SCIS2007という会議で,すごい論文を見かけた.
その論文は日本語で6pageの論文なのだが,なんと著者が22名もならんでいたのである.
論文タイトルは以下の通り
3A1-1 インシデント対応におけるミクロ分析とマクロ分析の融合について
(以降略)
もちろん,この研究は多くの研究者が共同で行った研究だと言うことは容易に想像がつく
しかし,これを見たら誰だっていろんなこと(?)を思うだろう...,
で,個人的にこの論文を前向きに見るならば一言こう言いたい.
「なぜ,もっと論文を細分割しなかったのだろう?」
これだけ大勢で行った研究なら,それ相応の研究成果があると思うのだ.
個人的には,こういう風に論文発表するという戦略自体は失敗だと思うし,ややもすると,かえって悪印象を与えてしまう結果にもなりかねないと余計なお世話ながらも思ったりする.
スパイシーソフトが、au携帯で動作するJavaアプリの作り方を解説するWeb講座「オープンアプリ開発講座」を実施するそうです
スパイシーソフト、auオープンアプリのWeb講座 (ケータイwatch)
スパイシーソフト、Webで全10回の「オープンアプリ開発講座」を開始 (ITmedia)
講師は携帯Javaに関していろいろな書籍を書かれている布留川英一さんで、講座は全10回だそうです.携帯電話でのJavaプログラム作成を学ぶにはいい機会ではないでしょうか? 系統だって学ぶことができて、しかも無料でその内容を得られる意義は大きいです.なにせ以前、本だけで自学自習した時には、本当にいろいろと苦労しましたから.
Web講座のURLはこちら - http://appget.com/contest/au2007/lecture/
複数パスワードの管理を可能にするサービスとしてPassPackが紹介されていた.
Webサービスのニューフェース"PassPack" -- 複数パスワードの管理ならおまかせを! (MYCOMジャーナル)
PassPackのWebページはこちら
https://www.passpack.com/
Webサービスとしてはよくできているようだが,パスワード管理システムとしては,Webベースになっただけで,別段の新しいアイデアではないように当方には見える.もちろん,確かにいくつかの計算機環境を持っていて,パスワードの管理(共有)に困っている場合は一考の余地があることは理解できる.
パスワード管理ツールとして,別段新しいと思えないのは,やはりアカウントとパスワードを暗号化して保存しておくだけだからだ.保存する場所が,自分の計算機内か,あるWebサーバ上かという違いだけである.もちろん,あるWebサーバ上にまとめて管理しておけば,自分の計算機を持っていないときや,インターネットカフェからでもパスワードを知ることができるので,それはそれで便利であることは理解できる.が,それがセキュリティ向上につながるのか? と問われると,かならずしもそうとは言えないだろう.ようするに,ここにもセキュリティとユーザビリティのバランス問題があるというわけだ.
ただし,こうやってWebサーバにパスワード情報を置くと,第三者によってbrute-force攻撃される可能性や,そのWebサーバを管理している管理者が悪さをした場合,やはり不安は残る.自分の安全を守るための秘密情報を,自分の管理下に置いておけないと,それなりの危険性が残るということをどれだけの人が理解しているだろうか? AESで暗号化されているからといっても,そのpackingに使われるパスワードを生成し,付与するのはユーザだ.だということはbrute-force攻撃や辞書攻撃で多くのユーザのパスワード情報が暴かれてしまう可能性はそれなりにあると推測する.つまり,データが暗号化されていたとしても,それが亜杭を持ったユーザに渡ったり,そういったユーザがアクセスできる環境に置いてしまうと,それなりのリスクをはらむことになる.というわけで,個人的には,自分がそのWebサーバの管理者でなければ,こういったサービスは使いたいとは思わない.こういうサービスは,一見便利だが,そういう危険性もあるということを理解しておく必要はあるだろう.
しかし,システムとしては非常に興味深いし,よくできていると思う.FLOSSプロジェクトというものがあることや,JavascriptでAESが使えるということをこの記事ではじめて知りました.世の中,まだまだ知らないことばかりなり
いままでアルミ箔で覆うしかなかった非接触ICチップのスキミング対策ですが、ようやくそれを目的とした製品がエレコムより発売される事となりました.
スキミング防止グッズ "スキムバリア: SKMシリーズ" - エレコムのニュースリリース
カードタイプ、携帯電話タイプ、お財布ガードタイプの三種類があるそうです.
ニュースソースはこちら
エレコム、おサイフケータイなどの情報を守るスキミング防止グッズを発売 (ITmedia)
エレコム、非接触ICチップのスキミング防止グッズを発売 (ケータイwatch)
要点をまとめてみると
- Skim Black Iという電波遮断素材を使用
- 磁気カードにも対応
- 裏表関係なく、一枚あればスキミングを遮断
- 携帯電話につけるものは、ガードをスライドするだけで非接触ICカードを使用可能にできる
- 対応機種はN902i, SH902i, P902i, N901iS, P901iS (現時点)
だそうだ.「備えよ常に」の人は持っておくといいと思う.
Anti-Phishing Working Group - http://www.antiphishing.org/
インターネットから詐欺(Phishing)をなくそうという活動をしているグループのWebサイトである.
ふとjpドメインを試してみたら、同じような活動をしている日本国内の団体もありました.
フィッシング対策協議会 - http://www.antiphishing.jp/
ここの情報は日本語なのですらすら読めますね.
米国のWebページとは違って、漫画チックになっているので、初学者や素人にも取っつきやすいように見えるのもGoodではないでしょうか?
ユーザが使用するすべてのWebサイトのパスワードを同じにすることはセキュリティ上望ましくないが,かといってユーザ側の負担が大きく,個々のサイトに異なるパスワードを生成して使用することは困難である.その問題を解決する方法として提共されているのが GenPassである.
GenPass: A Password Generator - http://labs.zarate.org/passwd/
パスワード生成器とあるが,生成だけでなく管理も兼ねていると言えなくもない.
これは、もともとPhishing対策のためのシステムであり、その基本アイデアは「パスワードの生成に対象WebサイトのURLを使用する.すると、URLが違うサイト(例えばPhishingサイト)でパスワードを入力しようとしても、正しいパスワードが生成されないため、Phishingによりパスワードが漏洩する事態を回避可能になる」というものである.つまりマスターパスワードとURL情報を基に、何らかの処理を行ってパスワードを生成する.するとユーザは、マスターパスワードだけを覚えていればよく、かつ複数のWebサイトの認証に異なるパスワードを割り当て、利用する事が可能になるというものである.
実装はWebブラウザ上で動作するbookmarkletとして実装されており,パスワードを必要とするWebページにアクセスした上で,そのbookmarkletを実行するとパスワードが生成され,passwordフィールドにそのパスワードが入力された状態になるというツールのようである.
なおbookmarkletを実行すると,すぐにパスワード入力済み状態になるが,それではセキュリティ上不安だという場合は,bookmarkletを実行すると,マスターパスワードを聞いてくるようにすることもできるようだ.このマスターパスワードを正しく入力した場合だけパスワードがパスワードフィールドに入力された状態になる.また現在アクセスしているWebページのURLが使われているので,各サイト毎にパスワード生成用のbookmarkletを作る必要はない.
私感だが、よくできていると思う.
FirefoxなどWebブラウザのパスワードマネージャと比較すると安全性はどうなのだろう?
- パスワード情報を計算機内のハードディスクに記録しない
- どちらもマスターパスワードが見抜かれたらアウト
- このツールを使っているWebサイトがわからなければパスワードCrackingはできない
だからより安全だと言うこともできるが,Webブラウザの閲覧履歴がそのURL発見を容易にしてしまうかもしれない.でも,その閲覧履歴から当該URLが見付からない場合もあるだろうから,そういう意味では,やはり本ツールの方が安全性が高いと言ってもいいのではないだろうか?
なおMobile versionもあるが,これは普通のCGIプログラムのようである.ということは,このパスワード生成システムを自身が管理するWebサイトに設置し,かつSSLを使って運用しないと安全性に疑問が残ることになる.このモバイル版と同じようなシステムをここにも見つけた.
Password generator - angel.net
hashapass - www.hashapass.com
おなじようなことを考えている人は結構いるようで,実装もいくつかありそうだ.
angel.netの実装にはGoogle gadget版もある.
またこのツールの改良版 SuperGenPass も公開されている.
SuperGenPass(beta2) - http://labs.zarate.org/passwd_new/