SQLインジェクション大規模発生の説明会

ラックが、3月中旬に報道された国内におけるSQLインジェクションの大規模インシデントに関して説明会をしたという記事。
そのとき日本で何が起きたのか?-3月のWeb改ざん事例をラックが説明
SQLインジェクション→Webページの中に不正プログラムを埋め込む=Webサイトの改ざんだ
→ 一般ユーザーがアクセスすると、ユーザーの気付かぬうちに悪意のあるサーバーに転送され、不正なプログラム(fuckjp.jsなど)がダウンロードされてしまう状況だった。

対策としては、サーバー管理者はWebアプリケーションから接続されるDBをすべて調査して、www.2117966.netという文字列が含まれていないかを調べ

やっぱりクエリをログしておくんだな。

ジャガーとランドローバーをインドのタタが買収

何たる時代だ。
イギリスの会社がアメリカの会社に買収され、インドに売り飛ばされるとは、下剋上の極み。
日本人だったら生き恥をさらすよりは、つぶしてしまうのでは。
asahi.com:「ジャガー」「ランドローバー」インドのタタが買収へ – ビジネス

MSがHigginsをCard Spaceでサポート

Santa ClaraでのEclipseCon 2008で「Microsoftきってのオープンソース支持者であるサム・ラムジ氏」がEclipseとの協業を話した中で、Higginsのサポートについて言及。
Microsoft、2種のEclipseプロジェクトのサポートを表明 – ITmedia エンタープライズ

 ID管理技術であるHigginsに関しては、Microsoftは「CardSpace」を実装するうえでこれをサポートする予定だ。
 Eclipse FoundationのHiggins専用ウェブページにある定義によれば、Higginsは、「ID、プロフィール、社会関係情報などを、複数のサイトやアプリケーション、デバイスをまたいで統合するためのオープンソースインターネットIDフレームワーク」だという。
 WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えているのは、プロトコルではなくソフトウェアである。

この最後の文章は意味不明だと思ったら、、誤訳でしょう。
It’s not a protocol but software that supports a user experience that works with such digital identity protocols, including WS-Trust, OpenID, SAML, XDI and LDAP.
たぶん、
それ(=Higgins)はプロトコルではなくソフトウェアであって、WS-Trust、OpenID、SAML、XDI、LDAPといったデジタルIDプロトコルと連係するユーザーエクスペリエンスを支えている。
Itの取り違い。

Lockdown Networksが解散

SeatlleのNACベンダーLockdown Networksが解散。
もともと脆弱性検査製品を開発していて2005年あたりからアクセス制御製品を始めていた。
Security vendor Lockdown goes belly up – Network World
Bradford Networksが下取りキャンペーンを実施。
他のNACベンダーのニュースでは2007/6 Caymasが解散、Citrixに資産売却、サポートも終了
Vernierが社名変更して Autonomic Networksに。

以下、LockdownのWebサイトのコピー。

 

 Lockdown Networks to Cease Operations on March 18, 2008

 

 SEATTLE — March 18, 2008 — Lockdown Networks today announced that it is ceasing operations effective March 18, 2008. Due to overall

 economic trends and slower than predicted adoption of Network Access Control (NAC) technology, the company was unable to raise

 additional
sufficient venture capital to continue. Lockdown is contacting customers and partners directly to provide more information.

 Certain employees have
been retained to oversee the shutdown of the company and entertain offers to Lockdown’s intellectual property.

 

 Anyone with questions and inquiries can call 206.285.8080 x110.

Who Device Health Security Events Enforcer

Lockdown network access control continuously applies policy to ensure only authorized users and safe devices are on your network.

 

  • Guest and device registration.
  • Single sign–on.
  • Works with all authentication processes.

Assess all devices on the network for policy compliance and overall "health."

 

  • Agent and agentless operations.
  • Deeper assessment than other network access control products (over 11,000 tests).

Interoperates with a broad array of security systems to automate response to security events.

 

  • Securely isolate compromised devices.
  • Provide critical information such as who is logged in and where it is.
  • Easy integration of events into policy via web–services or syslogs.

Enforcer

Control who and what is on your network with Lockdown’s industry leading all–in–one network access control appliance.

Learn More » Learn More » Learn More » Learn More »

Lockdown network access control decreases the risk of network–based attacks and maximizes user productivity, even for unmanaged users. Lockdown appliances are easy to deploy and complement with your network and security infrastructure to deliver state of the art network access control, today.

Lockdown Enforcer™

Lockdown Networks Enforcer

Automate guest access and device registration and control who and what is on your network with Lockdown’s industry leading all–in–one network access control appliance.

Learn more »

Lockdown Sentry™

Lockdown Networks Sentry

Lockdown Sentry is the first appliance–based solution to deliver cost–effective network access control for smaller, hard to secure, remote facilities.

Learn more »



Lockdown Commander™

Lockdown Networks Commander

Lockdown Commander is an appliance–based solution that provides centralized policy control, device and user data propagation, consolidated reporting, appliance update automation, and general management.

Learn more »

Lockdown Agent™ Software

Lockdown Networks Agent Software

Lockdown Agent, monitoring software that ensures policy enforcement.

Learn more »

本のスキャン、アーカイブ

カリフォルニア大学で蔵書をスキャニングしている現場の記事。
The Internet Archive Keeps Book-Scanning Free (Wired)
自動でページをめくる装置もあるけど、形や大きさが一定していない本への対応や、破損のリスクを考慮すると人手でめくった方が良い。
V字の台に2方向からEOS 1-Dが狙ってて撮影していく。

なるほどねえ。
で、成果物はhttp://www.archive.org/で公開されている。
すごいなあ。著名な本はほとんどあるんじゃないだろうか。

誕生日会に押しかけ騒ぎ – イギリスの金持ちお嬢さん

イギリスで18歳になった女の子が自分の誕生日に来てね~、とあちこちで宣伝したら2000人が集まって大変な騒ぎになったと。
Radio 1 party gatecrash girl ‘foolish and naive’ – Telegraph
よくわかんないけど、あちこちにポスター貼って誰でも来てね、と書いといたら最後にはBBCラジオで放送されて、たくさん集まりすぎた。
as many as 2,000 youthsって書いてあるから、人数ははっきりしてないんだろうな。
壁から絵がはがされ、窓や鏡は割られ、シャンデリアやドアは壊された。被害額は2000ポンド以上って40万円くらいですか。
理解できないと思ったら、21-bedroom manor houseって、寝室が21部屋。manorは、
1 荘園(しょうえん), 領地.
2 (所有地を含めた)領主の邸宅;(大農園などの)母屋(おもや).
はあ、そういうことですか。

ニュースビデオ:
ラジオでの案内音声(聴いてるヒトは誰でも来ていいよ、ドアのところで「ハーイ、マリリンモンローよ」って言ってね)や壊れた家具、お母さんの証言など。
http://link.brightcove.com/services/link/bcpid1137942530/bclid1155254697/bctid1459191741
でもこのお母さん、結構平然とTVインタビューに答えてる。
変な国。

セキュアにマッシュアップ - IBMのSMash

日本IBMらがWeb 2.0向けセキュリティ技術を開発、OpenAjaxへ寄贈:ニュース – ZDNet Japan

 日本IBMは3月13日、ウェブサイトや企業のデータベース、電子メールなど複数の情報から統合されたビューを創り出すマッシュアップ技術を使ったWebアプリケーションの安全を確保する新しいテクノロジー「SMash」を、東京基礎研究所およびワトソン研究所の研究員が共同で開発したと発表した。
 企業がリスクを負わずに価値あるシチュエーショナルアプリケーション(状況依存型アプリケーション)を実現することに、コードネーム「Smash」は貢献するという。SMashは「Secure Mashup」の略語で、異なる提供元からのウェブアプリケーションコンポーネントの独立性を保ちつつ、相互に情報を交換できるようにすることで、悪意あるプログラムが企業システムに入り込むことを防ぐという。
 また日本IBMは、消費者やビジネスユーザーがマッシュアップテクノロジーを活用する機会を提供するため、この技術をOpenAjax Allianceに寄贈したこともあわせて発表している。

こちらにもうちょっと詳しく記事:
Can IBM SMash Enterprise Mashup Security Fears? – SaaS – Network Computing
SMashはJavaScriptで書かれており、Ajaxベースのマッシュアップのみに有効。
XMLあるいはJSONでいろいろな場所のサービスをコールする際に、相手先を確認する。
最初に許容するサービスのリストを作っておいても良いし、信用情報のようなサービスに問い合わせて有効性を確認することもできる。 信用情報サービスについては、IBMがまず提供する予定。
ライセンスはApache。
認証の仕組みは選択できて、Kerberos、PKI、SAMLなど。
IBMが2008年夏に予定しているLotus Mashupsで採用される予定。
クロスサイトスクリプティングのような直接的なWebの脅威については対応しない。
プログラムはSourceForgeからOpenAjaxの一部としてダウンロード可能。
http://sourceforge.net/projects/openajaxallianc
IBMによるホワイトペーパー:
http://domino.research.ibm.com/library/cyberdig.nsf/1e4115aea78b6e7c85256b360066f0d4/0ee2d79f8be461ce8525731b0009404d?OpenDocument

膝机 – ベッドで仕事

Lapdesk (膝机?)と言うものを初めて使った。
ホテルには面白いものがあるもんだ。
部屋においてある案内には、
デスクで働きたくないあなたのために、Lapdeskを用意してあります。
と書いてある。

ま、ただの板なんだが。
ベッドに座り、この板を腿に乗せて、その上で仕事ができますよと。
腿にあたる部分にはクッションがついてる。
が、大して使い心地の良いもんでもない。
直接PCを足の上に乗っけるよりはちょっとマシかもしれないけど、余計なものを使うのでかえってメンドクサイ部分もあり。
普通に机で働けってことだな。

オープンソースのLibertyツールがリリースされた

OpenLiberty.orgがID-WSF 2.0のクライアント機能を提供するライブラリをリリース。
IdP機能は提供しない。
別のオープンソースSAMLツールZXIDとの互換性を確認してある由。
ZXIDもSP側のツールで、C、Java、PHP、Perlのモジュールが提供されている。
OpenLiberty.org Releases Open Source Code for Driving Security and Privacy Into Web Services and Web 2.0 Applications / Press Releases / News & Events / Home – Liberty Alliance
OpenLiberty.org, the global open source community working to provide developers with resources and support for building interoperable, secure and privacy-respecting identity services, today announced the release of OpenLiberty-J, an open source Liberty Web Services (ID-WSF 2.0) client library designed to ease the development and accelerate the deployment of secure, standards-compliant Web 2.0 Applications. OpenLiberty.org will hold a public webcast to review OpenLiberty-J on April 2 at 8 am US PT.
OpenLiberty-J is based on J2SE, and open source XML, SAML, and web services libraries from the Apache Software Foundation and Internet2, including OpenSAML