 Jul 2008 21:58:00 GMT

本題の前に、フンワリ考えてみる。

re: Vista UAC の未来をモワモワ考えるより：

「○○してもいいですか？」とセキュリティソフトが聞いてくる。俺もKasperskyを使ってますが、ぶっちゃけ、それをするとどんなリスクがあって、それをしないとなにができないのか、人並み以上にPC知識があるだろうと思う俺でも判断できません。

一応、詳細を読んだりしていますが、わかりません。つまり、情報の提示量に問題があると思います。

また、Kaspersky については、もうちっと調査をしておいてくれてもいいんじゃないの？とも思います。Symantec も同じような機能を実装していますが、標準で Windows に入っている機能については、聞いてきません。すでにルールが組み込まれています。また、どういう基準で選んでいるかわかりませんが、オンラインソフトを含む多くのソフトで、やはりルールが組み込まれています。

# re: Vista UAC の未来をモワモワ考えるより：

User へ選択を委譲しても責任の回避にしかなりません。
そんなんだったら、専門家が定めた policy で厳しく制限を課し利用させる方がよいかと。

ええ、そうですね。Vista の UAC は、その方向へ向かうのではないかと思います。あるいは、「向かって欲しい」と思います。

re: だいめいなし。より：

だったら、インストール可不可チェックの代行業者がいてもいーんじゃないかと。
＃ウィルスチェッカーと同じノリで。
で、業者ごとにブラックリストとホワイトリストを持ってて、それに基づいてインストールの可否を判断する。
個々のソフトについてのインストールの可否はユーザが判断できないけど、その代行業者に対して信頼できるかどうかで判断する。

で、本題。本題の元ネタが、これ↑。

「Windows ロゴプログラム」という、プログラムがあります。「Windows ロゴプログラム : 概要」とか、「Windows Vista ロゴプログラム」とか。Windows Application のロゴプログラム要件に、「最小特権の原則」があります。日本語の資料を探せなかったのですが、英語の資料はこちら→Developer Best Practices and Guidelines for Applications in a Least Privileged Environment

テスト要件も、ダウンロードできますね。いきなりダウンロードしちゃうので、リンクにはしません。→ http://download.microsoft.com/download/a/4/c/a4c003f7-76be-444b-a3b7-4e74b7d5767f/Certifiedfor_ProgramTestCases_1.3J.doc

この中に、「TEST CASE 2. 最小特権ユーザーが他のユーザの文書やファイルを変更できないことを検証する」、「TEST CASE 3. 最小特権ユーザーが Windows System ディレクトリにファイルを保存できないことを検証する」というのがあります。「最小特権ユーザが」という制約がありますが、Windows ロゴプログラムをパスしているアプリケーションは、勝手にシステムファイルを書き換えないことが、第三者機関によって保証されているわけです。かつ、署名されていることも検査されますので、ウィルスなどによる改ざんを検出することもできます。

つまり、Windows ロゴのついているソフトウェアは、比較的安心してインストールできると言っていいでしょう。言い切りませんよ。レジストリに関して、テストケースが見あたりませんから。

100％の安心を保証するものではないにしろ、危険な要素が少ないことは保証してくれるものであります。しかし、大企業を含め、日本企業のソフトウェアの多くは、ロゴプログラムに参加していません。なぜでしょう？

「費用の問題」であったり、「他社の動向を見て」であったりします。

自社製品を使って下さるお客様に「安心・安全」を付加することより、コスト（そりゃ、コストがかかるとそもそも選んでもらえない可能性も出てくるけどね）や周りの目の方が気になる様です。セキュアな環境を阻んでいる要因は、案外、こういう事だったりするのかもしれない。

セキュリティに関しては、リスクです。リスクは、顕在化するか、しないか、わかりません。問題として顕在化しないのであれば、つっこむ金は少なくしておこう、という考え方なのでしょうか。でも、顕在化したときにかかる費用は、顕在化回避のために費やすお金の比じゃないと思うのです。でも顕在化しなければ、無駄金になる・・・これだぁ！！「無駄金」という考え方だ！！

どうにかなりませんかね？

Vista UAC の未来をモワモワ考える

はなおかじった — Sun, 06 Jul 2008 16:58:00 GMT

Vista の UAC、ホント、評判悪いですね。このブログへの検索エンジンからの参照は、「お待ちください画面」、「なからいさえさん」、「ボタン押下」などに並んで5強に入ります。

でも、私は、そんなにじゃまだと感じたことはありません。家で1台、会社で数台、Vista をインストールしています。家では Users グループ、会社では Administrators グループで使っています。ここ最近、UAC 画面を見たことは、家ではありません。会社では、レジストリエディタを起動したり、インストーラの試験をするので、しょっちゅう見ています。

それで、「鬱陶しい」といわれる UAC ですが、通常の使用で本当に鬱陶しいですか？

開発やテスト業務に使う分には、確かに鬱陶しいです。先述のように、レジストリエディタやインストーラは、起動するごとに表示されますからね。

でも、家のマシンで鬱陶しいと思ったことは、初期設定がすめばありません。いえ、家のマシンも鬱陶しいです。でもそれは、Vista ではなく、AV ソフトが、です。

私は今、Kaspersky を使っています。おそらく、設定によって変わるとは思うのですが、鬱陶しい。

このソフト、何かのソフトウェアがインターネットにアクセスしようとすると、「＊＊が DNS サーバにアクセスしようとしています。許可しますか？」と聞いてきます。その次に、「＊＊が、アドレス xxx.xxx.xxx.xxx にアクセスしようとしています。許可しますか？」と聞いてきます。

Windows Messanger の場合は、もっと鬱陶しい。どこかのバージョンで、PtoP になったのですか？おそらくオンライン状態を送信するためだと思うのですが、登録している人の数だけ「許可しますか？」が出てくるorz

また、MicrosoftUpdate などでアップデートすると、「最後に検査してからファイルの内容が変わっています。実行しますか？」と聞いてくる。鬱陶しい。。。

でもね、思うのです。本当は Vista も、これくらいやるべきなんだろうな、と。

Vista の UAC は、今のところ、ファイルのマニフェストで「管理権限が必要」とマークされているものを実行する場合に、「管理者として実行しますか？」と聞いてきます。では、「管理権限が必要」と判断するのは、誰ですか？

そのソフトウェアの開発者です。では、管理権限が必要とするそのソフトが、どんなことをするので管理権限を必要としているか、ご存じですか？

期待する以外の動作（取扱説明書に書いていないこと）をしないことは、我々にはわかりません。署名されていなければ、ウィルスにとりつかれる可能性もあります。この場合、我々にはウィルスがとりついていることはわかりません。

「開発者の自己申告である」、つまり「羊の皮をかぶったオオカミを防げない」という意味で、UAC は（全く無用とは言わないが）無用の長物だと思います。ここは、「開発者の意図」ではなく、「コードの意図」を警告しなければならないと思うからです。

「コードの意図を警告する」とは、どういう事でしょうか？そのために、Kaspersky の動きをあげました。このソフトは、レジストリに対する書き込み、チェックした後に変更がある実行可能コードの実行、ネットワークに対する応答用ポートの設置、ネットワークの彼方へのデータ送信などの「動作」を検知し、使用者に許可を求めてきます。

以前にもエントリしていますが、はっきり言って、鬱陶しい。

しかし、「何を許可しようとしているか」を理解すれば、使用者にとっては安心できる環境となり得ます。

とはいえ、重要なことなので繰り返しますが、鬱陶しい。この鬱陶しさと安心の妥協点。それが、UAC が向かうべき点ではないかと思います。

「サニタイズいうな」と「ハンガリアン」

はなおかじった — Sun, 06 Jul 2008 16:54:00 GMT

ネタもと：なぜこうもレビューされてないコードを記事に書く？（がるの健忘録）より

ん、、、すごいです。この、勘違い、すごすぎます。おもしろいネタをありがとう＞がるさん

えと、なんか、ネタの元ネタ、注記が入っています。それでも、だからこそ、ネタにする・・・ネタができた。

わずか数行で"ものすごいテーブル"に! - jQueryプラグイン「Flexigrid」（マイコミジャーナル）より：

ここではPHPを使用し、MySQLから郵便番号データを取り出してJSON形式で返すサンプルファイルを作成してみた。
function sanitizeTag($var)
{
    if ( is_array($var) )
    {
        $var = array_map("sanitizeTag", $var);
    }
    else
    {
        $var = htmlspecialchars(trim($var));
    }
    return $var;
}

$postdata = sanitizeTag($_POST);
（以下略）

で、この、sanitizeTag 関数を通したものを、MySQL に、文字連結で渡している、と。

なんていうか。。。だからさぁ、「サニタイズ」という言葉だけで括るのやめようよ。

がるさんところに書いてあるように、また、注記が入っているように、この sanitizeTag 関数は、HTML に出力するためにはサニタイズしているけど、SQL としてはサニタイズしていない。単に「入力は、サニタイズしてから使う」などというから、こういう間違いをする。また、HTML としてのサニタイズも、おそらく不完全（なんだよね？＞がるさん）。

「サニタイズ」は、使う対象に対して、使う直前に行う必要があります。もう一度書きますよ。「サニタイズ」は、使う対象に対して、使う直前に行う必要があります。

また、最近は「ハンガリアン使うな」が言われ出していますが、これ、正しくは、「型によるハンガリアン（システムハンガリアン）使うな」です。そうではなく、変数の目的によるハンガリアン（アプリケーションハンガリアン）は、大いに使うべきです。

変数 $postdata を、アプリケーションハンガリアンによって改名してみます。たとえば、$htmlEscapedPostdata だったら。こうしておけば、HTML に対しては比較的安全に出力できるが、SQL に対しては安全ではないことがわかるでしょう。もちろん、「HtmlEscaped」だと長いので、適切に短くするのは可。ただし、ルールを決めて、そのルールを守りましょう。このように、アプリケーションハンガリアンで変数を記述しておけば、「使う直前に」サニタイズすることの必要性は薄れます。

もっとも、この「使う直前」の元々の意味は、「ウェブアプリケーションで、ユーザ入力をサニタイズして、ユーザに確認させる画面に送付し、確認画面から戻ってきたものを使う」事に対する警告なので、ここで書いたこととは意味が違います。