気になった記事(20090915)

今日の気になった記事です。

Security関連

• ニコニコ動画、JavaScript実行促す動画を禁止・削除対象に
  • ある意味当然ですね。不特定多数の投稿するデータには何を仕込まれているか判らないし。
• Toata dragostea mea pentru diavola
  • どうやらZen Cart向け攻撃のログのようです。「悪魔のすべての私の愛」というような感じなのかな。
• 「情報システムの信頼性向上に関する評価指標（第1版）」の公表
  • 公開された模様です。目を通しておきましょう。
• 最悪のシナリオ～もしも社内のPCが感染したら・・・
  • これ、良くできたWhite Paperです。読みましょう。特に会社でSecurity関連の業務をしているなら絶対に読むべきでしょう。
• ニュースレターに見せかける迷惑メール、対策製品の回避が目的
  • ううむ、色々考えるなぁ。この手法を悪用すると、ClickしたらJavaScriptでVirusに感染という経路もあり得るなぁ。
• アップル、Mac OS X用セキュリティアップデート「2009-005」「10.6.1 Update」公開
  • ああ、いかんなぁ。snow leopardにするか、Security Updateにするか。まぁ、今日はupdateにして、今週末にでもゆっくりsnow Leopardにしようかな。
• アリコ、流出した顧客情報は1万8184名分～業務委託先社員が持ち出しか
  • ああ、なるほど。判りやすいなぁ。根底には収入の差と生活の苦しさがあるのかもしれないなぁ。とにかくシステム的には充分に注意が必要ですね。
• The ultimate guide to scareware protection
  • 恐怖を煽る系攻撃が流行っていますねぇ。これ、まだ過渡期だから成立する手法ですが、この過渡期はあと3年は続きそうですね。根本はOSやシステム側で対応しないといけないもんだいなんだけど。
• 不可欠なのはリスク・コストを抑える包括的アプローチ
  • Securityは常に「コスト」と「効果」のバランスでしか語るべきではありません。「何を」「誰から」「いくらかけて」「どのように」保護するのか以外に評価基準は無いわけで。
  • 今の企業は、客観的価値（思い入れなどを除く）が100万円のダイアモンドを年間100万円かけて5年も金庫に入れておくというよく判らない対策と同様のことをやっていると思うんだよねぇ。
  • CISSP的に考えるなら、「可用性」「完全性」「機密性」はこの順序で考慮されるべきであるわけです。これは忘れてはならない視点でしょう。
  • この記事は広告ではあるけど、良いことを書いてあったので敢えて取り上げてみました。
• 予選はクイズ感覚の「超高度な知恵くらべ」
  • DEFCON楽しそうだなぁ。それだけの技術があればなぁ…

Computer関連

• データベース・セキュリティ都市伝説　①
  • 当たり前の事ではあるけど、やっぱりこういう事は適宜公開されるべきですね。
• 2012年、2000万ユーザーのアクセスが2カ所の接続ポイントに集中するのか？
  • 記事にもありますが、大艦巨砲主義の匂いがプンプンしますね。大規模に集約すると言うことは、そこが全てのボトルネックになると言うことなんだけど。
  • まぁ、NTT「様」なので、なにか考えるんでしょうけどね。どんどん「設計」という言葉が軽くなっている気がする。
• 既にあたり前になりつつある文字エンコーディングバリデーション
  • PHPの問題とも言えるけど、結局Multi characterを使おうとすると発生する問題だよね。なによりもUTF-8の扱いが難しいことがその問題の根底だと思う。

その他

• 天の川全景の動画とパノラマ
  • この動画は美しいです。
• 「熱い氷」がある世界：超高圧で「第15相の氷」を生成
  • 面白い。特に、「氷の中の水素原子の存在する平衡位置は絶対零度でも秩序化せずランダムであり」というところなんか、エントロピーの法則に従っていないように見えるところが面白い。
• 「国内市場に8社も生きられるスペースはない」--NEC携帯電話事業統合の理由
• NEC／カシオ／日立が生き残り賭け携帯事業を統合，「事業補完が得られるベストパートナー」
• 「国内に携帯8社は多すぎる」　NEC、カシオ、日立、携帯統合で海外市場へ
  • ついに携帯電話製造系も再編が始まったわけですね。どこまで統合されるか、見物ですねぇ。