MacOS-X snow leopardは大幅にパッチが当たりました。

おおざっぱな対応内容

• SSHのログインパスワードを推測するためのブルートフォース攻撃対応
• 辞書攻撃を可能とする「Adaptive Firewall」への対応
• パスワードを入力することなくユーザーが任意のアカウントにログインすることを可能とする「ログインウインドウ」の脆弱性への対応
• SSLを利用したドメインスプーフィングや、中間者攻撃を可能とする脆弱性への対応
  • ただし、opensslは0.9.8kなので、全てが対応されたわけでもなさそうだ。
• 「X.509」プロトコルの深刻な脆弱性への対応
  • 対応が遅くないか？
• MD2ハッシュアルゴリズムに対する攻撃の強化への対応
  • まだ対応してなかったんですねぇ。

これに伴い、Mail.appがVersion Upしました。おかげで、今まで使ってたMailBundleが全滅。特にLetterboxが使えなくなったのが痛い。

• Letterboxから、Public Beta 5を引っ張ってきて置き換えましょう。
• stop fold → 未対応
• GrowlMail → 未対応 （まぁ、使ってなかったからいいけど）
• MIMEfix → 未対応

これで取りあえずの影響は小さくなった。

世の中CMS流行であって、どれを使えばいいのかいまいち良くわからないわけで、結局自分でお試しをするしかないわけだ。

というわけで、いくつか触ってみました。ものによってはWikiのServerApp辺りに紹介でも書こうかな？

1. Blog系
   • WordPress
     • WordPress日本語サイト
     • WordPress本家サイト (英語)
       • 言わずとしれたBlogシステムですね。
       • お試し中
   • MovableType
     • 本家
     • 日本語サイト
       • WordPressに首位を奪われるまではこれが一番でした。今回は試してません。
   • Nucleus CMS
     • 本家
     • 日本語サイト
       • これも有名なBlog系CMSですね。ただ、今回は試してません。
2. Wiki系
   • MediaWiki
     • 本家
     • 日本語サイト
       • まぁ、これを知らない人は少ないでしょうね。WikiPediaで使われているシステムです。まだ試してません。
   • DokuWiki
     • 本家
     • 日本語
       • このWikiPageで使っているシステム。個人的はWikiならこれが良いと思う。
       • お試し中
3. その他CMS
   • Concrete5
     • 本家
     • 日本語公式サイト
       • もともと商用だったCMSがOpen Sourceシステムとして公開されたもの。デザインとかはやりやすくて便利なんだけど、Plug-Inは有料のものが多い。
       • お試し中
   • Drupal
     • 本家
     • 公式日本語サイト
       • NASAやWhite House等でも使われている（らしい）CMS。コンテンツ管理などで少し分かりにくい部分があるが、Securityも含め、比較的よさそう。
       • お試し中
   • Joomla!
     • 本家
     • 日本語サイト
       • 最近有名になってきている気がします。利用者も多いみたいだし。まだ試してません。
   • XOOPS
     • XOOPS Cubeサイト * [[http://www.xugj.org/|XOOPS Users Groupのサイト
       • 1990年代のBBSの発展系と考えられるCMS。XOOPSとXOOPS Cubeがあるらしく、色々ややこしい模様。試してません。というか試すの？
   • Zope/Plone
     • 本家
     • 日本語サイト
     • Zopeのサイト
       • もともとZopeはWebApplication Frameworkらしい。その上でPloneが動作する模様。まだ試してません。
   • NetCommons
     • 本家
       • 国立情報学研究所で開発された日本OriginなCMS。某所で実験中だが、個人的にはまだ試してません。
   • Geeklog
     • 本家
     • 公式日本語サイト
       • 良く名前を聞きますね。まだ試してません。
4. ECサイト系
   • EC CUBE
     • 本家 (日本語)
       • おもしろそうなCMS。OSに制限がいっぱいあるけど、なんで？ まだ試してません。
   • Zen Cart
     • 本家
     • 日本語公式ページ
       • 恐らく元も有名なEC-CMSじゃないかな？

月曜日はあまり記事がありませんね。

Security関連

• FireEye takes on Ozdok and Recovery Ideas
  • FireEyeが、Botnet Ozdok(Mega-d)の撲滅のためのキャンペーンを張った模様。こういう行動は出来るだけ協力したいものです。
• First iPhone worm found
• iPhone worm in the wild
  • iPhone用Wormが発見されました。JailBrokenを使っているiPhoneに感染する模様。JailBreakするのは個人の勝手だけど、リスクも考えないのはどうなんだろう？
  • ちなみに、JailBreakしたらばさっさとRoot Passwordは変えましょうね。
• Are You Being (Facebook) Phished?
  • FaceBookは有名なSNSですが、Phishされると一気に被害が拡大するためしつこく狙われているようです。
  • 日本で言うならmixiかなぁ。これがやられたらかなり激しいことになると思われます。
• Facebook, MySpace backdoor exposed user accounts
  • ちなみにFacebookとMySpaceに裏口があったらしい。どうやら今では閉じている模様だけど…
• Errors Not Slowing Down Gumblar Attacks
  • 非常に大規模にGamblarの被害が出ている模様です。
  • 根本的対策は難しいですが、とにかく ftp をやめて scp/sftp に切り替えること、pop3/imapをやめてpop3s/imap3s に切り替えることでその場をしのげると思うんだけど。
  • でもホスティング業者としては、これは難しいんでしょうね。なにより、scpやsftpはWindowsに最初から入っているアプリケーションではないのがネックです。
  • 各プロトコルの安全性 参考にどうぞ。
  • しかし、scp/sftpもsshである以上、今の段階でMITMにやられる可能性があるんだよなぁ。微妙。
• Announcing Strict-Transport-Security Support on www.paypal.com
  • OWASPでPaypalがSTSをサポートしたと出てました。STSに関するLinkを以下に貼っておきますが、主流になれるのかな？TLSと何がちがうかまだ全然判ってません。
    • Strict Transport Security (STS) draft specification is public
    • Strict Transport Security
  • しかし、日本語の記事がない…
• 内閣府食品安全委員会、3か月前に発生したメールアドレス流出事故を公表
  • 3ヶ月たってから公表ですか。遅くないか？
• 日本福祉大、大学生協店舗で学生1655名の個人情報を含むノートPC盗難
  • これは盗難だよね。でも漏洩の可能性があるよね。

Computer関連

• 厳しい不況で5割を超える企業がネットワークのコスト削減策を実施
  • コスト削減の流れに乗って、ネットワークコストの見直しだそうですね。しかし、削減と言っても電話とかテレビ会議とかクラウドですか。
  • まぁ、時流なんでしょうね。
• 第1回　こんな企業がダメなIT活用に陥る
  • じっくり読んでください。技術はあくまでも「道具」です。道具には、その目的と適用範囲があります。
  • もちろん、他の用途にも使えるでしょうが、正しく使えば非常に有効に、便利になるものです。技術を見据えて考える目を養う必要があるのは当然ですよね。
• Legacy systems
  • そろそろIE6は撲滅したいんですけど。というか、ソフトウェアは多少重たくても新しいものを使いましょう。リスクが大きすぎです。

その他

• 雷のガンマ線から「電子の反物質」の痕跡を発見
  • 電子の反物質って要するに陽電子だよね。へぇ、地上の雷でも陽電子が生成されることがあるんだ。
• 絵本を読む声を録音して送ることができる「A Story Before Bed」
  • こういうサービスが必要な生活はしたくない。

なんか、今日は気になる記事が少ないなぁ。 まぁ、午後になると増えるかもしれません。

Security関連

• Gumblar再再起動
• Gumblar.X Reloaded【Tokyo SOC Report】
  • さらに変化した模様です。
• 「偽ソフト」の報告数が1年ぶりに激増、ワンクリ詐欺の相談は過去最多
  • ああ、やっぱり引っかかるんですねぇ。
• TLS Man-in-the-middle on renegotiation vulnerability made public
• Major SSL Flaw Find Prompts Protocol Update
• Race is on to fix global Internet security threat
• Tech titans meet in secret to plug SSL hole
• Man-In-the-Middle Vulnerability For SSL and TLS
• CVE-2009-3555 for TLS renegotiation MITM attacks
• TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
  • TLS/SSLに関するMan-In-The-Middle Attackが可能になる脆弱性です。これ、結構影響が大きそうですね。httpsも信頼できなくなっているということかしらん？
  • さっさとSSLのVersionを上げないといけませんね。
  • なお、OpenSSLは0.9.8lがreleaseされています。この問題(CVE-2009-3555)に対処したもののようです。
• 2009年11月11日のセキュリティリリース予定 (定例)
• Microsoft、「緊急」のセキュリティ情報3件を公開予定
• MS、11月の月例パッチで「Windows」「Office」の脆弱性を修正すると事前通知
  • Windowsの更新です。11日にはちゃんとUpdateしましょう。
• JNVとNVDによると、JRE(Java Runtime Environment)に複数の脆弱性が存在する模様です。早く最新版に更新しましょう。
• 三井住友銀行のセキュリティ強化策は理想的なアプローチ
  • だそうです。ほんまかいな？
• DOWNAD/Conficker Turns 1yr
  • そうか、もう1年たつのか。時のたつのは早いなぁ。

Computer関連

• 徹底検証 Hyper-V 2.0 ―― （1）基本性能
  • すでにHyper-VもVersion2ですか。早いなぁ。
• EU電気通信改革，ネット接続遮断を巡る修正条項で合意
  • スリーストライク法って、かなり駄目な（酷い）法律だと思うのは僕だけか知らん？
• 世界のあらゆる情報を構造化して、無償で提供するデータベース「Freebase」
  • DBIが定義されているところが秀逸ですね。ちょっと興味あるなぁ。
• 『Windows 7』はウイルスに強いか：10種類でテスト
  • なんか当たり前の結論のような。Backword Compatibilityがあるシステムなら、普通Virusだって動くと考えるのが当然でしょう。
  • これを動かないようにすると言うことは、Backword Compatibilityをなくすか、特別な判断システムを入れるしかないのは当然なわけで。

続報 @18:15

• SSL/TLSにMITMを可能にする脆弱性

今日はネタがあまりありませんでした。

Security関連

• 「チャットで個人情報を聞き出す」――フィッシング詐欺の新手口
  • 巧妙ですねぇ。引っかかる人は多そうですね。
• 「過半数のユーザーは『偽ソフト』を知らない」、IPAの調査
  • これはよく考えてみれば、確かにそうでしょうね。まずイメージがわきにくいし、何が真で何が偽かわからないし。
• モジラ，「Firefox」プラグインの検査用Webページをオープン
  • こういう活動は重要だしありがたいですね。どしどし利用しましょう。
• オンライン・バンキングを狙った次世代型サイバー攻撃
  • 日本版が出るのも時間の問題でしょう。
• 敵機を撃つたびファイルが消える、「ゲームウイルス」出現
  • どきどきするゲームですね。
• Gumblar Breaks WordPress blogs and other complex PHP sites
  • WordPressを使っている人、よく確認しましょう。
• Hole in the Linux kernel allows root access
  • かなり危険です。早く更新しましょう。2.6.32以下が危険です。
• 社員が使うPCのセキュリティが不安
  • 非常に基本的な話ですが、ここからもう一回見直しましょう。

Computer関連

• デバッグ専用ブラウザ "ym21browser"(ver1.00)
  • Windows用ですが、便利そうですね。
• twilog
  • こんなサイトがあるんだ。すごいなぁ。