NEWEST /   

MS社の小さな親切・大きなお世話

IE8には、ブラウザを再起動(または閉じる⇒起動)した時に、
ブラウザの中身を再起動前の画面状態に戻してくれると言う
「セッション復元機能」というのがあります。

・・・が、これはセキュリティ的に「大問題」ともなるのですわ。

具体的にはこんなセキュリティ破りが可能。

1)AさんがIE8を使って何処かの認証性サイトorシステムにログイン
2)AさんがログアウトせずにIE8を閉じる
3)Aさんが離席
4)Bさんが、AさんのPCのところに来てIE8を起動
5)Bさんがセッション復元機能を使用
 (「ツール」>「最終閲覧セッションを再度開く」の順に選択)

⇒Bさんが、Aさんのアカウントで同じ認証性サイトに自動ログイン成功!
あとはBさんがAさんになりすまして好き放題♪

これまでは「オートログイン機能」を搭載してる認証性サイト(mixiやYahooなど)
以外では発生し得なかったこの手の問題を、IE8は強制的に発生可能にしてくれました。
セキュリティ的観点で「オートログイン機能を不採用」としたシステム管理者は
全員涙目です。と言うか漏れが涙目(;_;)

一応「InPrivateモードでブラウザを立ち上げる」という回避策があるんだけど、
これがまた問題あり。
所謂「信頼済みサイト」の設定のような「InPrivateモードで見るサイトを
ブラウザに記憶させる」仕組みが設けられていないので、こんな面倒な手順が
必要になってしまう。

1)ブラウザを起動
2)Ctrl+Shift+Pを押す or 「ツール>InPrivateブラウズ」を選択
3)別ウインドウが起動。アドレスバーに「InPrivate」と表示される
4)この別ウインドウで対象のサイト・システムにアクセスする
(参考:これ

これをやる事で、セッション復元機能の対象外にする事は出来るんだけど、
サイトにアクセスするまでの手順が増える。
エンドユーザにこんな事させたくない・・。

いろいろ親切な機能を追加してくれるのはいいんだけど、
その機能が事情によって使用NGとなる場合に、
あまりエンドユーザの手を煩わせることなく使用回避できる仕組みを
考えて欲しいですわ。
それが出来ないと、「小さな親切・大きなお世話」になってしまう。

ま、MSは昔からそんな会社だけどねえ・・・。
困ったものです。つーかMS氏ね(--メ

 
| diary/memo | comments (0) |  

今週の逆ギレ

・ヤフオク:モンテディオ山形キックオフイベントチケットが出品

まあ出品行為はありきたり
     ↓
販売元のクラブが「ダフ行為を禁じている」はずなので、
それを根拠に「違反行為」として通報。これもありきたり。
     ↓
そしたら出品者が「威力業務妨害です」と逆ギレ

業務で出品してたのか!春ですなあ(--
 
| diary/memo | comments (0) |  

奥さん、事件です

・小沢健二が13年ぶりにコンサートツアーを開催

冷静に考えたら当サイト的には史上2番目の大事件なんですが
「キタ━━━━(゚∀゚)━━━━ !!!!!」とも「えええええええ∑ ̄ロ ̄;)」とも
思わなかったり。 
(※「史上1番目」はワタシのことを知ってる方なら分かるでしょ(--)

今の注目点はこの2つ。

真城めぐみは相変わらずなのか?
ドタキャンはあるのか?

ようつべにMP3などをうpしている神が居たようなので
いくつか貼っておきます(--)ノ






ちなみに、「今夜はブギー・バック」は、Chick Coreaの名曲「Spain」から
「構成をパクった」ものだ・・・と思うのは、ワタシだけで良いと思います><
 
| entertainment | comments (0) |  

一応募集

twitterのフォロワーになってくれる奇特な方募集中。
現在3名。
http://twitter.com/a_micchan
 
| diary/memo | comments (0) |  

続・ネットの中にはカモが(ry

前回記事で対策としてあげた「掲示板でしか交渉不可とする」形式の最大の難点は、

  譲渡者・購入者それぞれの個人情報を
  サイト管理人に公表しないといけない

ことでした。
いくらサイト管理人とは言え、会った事も無いような人に、
個人情報バラバラと言える人が今の時代どれだけ居るのかと。

他にも細かい難点はいくつかありまして。

(1)メールアドレスの書き込みを防止しきれない
(2)どこかで掲示板外でのやり取りがどうしても必要になる

(1)ですが、交渉のブラックボックス化を防ぐためには
「メールアドレスの記入」を禁止させる必要があります。

しかし、CGIスクリプトの機能でメールアドレス形式の文字列を
記入禁止にしたところで、「(ID名)あっとドコモ」なんて書き方を
されてしまったらどうしようもありません。

(2)は言わずもがなですな。

とは言え「同時並行交渉をかなり防げる」というのは大きいのではと思います。
チケット掲示板を設置するとほぼ100%詐欺場として使われると言ってもいい
現状では、被害者数を劇的に減らす効果はあるでしょう。

他いろいろ調べていて気づいたのは、

・詐欺師の対応次第では詐欺罪不成立(民事である債務不履行)になる可能性がある
 - 少なくとも、公演当日までは詐欺罪が成立しない
 - その後、ちょっとだけ返金するというパターンがある!
 - そのため、騙す意図があったことを被害者側が立証する必要がある
・数十万(数十人)程度の被害では被害届すら受理してもらえなくなって来ている
・その結果、やはり泣き寝入りは相当多い
・代引き郵便を使ったら、後日チケットがニセモノだったことが判明するパターンもある
・最初は対面手渡しでOKを出すものの、ありえない手渡し条件を提示され、口座振込みに
 変更されてしまうパターンもある
・たまに『紆余曲折を経て被害届を出しました』と書いてあるblogがあるけど、
 提出後の続報が出てくることがまずない。

こんなところかな。だいぶ手口が進化してきている感があります。
どっかのニュースで「振り込め詐欺の検挙率が78%になった」って報道があったけど、
チケ詐欺は警視庁の中では振り込め詐欺に含められていないので、
検挙率を知りうる方法は無く・・・。

今やそこらへんの素人でも出来る、詐欺入門的な存在と化してしまったチケ詐欺。
結局は「ネットで売買しない」以上の対策がないことを再認識。
撲滅するためには、ネット上での匿名性破棄くらいしかないのではないかと思います。

いじょう(--
 
| society | comments (0) |  

誘惑に負けた大先輩からのメッセージ

・175R・SHOGOが成人式で「誘惑に負けるな」

SHOGO大先生のこれまでの人生(--)ノ

  ツアー中の絵理子を孕ませる
       ↓
  仕方なく結婚
       ↓
  生まれて来た子供がなんと聴覚障害者
       ↓
  そこらへんのグラドルと浮気
       ↓
  その後離婚。浮気相手のグラドルは引退に追い込まれる



・・・誘惑に負けた大先輩の一言は重い。

あ、ワタシですか?誘惑してくれる人が居ません><

 
| entertainment | comments (0) |  

ネットの中にはカモがいっぱい

とあるきっかけで、久々に「チケット詐欺」についていろいろ調べてました。
あ、自分が詐欺事件の当事者になったわけではないので念のため。

調べていて思ったことは、事例が年々増える一方・・・ということと、
現場となる「掲示板」が、オープンな場所からSNSにかなり移行していること。

事例が増える一方であることの大きな原因は、
SNSでのやりとりが増えていることだと見ています。

この手の詐欺が防げない一番の問題点は、最初の掲示板カキコミ以降は
管理者や他の人達からは一切見えない「メール」によるやりとりになってしまうこと。
だから同時並行で何十~何百人にも上る「ニセ取引の交渉」が発生していても、
詐欺をやる人以外はそれを把握する事が出来ない。詐欺である事が確定するまでは。

なので、掲示板管理者視点からの「防止策」は、
『掲示板でしか交渉できないようにする』
ことになるんだけど、SNSの掲示板ではそういう仕組みは作れない。

管理者がどこかでサーバを借りて、CGIの掲示板を作りこむ必要がある。
こんな仕様になるかな。

・スレッド式の掲示板を作る。
・チケ譲渡先を探す人が親記事を投稿する。
・投稿された記事上に交渉開始ボタン(のようなもの)を用意する。
・それを押すと交渉が開始されたとみなし、以降は交渉成立まで
 「親記事投稿者」「交渉開始ボタンを押した人」「管理者」以外は
 該当スレッドの全記事を閲覧不可とする。
 (同時並行交渉の防止+個人情報保護のため)
・交渉が終了したら、交渉結果を「ボタンを押した人」が記入する。
 →「交渉成立」の場合はスレッド終了。
  不成立の場合は、スレッドを交渉前の状態に戻す。

これでも100%防げるわけではないけど、ネット掲示板を経由するチケ詐欺は、
1つの案件(ターゲットになるライブイベント)に対して「被害者が1人のみ」と
なることはまずないので、ほとんどの案件で防ぐ事が出来るかと。

その理由は、まず掲示板管理者が交渉状況を監視できる事。
おかしいな?と思ったら、管理者権限で交渉を打ち切ることが出来ます。

また1人あたりの被害額が少なく、人数を稼ぐ必要があるこの手の詐欺では、
同時並行での交渉が出来ない場所へは、詐欺師は来なくなるでしょう。


ついでに。
掲示板利用者視点では「絶対先に金を振り込まない」という手段があるんだけど、
これには2つ難点があります。

 1)「チケ取れなかったけどどうしても行きたい」という心理状態では、
  このセオリーを忘れてしまうことが多々ある。
 2)「逆チケ詐欺」(チケだけもらって金を渡さない)の発生懸念有

1)ですが、掲示板でいくら注意喚起しても、交渉がメールの場に移れば
利用者は掲示板を見なくなってしまうので、喚起効果がなくなってしまいます。

2)は、こういう手が取れるのかー、と個人的に感心しました。
ペアチケット5セット(10枚)くらいかき集めて、オークションで売り払えば
簡単に数十万は稼げるよねえ。自分はやらんけど。


・・・というわけで、チケット掲示板を作りたいと言う(ある意味)猛者の方には
「レンタルサーバを借りて、CGIで掲示板作りこみ」という手を推奨したいんだけど、
こんな手間かけて作りこむ人は・・・今の時代は居ないだろうねえ・・・。

この方式には大きな利用上の難点が1つだけあったりするし。
あえてここでは言わないけど。

ま、気が向いたらこれ用のCGIスクリプトを作ってみますわ。
完成目標は21世紀中。

おしまい(--
 
| society | comments (0) |  

ラピュタ・チャントはJ1に

・湘南ベルマーレ社長日記特別編

J1復帰を決めた当日の手記。
12/5当日にどんな準備をして、どんな思いで居たかを
読み手を引き込むように綴っています。

一昔前にサイトのネタ作り+αとして3~4回平塚に行ってた時は
何の強みもないJ2下位クラブだったんだけどねえ。

当時と比べてかなりリズメディア色が弱くなり、
平塚競技場に若手アーティストを派遣することが無くなってから
J1復帰となったのは、やや皮肉かも。

それはさておき、昨年キャリアハイを迎えた坂本が
J1でどこまで通用するか楽しみです。

あ、でも横浜と山形のJ1クラブに勝ち点はくださいね。|( -_☆)キラリン
 
| soccer | comments (0) |  

なんとなく

あけました。おめ(ry

なんとなくサイトタイトル変えました。
10年以上前の使い回しです。

「Crude Cage」より1世代前のサイトタイトルが思い出せません。
特にタイトル無かったかも知れんけど。
あちこち手を出してたあの頃からもう10年か・・・。

ま、よろしく。
 
| diary/memo | comments (0) |  

NEWEST / PAGE TOP /   


Twitter Updates▼


ARCHIVES▼

<前月 2010年01月 次月>
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

OTHER▼

POWERED BY

BLOGNPLUS(ぶろぐん+)