201309

図書館に行って， 『1, 2, 3 — 一番基本の数学の話』(Berlinski, David. 宮武 実知子[訳]. 創元社, 2013) 『新・心理学の基礎を学ぶ』(中里 至正・松井 洋・中村 真[編著]. 八千代出版, 2013) 『「方言コスプレ」の時代 — ニセ関西弁から龍馬語まで』(田中 ゆかり. 岩波書店, 2011) を借りてきた…

『New York Times・Twitterへの攻撃、原因はドメイン名登録機関「レジストラ」か』(Trend Micro Security Blog)，2013年8月下旬、米日刊紙「New York Times」やマイクロブログサイト「Twitter」などが攻撃を受け、サイト閲覧に障害が発生しました。これらの攻撃において、インターネット上の名前解決システムである「Domain Name System（DNS）」が攻撃されたことがわかっています。この攻撃の原因となった問題は、ドメイン名登録機関「レジストラ」である「Melbourne IT」の再販業者の認証情報が乗っ取られたことです。 攻撃者は正規の認証情報を利用し、攻撃対象の各組織のドメインを含むネームサーバの環境設定情報を攻撃者自らのインフラに変更しました。 (snip) 障害の原因は、DNSのシステム自体や脆弱性が攻撃されたわけではなく、特定のレジストラへの攻撃によりDNSの登録内容が改ざんされてしまったことでした。DNSのシステム自体は、設計および仕様通りに機能していましたが、内容が改ざんされてしまっていたので結果的に障害が発生したわけです。

『千円のはずが20万円の工事に！？屋根工事の契約トラブル』(国民生活センター)，「近所で工事をしているのであいさつに来た」と訪ねてきた男性から、「お宅の屋根の鬼瓦が傾いているのが気になっていた。隣の家に落ちると大変だ。今なら残っている漆くいを使って千円で直してあげる」と言われ、千円ですぐ直してもらえるなら、と修理をお願いした。作業終了後「瓦が浮いている。このままだと雨漏りするので屋根全体を工事したほうがいい」と言われ、雨漏りしたら大変だと慌ててしまい、約20万円の工事の契約をした。しかし、冷静になってみると契約を急ぎすぎたような気がする。クーリング・オフしたい。（60歳代　男性）最近，実家1で聞いた話とそっくり．契約はしていないようだけど… 静岡県浜松市内 ↩︎

『Apache HTTPD: ‘Options -FollowSymLinks’ は不完全』(ダメ出し Blog)，この問題は、Apache HTTPD の Options の FollowSymLinks と SymLinksIfOwnerMatch の解説に簡単ながら触れられている。 http://httpd.apache.org/docs/2.4/ja/mod/core.html#options :このオプションを省略したからといってセキュリティの強化にはなりません。なぜなら symlink の検査はレースコンディションを引き起こす可能性があり、そのため回避可能になるからです。(snip) というわけで、この攻撃の根本的な対策方法は「シンボリックリンクを作らせない」しかない。

『化学兵器はサリン＝軍事介入の議会承認に自信－米国務長官』(時事通信)，ケリー米国務長官は１日、ＣＮＮテレビなどのインタビューに応じ、シリアの首都ダマスカス郊外で８月２１日に使用された化学兵器は「神経ガス・サリン」だったとの証拠を米国が過去２４時間に得たことを明らかにした。