メールアドレスの漏洩を検出しよう
先日、知人のメールアドレスが思い出せなかったため、覚えている範囲でアドレスの一部を入力して Google で検索してみたところ、なんと出てきたのはメールアドレスが1500件くらい列挙された、メーリングリストの名簿と思しきファイル。IPAへ連絡して今はすでに削除されているようですが、いやはや…。
というわけで、自分のメールアドレスがそんなふうに扱われてもいやなので、せめて早い段階で検出できるようにということで Google Alerts を設定。自分のアドレスをそのまま hasegawa@example.com のように指定してもよいのですが、@ を伏せた状態でアドレスが記載されることもあり得るだろうということで、検索対象は "hasegawa example.com" のように指定しています。
ちなみに、Google Alerts は日本語と英語、それぞれで同じ言葉を登録することもできます。
検索結果も日本語、英語それぞれ別になります。
中身が少し変わった?
とりあえず気付いた点
- 左端、"Contacts" と "Labels" の間に、Google Talk の広告が表示されていた
- "Move to Trash" が "Delete" に変わっている
- "Trash" を表示させたときにゴミ箱アイコンがついている
Visual Studio 6.0 removed from MSDN download on 12/16/2005 − Federal Developer Weblog
Visual Studio 6.0、Windows 2000、Windows NT 4.0 が 2005年12月16日をもって MSDN Subscriber Downloads から消えるそうです。Visual Studio 6.0 は引き続き 2006年6月30日までダウンロード可能だそうです。
Some info on the "cross-site scripting" issue affecting Internet Explorer − Welcome to the Microsoft Security Response Center Blog!
Our investigation indicates that this issue will have limited impact because an effective attack requires a website to expose sensitive information in a specific way. Basically, an attacker would need to find a way to make a response look like a Cascading Style Sheet, and that response would need to contain sensitive information.
まぁ確かに…。で、直すのか直さないのかどっちだろう…。
IEBlog のほうはタイトルが "New XSS vulnerability in IE" になってるなぁ。
セキュリティホールで問うこれからの常識 (2/2) − ITmedia
セキュリティを意識した比較的行儀の良いソフトウェア(プログラム)であれば、重要な情報が保存されたメモリを解放する前にランダムな文字列を書き込んでから解放する。前述のようなクラッシュダンプの理由からだ。これが情報を残さないための基本的なテクニックといえる。
これを基本的なテクニックというのであれば、パスワードのような機密情報はメモリ上であっても平文で持つべきではないとか、単にヌルでクリアする程度のコードはコンパイラの最適化によって無効にされる可能性が高いということも、基本的なテクニックとして覚えておきましょう。
参考: 良いニュースと悪いニュース(MSDN Online) の悪いニュースのほう。
安全なアプリケーション開発を推進する「開発者セキュリティ」施策の開始 − Microsoft PressPass
- セキュリティ開発ライフサイクル(Security Development Lifecycle : SDLおよび、SDL-IT) の情報共有
- Web サイトでの包括的な情報提供 (MSDN セキュリティ デベロッパーセンター)
- 「Developer Security Day」の開催(2006年3月2日、東京)
の3つを柱に、セキュアなアプリケーションのための開発者支援を行うそうです。
関連: マイクロソフト、自社の開発ノウハウをWebサイトで公開 − ITmedia
