IN THE NAME OF...

完璧なセキュリティとはいかないんだなー

BBCニュースによると、英国内務省のセキュリティ＆エロ対策…　　じゃなかった、テロ対策委員会に関する情報提供ページに、日本のアダルトサイトへジャンプするリンクが埋め込まれていたらしい（現在、そのリンクは削除されているので確認はできなかったけど。残念…　　ぇ）。

本来なら、当該のリンク先は、テクニカルアドバイザリボード（技術的な相談や問い合わせを受け付ける部門）になっている。ところが、「ぽちっ」とやると、艶かしいお姉さんたちが出てくるんで、そりゃびっくりするよな。特に英国は、ポルノグラフィに関しては厳しい国だしねぇ。

発見者のMike Riley氏は、同日に施行された、電子メールおよびインターネット電話の記録の保存に関するISP向けの新しい規制について情報収集をしていたところ、偶然このリンクの存在に気づいたとのことだ。で、すぐさまBBCに連絡したらしい（BBCの記事には書いてなかったが、先に内務省に連絡したことを願う）。内務省は、後にBBCに対して、「この問題については、リンクがどのようにして埋め込まれたのかを含めて、現在調査中」とのコメントを出している。

ちなみに、英紙のThe Registerでは、今回の騒動のことを「Japanese-Porn-Home-Office-Penetration Op」と呼んでいる。

うひひ

Get it?

When I am down, I think of a girl who used to be very close to me. I am who I am, thanks to her being in my life.

This is how her story goes...

She was born and raised in a perfect family who loved her dearly. She was smart, outgoing, adventurous, and determined. She had a dream and her strong determination led her to leave the comfortable life she'd been living for something completely new and uncertain. She thought she was ready. She thought she could conquer the world.

Well, she wasn't. She wasn't as prepared as she thought she was and did not have the slightest clue of what lies in her path. She ended up going through a life which no women (or men) should go through...

She was used, abused and cheated. She was beaten and raped. She was threatened to be killed with a gun. She went through an abortion scarring her from both inside and outside, physically and emotionally. She had eating and sleeping disorders, She became depressed and easily irritated. And one day, enough was enough, the thin piece of thread that held her sanity together finally broke.

She attempted to commit a suicide... She just wanted to put an end to everything...


Thanks to God, her suicide attempt was not successful. At least physically, that was. Psychologically? I am not so sure. She volunteered to spend some time in a mental health facility on that day, not because she wanted to get rehabilitated. She volunteered because if she didn't, cops would hand-cuff her and forcibly put her in a maximum security loony bin with 24/7 monitoring.

Today, she lives in a place where the Sun doesn't shine. She did not die when she put a gun to her head, but she decided that she would never show her face to anyone as long as she lives.


My life is not perfect. There are many things that I desire but don't get. However, what I am going through now is very trivial compared to what she had to go through.

So, when I am feeling down or run into a brick wall, I always think of her life and be greatful that I still have miles and miles until I hit the rock bottom. Thinking of her reminds me that I am still at a point where I can climb right up. Life can be hard sometimes, but when you realize you are not alone, you could gain your strength and courage to sail out into the rough sea once again...

そーいえば忘れてたけど、EV SSL証明書も偽装可能だっていうことが話題になってたよなー。
二人のセキュリティ研究者が「CanSecWest 2009」カンファレンスで発表してたっけ。

ちょっと前にMD5アルゴリズムへの衝突攻撃を利用して、SSLサーバ証明書の偽装が可能　ってニュースが駆け巡り、主要な認証局は、MD5アルゴリズムを利用したSSLサーバ証明書の発行を今後行わないと宣言したよね。

で、これまではEV SSL証明書はこの攻撃の影響を受けないとされていたんだけど、そーでもなかったらしい。この二人の研究者、Zusman氏とSotirov氏によると、MD5アルゴリズムを使ったサーバ証明書同様、偽装が可能とのこと。MITM攻撃を実行して、ブラウザのアドレスバーに例の「緑色のボタン」を表示させることが可能なんだって。信頼されているサイトと見せかけるためにね。

もちろん、攻撃者は予め正規のEV SSL証明書を取得しておく必要がある。しかし、これについてもそれほど難しくナイらしい。例えば、Mozilla.comなんかだと、なーんにも聞かれずに証明書が取得できるって。　ぇぇ～

あとは、JavaScriptを埋め込み放題ってことか…

原因は、アルゴリズムうんぬんより、ブラウザが本物と偽者を区別できないことにある。設計的な問題なのね。


緑色してるからって、暗に信用しちゃいけないってことだ。
セキュリティは、「まず疑うことから」ってのは基本だしね。



あー、アタシの嫌いピー○ンも緑だったなー。やっぱり、信用できん…　　ぇ