Crude Cage - 2nd.blog::2010年01月

MS社の小さな親切・大きなお世話

2010.01.28 Thursday 12:08 AM

IE8には、ブラウザを再起動（または閉じる⇒起動）した時に、
ブラウザの中身を再起動前の画面状態に戻してくれると言う
「セッション復元機能」というのがあります。

・・・が、これはセキュリティ的に「大問題」ともなるのですわ。

具体的にはこんなセキュリティ破りが可能。

１）ＡさんがIE8を使って何処かの認証性サイトorシステムにログイン
２）ＡさんがログアウトせずにIE8を閉じる
３）Ａさんが離席
４）Ｂさんが、ＡさんのPCのところに来てIE8を起動
５）Ｂさんがセッション復元機能を使用
　（「ツール」＞「最終閲覧セッションを再度開く」の順に選択）

⇒Ｂさんが、Ａさんのアカウントで同じ認証性サイトに自動ログイン成功！
あとはＢさんがＡさんになりすまして好き放題♪

これまでは「オートログイン機能」を搭載してる認証性サイト(mixiやYahooなど)
以外では発生し得なかったこの手の問題を、IE8は強制的に発生可能にしてくれました。
セキュリティ的観点で「オートログイン機能を不採用」としたシステム管理者は
全員涙目です。と言うか漏れが涙目(;_;)

一応「InPrivateモードでブラウザを立ち上げる」という回避策があるんだけど、
これがまた問題あり。
所謂「信頼済みサイト」の設定のような「InPrivateモードで見るサイトを
ブラウザに記憶させる」仕組みが設けられていないので、こんな面倒な手順が
必要になってしまう。

１）ブラウザを起動
２）Ctrl+Shift+Pを押す or 「ツール＞InPrivateブラウズ」を選択
３）別ウインドウが起動。アドレスバーに「InPrivate」と表示される
４）この別ウインドウで対象のサイト・システムにアクセスする
（参考：これ）

これをやる事で、セッション復元機能の対象外にする事は出来るんだけど、
サイトにアクセスするまでの手順が増える。
エンドユーザにこんな事させたくない・・。

いろいろ親切な機能を追加してくれるのはいいんだけど、
その機能が事情によって使用NGとなる場合に、
あまりエンドユーザの手を煩わせることなく使用回避できる仕組みを
考えて欲しいですわ。
それが出来ないと、「小さな親切・大きなお世話」になってしまう。

ま、MSは昔からそんな会社だけどねえ・・・。
困ったものです。つーかMS氏ね（－－メ

| diary/memo | comments (0) |

今週の逆ギレ

2010.01.20 Wednesday 11:34 PM

・ヤフオク：モンテディオ山形キックオフイベントチケットが出品

まあ出品行為はありきたり
　　　　　↓
販売元のクラブが「ダフ行為を禁じている」はずなので、
それを根拠に「違反行為」として通報。これもありきたり。
　　　　　↓
そしたら出品者が「威力業務妨害です」と逆ギレ

業務で出品してたのか！春ですなあ（－－

| diary/memo | comments (0) |

奥さん、事件です

2010.01.19 Tuesday 11:26 PM

・小沢健二が13年ぶりにコンサートツアーを開催

冷静に考えたら当サイト的には史上2番目の大事件なんですが
「ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!!!!」とも「えええええええ∑￣ロ￣；）」とも
思わなかったり。　
（※「史上1番目」はワタシのことを知ってる方なら分かるでしょ（－－）

今の注目点はこの２つ。

・真城めぐみは相変わらずなのか？
・ドタキャンはあるのか？

ようつべにMP3などをうｐしている神が居たようなので
いくつか貼っておきます（－－）ノ

ちなみに、「今夜はブギー・バック」は、Chick Coreaの名曲「Spain」から
「構成をパクった」ものだ・・・と思うのは、ワタシだけで良いと思います＞＜

| entertainment | comments (0) |

一応募集

2010.01.17 Sunday 11:27 PM

twitterのフォロワーになってくれる奇特な方募集中。
現在3名。
http://twitter.com/a_micchan

| diary/memo | comments (0) |

続・ネットの中にはカモが(ry

2010.01.11 Monday 10:30 PM

前回記事で対策としてあげた「掲示板でしか交渉不可とする」形式の最大の難点は、

　　譲渡者・購入者それぞれの個人情報を
　　サイト管理人に公表しないといけない

ことでした。
いくらサイト管理人とは言え、会った事も無いような人に、
個人情報バラバラと言える人が今の時代どれだけ居るのかと。

他にも細かい難点はいくつかありまして。

（１）メールアドレスの書き込みを防止しきれない
（２）どこかで掲示板外でのやり取りがどうしても必要になる

（１）ですが、交渉のブラックボックス化を防ぐためには
「メールアドレスの記入」を禁止させる必要があります。

しかし、CGIスクリプトの機能でメールアドレス形式の文字列を
記入禁止にしたところで、「(ID名)あっとドコモ」なんて書き方を
されてしまったらどうしようもありません。

（２）は言わずもがなですな。

とは言え「同時並行交渉をかなり防げる」というのは大きいのではと思います。
チケット掲示板を設置するとほぼ100％詐欺場として使われると言ってもいい
現状では、被害者数を劇的に減らす効果はあるでしょう。

他いろいろ調べていて気づいたのは、

・詐欺師の対応次第では詐欺罪不成立（民事である債務不履行）になる可能性がある
　- 少なくとも、公演当日までは詐欺罪が成立しない
　- その後、ちょっとだけ返金するというパターンがある！
　- そのため、騙す意図があったことを被害者側が立証する必要がある
・数十万（数十人）程度の被害では被害届すら受理してもらえなくなって来ている
・その結果、やはり泣き寝入りは相当多い
・代引き郵便を使ったら、後日チケットがニセモノだったことが判明するパターンもある
・最初は対面手渡しでOKを出すものの、ありえない手渡し条件を提示され、口座振込みに
　変更されてしまうパターンもある
・たまに『紆余曲折を経て被害届を出しました』と書いてあるblogがあるけど、
　提出後の続報が出てくることがまずない。

こんなところかな。だいぶ手口が進化してきている感があります。
どっかのニュースで「振り込め詐欺の検挙率が78％になった」って報道があったけど、
チケ詐欺は警視庁の中では振り込め詐欺に含められていないので、
検挙率を知りうる方法は無く・・・。

今やそこらへんの素人でも出来る、詐欺入門的な存在と化してしまったチケ詐欺。
結局は「ネットで売買しない」以上の対策がないことを再認識。
撲滅するためには、ネット上での匿名性破棄くらいしかないのではないかと思います。

いじょう（－－

| society | comments (0) |

誘惑に負けた大先輩からのメッセージ

2010.01.11 Monday 08:49 PM

・175R・SHOGOが成人式で「誘惑に負けるな」

SHOGO大先生のこれまでの人生（－－）ノ

　　ツアー中の絵理子を孕ませる
　　　　　　　↓
　　仕方なく結婚
　　　　　　　↓
　　生まれて来た子供がなんと聴覚障害者
　　　　　　　↓
　　そこらへんのグラドルと浮気
　　　　　　　↓
　　その後離婚。浮気相手のグラドルは引退に追い込まれる

・・・誘惑に負けた大先輩の一言は重い。

あ、ワタシですか？誘惑してくれる人が居ません＞＜

| entertainment | comments (0) |

ネットの中にはカモがいっぱい

2010.01.08 Friday 12:54 AM

とあるきっかけで、久々に「チケット詐欺」についていろいろ調べてました。
あ、自分が詐欺事件の当事者になったわけではないので念のため。

調べていて思ったことは、事例が年々増える一方・・・ということと、
現場となる「掲示板」が、オープンな場所からSNSにかなり移行していること。

事例が増える一方であることの大きな原因は、
SNSでのやりとりが増えていることだと見ています。

この手の詐欺が防げない一番の問題点は、最初の掲示板カキコミ以降は
管理者や他の人達からは一切見えない「メール」によるやりとりになってしまうこと。
だから同時並行で何十～何百人にも上る「ニセ取引の交渉」が発生していても、
詐欺をやる人以外はそれを把握する事が出来ない。詐欺である事が確定するまでは。

なので、掲示板管理者視点からの「防止策」は、
『掲示板でしか交渉できないようにする』
ことになるんだけど、SNSの掲示板ではそういう仕組みは作れない。

管理者がどこかでサーバを借りて、CGIの掲示板を作りこむ必要がある。
こんな仕様になるかな。

・スレッド式の掲示板を作る。
・チケ譲渡先を探す人が親記事を投稿する。
・投稿された記事上に交渉開始ボタン（のようなもの）を用意する。
・それを押すと交渉が開始されたとみなし、以降は交渉成立まで
　「親記事投稿者」「交渉開始ボタンを押した人」「管理者」以外は
　該当スレッドの全記事を閲覧不可とする。
　（同時並行交渉の防止＋個人情報保護のため）
・交渉が終了したら、交渉結果を「ボタンを押した人」が記入する。
　→「交渉成立」の場合はスレッド終了。
　　不成立の場合は、スレッドを交渉前の状態に戻す。

これでも100％防げるわけではないけど、ネット掲示板を経由するチケ詐欺は、
１つの案件（ターゲットになるライブイベント）に対して「被害者が１人のみ」と
なることはまずないので、ほとんどの案件で防ぐ事が出来るかと。

その理由は、まず掲示板管理者が交渉状況を監視できる事。
おかしいな？と思ったら、管理者権限で交渉を打ち切ることが出来ます。

また１人あたりの被害額が少なく、人数を稼ぐ必要があるこの手の詐欺では、
同時並行での交渉が出来ない場所へは、詐欺師は来なくなるでしょう。

ついでに。
掲示板利用者視点では「絶対先に金を振り込まない」という手段があるんだけど、
これには２つ難点があります。

　１）「チケ取れなかったけどどうしても行きたい」という心理状態では、
　　このセオリーを忘れてしまうことが多々ある。
　２）「逆チケ詐欺」（チケだけもらって金を渡さない）の発生懸念有

１）ですが、掲示板でいくら注意喚起しても、交渉がメールの場に移れば
利用者は掲示板を見なくなってしまうので、喚起効果がなくなってしまいます。

２）は、こういう手が取れるのかー、と個人的に感心しました。
ペアチケット５セット（１０枚）くらいかき集めて、オークションで売り払えば
簡単に数十万は稼げるよねえ。自分はやらんけど。

・・・というわけで、チケット掲示板を作りたいと言う（ある意味）猛者の方には
「レンタルサーバを借りて、CGIで掲示板作りこみ」という手を推奨したいんだけど、
こんな手間かけて作りこむ人は・・・今の時代は居ないだろうねえ・・・。

この方式には大きな利用上の難点が１つだけあったりするし。
あえてここでは言わないけど。

ま、気が向いたらこれ用のCGIスクリプトを作ってみますわ。
完成目標は２１世紀中。

おしまい（－－

| society | comments (0) |

ラピュタ・チャントはJ1に

2010.01.05 Tuesday 01:33 AM

・湘南ベルマーレ社長日記特別編

J1復帰を決めた当日の手記。
12/5当日にどんな準備をして、どんな思いで居たかを
読み手を引き込むように綴っています。

一昔前にサイトのネタ作り＋αとして３～４回平塚に行ってた時は
何の強みもないJ2下位クラブだったんだけどねえ。

当時と比べてかなりリズメディア色が弱くなり、
平塚競技場に若手アーティストを派遣することが無くなってから
J1復帰となったのは、やや皮肉かも。

それはさておき、昨年キャリアハイを迎えた坂本が
J1でどこまで通用するか楽しみです。

あ、でも横浜と山形のJ1クラブに勝ち点はくださいね。|( -_☆)ｷﾗﾘﾝ

| soccer | comments (0) |

なんとなく

2010.01.01 Friday 12:58 AM

あけました。おめ(ry

なんとなくサイトタイトル変えました。
10年以上前の使い回しです。

「Crude Cage」より1世代前のサイトタイトルが思い出せません。
特にタイトル無かったかも知れんけど。
あちこち手を出してたあの頃からもう10年か・・・。

ま、よろしく。

| diary/memo | comments (0) |

Crude Cage - 2nd.blog

MS社の小さな親切・大きなお世話

今週の逆ギレ

奥さん、事件です

一応募集

続・ネットの中にはカモが(ry

誘惑に負けた大先輩からのメッセージ

ネットの中にはカモがいっぱい

ラピュタ・チャントはJ1に

なんとなく

MODE▼

NEW ENTRIES

CATEGORIES▼

PROFILE▼

CONTENTS

Twitter Updates▼

ARCHIVES▼

OTHER▼

POWERED BY