情報処理B(長嶋)

  • シラバス(一部変更していきます(^_^;))

  • 履修登録に関する告知 (2003.06.24)
  • 抽選結果の告知 (2003.10.05)
  • 「10/12に遅刻欠席しなければ受講許可される」と告知された学生
      		0321003		0321006		0321014		0321023		0321025		0321039		0322002
      		0322008		0421004		0421007		0421009		0421012		0421013		0421017
      		0421018		0421021		0421023		0421035		0421039		0421040		0421042
      		0421044		0421048		0422001		0422002		0422003		0422004		0422006
      		0422007		0422008		0422010		0422012		0422013		0422015		0422016
      		0422019		0422021		0422022		0422023		0422024		0422025		0422026
      		0422027		0422028		0422029		0422030		0422031		0422032		0422034
      		0422035		0423003		0423010		0423012		0423017		0423018		0423019
      		0423020		0423024		0423027		0423031
      
  • 「実際に10/12に遅刻欠席しなかった学生」+「キャンセル待ちで合流した学生」
     (09:06:11 集計) → 最終的な受講許可者(^_^)
       下記に入っていないのに教務にマークシートを出した学生の登録は抹消されました
      	0321014		0321025		0321039		0322008		0421004	
      	0421007		0421009		0421012		0421013		0421017
      	0421018		0421021		0421023		0421039		0421040
      	0421042		0421044		0421048		0422002		0422003
      	0422004		0422006		0422007		0422008		0422010
      	0422012		0422013		0422015		0422016		0422019
      	0422021		0422022		0422023		0422024		0422025
      	0422026		0422027		0422028		0422029		0422030
      	0422031		0422032		0422034		0422035		0423001
      	0423003		0423010		0423012		0423017		0423018
      	0423019		0423020		0423024		0423027
      

  • 話題メモ
    • 1週目(10/5)
      • (この日は受講登録受け付けのみ(^_^;))

    • 2週目(10/12)
      • 講義のローカルルールについての確認
      • 講義の準備
        • デスクトップの3点セットを用意
          • エクスプローラ(IEではないので注意 !)
          • Netscape
          • 秀丸エディタ(メステならメモ帳)
        • エクスプローラの設定
          • IEなどは絶対に開かないこと
          • 隠し事は災いの元(^_^;)
          • 全ての拡張子を表示する
      • 本日のキーワード
        • プラットフォーム
        • CPU
        • OS
        • HTML
        • IPアドレス
        • ドメインネーム
        • メイル
        • URL
        • Webサーバ
        • プロキシサーバ
        • ファイル名
        • ディレクトリ
        • 文字コード
        • セキュリティ
        • プライバシー
        • 知的財産(著作権・工業所有権)
      • 大事なお話
        • 「Windows+IE+Outlook+Word」な人はいつ死んでもおかしくない
        • インターネットには「匿名」は無い
        • イケナイ事をしてはいけない、というお話
        • 今後の講義の進め方、質問について
      • ホームページの作り方 Part1
        • 目標は「HTMLソースを読める」こと! (ツールで作るのは猿でも出来る)
        • 「SUAC内」(www.is.suac.ac.jp)と「SUAC外」(www.suac.ac.jp)の区別
        • ホームページの学内発信→HTMLファイルをQドライブの「public_html」フォルダに置く
        • デフォルトのHTMLファイル名「index.html」「index.htm」

    • 3週目(10/19)
      • ある先輩のお話(就職活動にWebテクニックが生きた(^_^))
      • セキュリティのお話(ここ2ヶ月ほどのニュースより)
        - Windowsに緊急7件、重要3件の脆弱性 - 早急のパッチ適用が必要 (10月14日21時38分)
        - マイクロソフト、10月度の月例セキュリティパッチを公開 (10月13日20時22分)
        - IEの累積的セキュリティ修正パッチが深刻度“緊急”で公開 (10月13日15時30分)
        - Microsoft、10月の月例セキュリティ情報は深刻な内容多数(10月13日14時5分)
        - マイクロソフト、Internet ExplorerやWindowsなど11本の修正プログラムを公開 (10月13日12時39分)
        - マイクロソフト、新たに22件のセキュリティ欠陥を警告(10月13日10時45分)
        - MS、「緊急」のIE脆弱性などセキュリティ情報10件公開(10月13日8時57分)
        - 約2年前に公開されたIEの脆弱性を修正するパッチが不完全である問題 (10月12日23時30分)
        - OfficeやWordにバッファオーバーフローの高危険度な脆弱性 (10月8日19時30分)
        - MS Wordに深刻な危険を伴う脆弱性 (10月8日9時5分)
        - Word 2000/2002に新たな脆弱性、パッチはまだ「なし」 (10月8日9時5分)
        - JPEG画像ウイルス、通常の対策ソフトでは手に負えない可能性も(9月30日8時45分)
        - JPEG画像でコンピューターを乗っ取り、新たな脅威に警告 (9月29日16時50分)
        - Microsoft社のJPEG処理の脆弱性を突くJPEGファイル作成ツールが登場(9月27日17時47分)
        - マイクロソフト:「安全なIEは、XPへの有料アップグレードで」(9月27日14時12分)
        - JPEG画像に要注意--Windowsソフトの欠陥を悪用するコード、ネットに出回る(9月24日10時21分)
        - Windows PCのJPEGフォーマット処理方法に重大な欠陥 (9月15日10時18分)
        - 『WinAmp』のスキン機能に深刻な脆弱性(8月27日12時22分)
        - IEだけを使っているユーザー、1年で12.6ポイントの減少(8月25日14時8分)
        - IEに欠陥--Windows XP SP2適用後も悪質プログラムに感染 (8月23日0時52分)
        - 『Download.Ject』攻撃の変種、IM ネットワークを通じて感染 (8月21日22時49分)
        - 『IE』のドラッグ&ドロップ機能に脆弱性(8月20日11時35分)
        - Windows XP SP2にさっそく脆弱性--セキュリティ専門家らが指摘(8月19日12時15分)
        - 『Windows XP SP2』に早くも脆弱性か(8月19日11時44分)
        - 本当にLinuxより安全か--ロンドン・ニューハム地区、マイクロソフト採用で波紋(8月17日18時42分)
        - マイクロソフト、Exchange 5.5の脆弱性を修正 (8月11日19時6分)
        - Microsoft、8月の月例セキュリティ情報を公開 (8月11日12時42分)
        - IBM、Windows XP SP2の導入に「待った」--社内向けに通達(8月10日10時51分)
        - 『XP SP2』が『Microsoft CRM 1.2』の動作に悪影響((8月4日12時13分)
        - マイクロソフト、IEの脆弱性を修正する緊急パッチをリリース(8月2日8時30分)
        - MS、月例スケジュール外の IE 用「緊急」パッチを予定通り公開(7月31日10時33分)
        - IEに悪意のあるGIFやBMPを開くとリモートからコードが実行される脆弱性(7月31日5時48分)
        - Microsoft、月例スケジュール外で緊急パッチを公開予定(7月29日12時44分)
        
      • ホームページの作り方 Part1 (続)
        • 上手いHPテクニックは「ページのソース」でイタダキ(^_^)
        • 「文字(コード)」に注意すること
        • 全角文字と半角文字、半角カタカナは常に厳禁 !!
        • ファイル名には「半角英数字」だけを使う
        • ファイル名には日本語厳禁(自分では見えてもサーバに置いたら見えなくなる)
        • ファイル名には「スペース」も厳禁(全角も半角も)
        • ファイル名のピリオド以降を「拡張子」と言う
        • HPのHTMLソースはNetscapeの「ページのソース」で必ず見える(秘密にできない)
        • (半角英字で)大文字と小文字を区別する場合(Unixのファイル名/Java)と、しない場合(タグ、パソコンのみ)がある
        • デフォルトのHTMLファイル名「index.html」「index.htm」
        • タイトルは単なる題名でなく、ブックマークのリストとなるので重要
        • タイトルは「半角英数字」だけを使う、という習慣がお薦め
        • BODYタグのオプション(1) 背景色とテキスト色、光の3原色、16進数表現

    • 4週目(10/26)
      • ホームページの作り方 Part1 (続々)
        • BODYタグのオプション(2) 背景画像
        • 画像データについて
          • 「色」と「光」
          • タテとヨコの比(アスペスト比)
          • 画面の解像度(VGA,SVGA,XGA,SXGA,...)
          • スクリーンショットは画素ごとにカラー値を持つ。BMP,PICT,RGB。
          • これをインターネットでは圧縮されたJPG(JPEG)かGIFに変換して利用する。(PNG)
          • 静止画データの使い分け : JPG
          • 静止画データの使い分け : GIF
          • 静止画データの使い分け : PNG
          • ホームページ上に見える画像は全てイタダキ可能。ただし著作権と肖像権を 十分に考えること。(^_^;)
        • 背景画像は配色、コントラストなどに注意
        • デジカメは毎回持参する。15台しかない。接続できるパソコンも15台。
        • デジカメの解像度設定に注意。ポスターやカレンダーでもないのに巨大なデータに するのは、どうせ後で縮小するのでまったく無意味。
        • 賢いデジカメの選び方
        • ケータイからの画像利用
        • 「著作権フリー素材集」の活用
        • 透明色指定により画像の後ろの背景色が見える
        • 背景をアニメーション画像にすれば騒然とした画面もできる(^_^;)
        • 「ルーブルのモナリザ」と「SUACのモナリザ」
        • HTMLの考え方について(再考)
        • 水平線について
        • 水平線の長さを絶対値ドット数として指定することとパーセント指定することの意味
        • センタリング
        • 強制改行
        • 段落
        • 「強制改行」の連打
        • 「段落」の連打
        • HTMLの発想を強制停止させる「PRE」タグの使用には注意を
        • フォントサイズ
        • フォントカラー
        • 「見出し」は「フォントサイズ」+「段落」+「強調」
        • 強調(ボールド)
        • 「ブリンク」: HTMLに最初から備わっている「動的な表示」
        • いろいろな文字表現属性タグ
      • ホームページの作り方 Part1は今週で終わりです。 残った部分は宿題として自分でやって下さい。来週以降はここまでの内容がマスターされている事を前提として進めます。

    • 5週目(11/2)
      • 「HTMLからハミ出す技術」などについて
        • OSとブラウザとコンテンツの関係
        • ブラウザ内部処理されるコンテンツ
        • プラグイン、Flash、Acrobat
        • Java
        • 外部アプリケーション
        • JacaScript
        • スタイルシート
        • クッキー
        • ブラウザのユーザが設定する項目
        • 最終課題で「使うと減点」される項目
      • HTMLの基本タグについての確認事項
        • <HTML></HTML>のペアは全体で1組だけ
        • その中に<HEAD></HEAD>のペアも1組だけ、タイトルはここに入れる
        • あとは<BODY></BODY>のペアも1組だけ、本文はここに入れる
        • 他のタグはBODYタグの範囲の中で何組あってもよい
      • ホームページの作り方 Part2
        • 箇条書きについて
        • ブロック引用
        • インラインイメージ
        • 画像と文字、キャプションなど
        • リンク : HTMLの最大の本質
        • リンクカラーの設定(BODYタグで)
        • リンクカラーの設定(FONTタグで)
        • 「隠しリンク」の例(^_^;)              
        • リンクボタン = 「リンク」+「インラインイメージ」
        • リンクボタンのBORDER
        • ページ内リンク(Aタグのオプション)
        • メイルをいただく方法(注意点もあり!)
        • 「HTMLエンティティ化」について
        • ターゲットウインドウを開く
        • ダイナミックドキュメント
      • 翌週までの宿題は以下です。
        • ここまでの内容を自分なりに理解して使えるように「復習」しておくこと
        • 今後の教材として必要になるので、著作権/肖像権などの問題のない、「500*350ドット」程度の大きさのGIF画像またはJPG画像をQドライブに用意しておくこと

    • 6週目(11/9)
      • 今週のセキュリティ(いつもの話題(^_^;))

        報道1 IEの欠陥をつくエクスプロイトコードが登場--深刻度は最高レベルに

         Internet Explorerのなかにある重大な欠陥が見つかったが、これを悪用するプログラムが公開されたことでこの脆弱性の脅威が高まっていると、セキュリティ研究者らが米国時間4日に警告を発した。
         セキュリティ情報プロバイダーのSecuniaは、新たに公開した勧告のなかで、バッファオーバーフローを引き起こすこの欠陥について、深刻度を同社の最高レベルまで引き上げている。2日に公表されたこの脆弱性が悪用されると、Internet Explorerが特別にフォーマットしたウェブページを読み込んだ際に、悪質なプログラムを起動してしまうという。なおWindows XP Service Pack 2を適用したPCでは、この欠陥による影響はないとSecuniaは説明している。
         「実際に動作する悪用コードが公開メーリングリストで配布されていることから、この欠陥は『極めて深刻』といえる」(Secunia)
         Iframeと呼ばれるこの欠陥は、Internet Explorerに関する一連のセキュリティ問題の最新のもの。MicrosoftはInternet Explorerを利用した詐称テクニックを「欠陥」でかたづけられるのかどうかという論争にも巻き込まれている。先月にはセキュリティベンダー各社が、Microsoftのブラウザをはじめとする主要ウェブソフトに見つかった一連のセキュリティホールに関して警告を発していた。
         Microsoftは、CNET News.comに宛てた電子メールによる声明のなかで、同社ではIframeの脆弱性に関する調査を開始しているものの、この欠陥を悪用するプログラムはまだ確認していない、と述べている。  「Microsoftは、この調査が完了した時点で顧客を守るべく適切な対策を講じる。顧客のニーズに応じて、月次リリースプロセスもしくは緊急セキュリティアップデートによる修正提供などを考えている」(同社の声明)
         同社はまた、この脆弱性が自社への通知前に一般に公表されたことを問題視している。
         「Microsoftは、Internet Explorerの新たな脆弱性に関する報告が迅速に明らかにされず、コンピュータユーザーが危険にさらされるおそれがあったことを懸念している」(同社の声明)
         現時点でユーザーが採れる選択肢はふたつある。Windows XP SP2を適用するか、それとも他のブラウザを使用するか、どちらかだ。
         米国のComputer Emergency Readiness Team (US-CERT)でも、政府や企業ユーザーに対してIframeの欠陥に関する警告を発している。同団体の勧告によれば、この問題の原因はInternet Explorerがあるフレームのアトリビュートを処理する際のやり方にあるという。フレームを使ったウェブページでは、別のブラウザ画面にコンテンツが表示される。
         US-CERTはこの警告のなかで、Active Xを利用する他のプログラムがこの脆弱性の影響を受ける可能性があるとも述べている。影響を受けるプログラムのなかには、MicrosoftのOutlookおよびOutlook Express、AOLのウェブブラウザ、そしてLotus Notesが含まれている。

        報道2 Internet Explorer 6にバッファオーバーフローを引き起こす深刻な脆弱性

         デンマークのセキュリティベンダーであるSecuniaは、Internet Explorer 6(IE6)に任意のコードが実行される脆弱性があると発表した。Windows XP/2000上で確認されており、危険度は最も高い“Extremely critical”。なお、Windows XP SP2のIE6では脆弱性を確認できなかったという。
         今回の脆弱性は、インラインフレームのHTMLタグ「IFRAME」の処理において境界エラーが発生してしまうことが原因だ。IFRAMEタグのSRC属性とNAME属性において、長すぎる文字列が含まれる場合にバッファオーバーフローが引き起こされるという。悪意のあるHTMLドキュメントを通じて攻撃された場合、外部から任意のコードが実行されてしまう可能性がある。
         Secuniaによれば、セキュリティ関連のメーリングリストではこの脆弱性を狙った攻撃コードもすでに公開されているとし、危険度を最も深刻な“Extremely critical”と評価。マイクロソフトは「メーリングリストなどで情報は確認した。現在調査を進めているところだ」とコメントしている。

        報道3 Internet Explorer にまたも脆弱性

         世界で最も普及している Web ブラウザに、またしても複数の脆弱性が見つかっている。最も普及しているブラウザとは、もちろん Microsoft ( NASDAQ:MSFT ) の『Internet Explorer』(IE) のことだ。
         2日の午後遅く、ドイツのセキュリティ専門家 Benjamin Tobias Franz 氏は、IFRAME タグに関して、IE に URL 偽装攻撃を許す可能性のあるバグが見つかったと 報告した 。この脆弱性を突けば、マウスなどでリンクにフォーカスした際、実際の飛び先とは異なる URL を、ステータス バーに表示させることが可能という。
         同氏は、セキュリティ関連のメーリングリスト『 BugTraq 』に寄せた投稿で、「この脆弱性を悪用すれば、ActiveScript (JavaScript) を無効化していても、ステータス バーに表示する URL を偽装できる」と述べた。
         また、セキュリティ問題の専門家 Gilbert Verdian 氏は、同じ手法による URL の偽装が、『Mac OS X』上で動作する Apple の Web ブラウザ『Safari』でも可能だと 報告 している。
         Microsoft の広報担当は取材に対し、同脆弱性の悪用事例やユーザーへの影響については現時点で報告を受けていないが、同社は公開の場に出た報告を、精力的に調査していると語った。
         「調査が終了した時点で、当社はユーザーを護るために適切な措置を取る。月例更新を通じて修正プログラムを公開するなり、顧客の要望次第では、月例サイクル以外で個別に対応する」と広報担当は述べた。
         一方、セキュリティ調査会社の Secunia も、IE で IFRAME タグを用いてバッファオーバーフローが発生し得る脆弱性について報告を受けたとして、2日に セキュリティ勧告 を出した。同脆弱性の悪用例はすでに存在し、攻撃対象のパソコンで任意のコード実行が可能という。
         同社はこの脆弱性の危険度を、5段階評価で最大とする評価を下した。
         勧告では問題の脆弱性について、「IFRAME タグの特定の属性を処理する部分にバウンダリ問題があり、これが原因となっている。IFRAME タグの SRC や NAME 属性に、過度に長い文字列を意図的に仕込んだ HTML ドキュメントを利用して、バッファオーバフローを発生させることができる」と述べている。
         なお Secunia の勧告によると、『Windows XP』の SP2 適用版は同脆弱性の影響を受けないという。
      • 先週の補遺 - 「隠しリンク」の例(1)        
      • 先週の補遺 - 「隠しリンク」の例(2)      
      • ホームページの作り方 Part3
      • イメージマップ(クリッカブルマップ)について
        • クリッカブルマップの実現手法のいろいろ
          • CGIによる方法
          • Javaによる方法
          • JavaScriptによる方法
          • Shockwave/Flashによる方法
          • クライアントサイド・イメージマップによる方法
        • クライアントサイド・イメージマップを作ろう
          • 画像を用意する
          • マップに使う座標をメモする
          • マップの定義
          • マップ画像の配置
      • コメント
      • 強制非改行
      • 半角不等号を表示する特殊な方法
      • 上付き文字・下付き文字
      • 翌週までの宿題は以下です。
        • 「クライアントサイド・イメージマップ」の手法による、オリジナルのイメージマップを作成して下さい。これは最終課題で必須条件の一つとして盛り込まれる可能性がとても高いです。ツールに頼らず、イメージマップの部分はHTMLの手作業で行って下さい。
        • ここまでの内容を自分なりに理解して使えるように「復習」しておいて下さい。

    • 7週目(11/16)
      • ホームページの作り方 Part4
      • テーブル(作表)
      • フォーム(ユーザの入力を送信してもらう機能)
      • フレーム
      • プラットフォームとエミュレーションの話
      • Javaの話 Part1
        • Javaの特徴1 「プラットフォーム非依存」
        • Javaの特徴2 「インターネットに対応」
        • Javaの特徴3 「セキュリティに対応」
      • 翌週までの宿題は以下です。
        • HTMLで書いたページの中に、オリジナルのテーブルを用いて下さい。これは最終課題で推奨条件の一つとして盛り込まれる可能性がとても高いです。ツールに頼らず、テーブルの部分はHTMLの手作業で行って下さい。
        • フレームはoptional(基本的には不要)とします。最終課題には「フレームは使わないこと」と条件が付く可能性が高いですので、興味のある人だけが深入りして下さい。

    • 8週目(11/30)
      • 今週のセキュリティ(いつもの話題(^_^;))

        報道1 IEに中程度の脆弱性、SP2のセキュリティ回避の恐れ

         Internet Explorer(IE)で新たに2種類の脆弱性が報告されたとして、セキュリティ企業のSecuniaが11月17日、アドバイザリーを公開した。Windows XP SP2のセキュリティ機能が回避されてしまう恐れがあるという。いずれも深刻度は中程度と評価している。
         XP SP2ではセキュリティ機能として、ダウンロードしたファイルをユーザーが開こうとすると警告メッセージが表示される。しかし、特定の状況下で、細工を施した「Content-Location」HTTPヘッダを使ってダウンロードしたファイルが送られると、このファイルが開かれてもセキュリティ警告が表示されないという。
         もう一つの脆弱性は、Javascriptの「execCommand()」機能を使って特定の文書を保存しようとするとエラーが発生し、これを悪用されると「HTML文書を保存する」のダイアログで偽のファイル拡張子を使われる恐れがあるというもの。ただ、これを悪用するためには、「既知のファイルタイプは拡張子を隠す」オプションになっている必要がある。
         この二つの脆弱性を組み合わせると、悪質なWebサイトでユーザーをだまし、HTML文書を装った不正な実行可能ファイルをダウンロードさせることが可能になるとSecuniaは警告。
         同社は完全にパッチが当てられたIE 6.0とWindows XP SP2でこの脆弱性を確認。回避策として、Active Scriptingのサポート停止し、「既知のファイルタイプは拡張子を隠す」のオプションを外すことを推奨している。

        報道2 IEに新たに3つの脆弱性--2カ月間で19件が明らかに

         セキュリティ情報プロバイダのSecuniaは米国時間17日、Microsoft IEバージョン6の脆弱性が今週新たに3つ発見されたことを明らかにした。これにより、ここ2カ月間で明らかにされたIEの脆弱性は、Microsoftが10月の定例パッチで修正した8件を含め、19件に達した。
         Secuniaによると、これらの脆弱性は2人の研究者が別々に発見したものだという。このうちの2つの脆弱性を悪用すると、ファイルに有害なプログラムが含まれる可能性を警告するWindows XP Service Pack 2(SP2)の機能を迂回できてしまうとSecuniaは述べた。また、3つめの脆弱性を利用すると、攻撃者はサイトのCookieを上書きしてセッションをハイジャックすることが可能になるという。この問題は、認証時のセキュリティに不備があるサイトで発生する。
         Secuniaはこれらの脆弱性を、それぞれ「やや深刻」と「深刻ではない」に分類している。
         MicrosoftはCNET News.comに送付した声明のなかで、「現時点では、脆弱性を利用した攻撃や被害について報告を受けていない。しかし、われわれは公開された報告をもとに調査を進めている」と述べている。
         Microsoftはユーザーに対し 同社のセキュリティ情報サイト か、個人ユーザー向けの PC Protectサイト を参照するように勧めている。またその一方で同社は、問題解決にあたる時間を同社に与えず、欠陥を突然発表したとして、研究者らを非難した。
         「Microsoftは、IEの脆弱性が責任ある形で報告されず、ユーザーを危険にさらす結果になってしまったことを遺憾に思う。脆弱性はベンダに直接報告するのが常識で、これが誰にとっても最善の方法である」(Microsoft声明)
         しかし、セキュリティ研究者やハッカーらは、同社によるいつもの非難声明を気にもとめていない。彼らはここ2カ月の間、Internet Explorerの重大な脆弱性や、Windows XP SP2のセキュリティ欠陥を多数発表している。
         発表されたIEの重大な脆弱性を悪用したウイルスも既に出現している。

        報道3 IEに「警告回避」と「拡張子偽装」の脆弱性〜Secuniaが指摘

         デンマークのセキュリティベンダーであるSecuniaは17日、Internet Explorer(IE)の脆弱性2件を公表した。いずれも危険度は5段階中3番目の“Moderately critical”。セキュリティ修正プログラムをすべて適用したWindows XP SP2上で動作するIE6で確認したという。
         Windows XP SP2上のIEを利用して特定のファイルをダウンロードしようとすると、警告メッセージが表示される。1件目の脆弱性を悪用すると、こうした警告メッセージが表示されないように、ダウンロードされるファイルのHTTPヘッダの「Contain Location」に細工できるという。
         2件目の脆弱性を悪用すると、不正なファイルが拡張子を偽装できる。IEの初期設定では、「既知のファイルタイプの拡張子を隠す」という設定だが、JavaScript機能の「execCommand()」を使って偽装が可能だとしている。
         Secuniaでは、2つの脆弱性を組み合わせることによって、悪意のあるWebサイトがユーザーを騙して、HTMLファイルに偽装した危険なファイルを実行させてしまう可能性があると解説。回避策としては、アクティブスクリプトと「既知のファイルタイプの拡張子を隠す」設定を無効にすることを挙げている。なお、マイクロソフトでは、この件について「調査を進めているところだ」としている。
         このほかSecuniaでは、IEのCookieが上書きされてしまう脆弱性を公表。ただし、こちらの危険度は5段階中もっとも低い“Not critical”。Windows XP SP2を適用するか、必要な場合を除いてCookieを無効にすることで回避できる。

        報道4 Windows XP SP2上のIEに悪意のあるファイルを知らぬまに実行させられる脆弱性

         デンマークのセキュリティベンダー会社Secuniaは17日(現地時間)、Windows XP SP2上のIEにファイルをダウンロードする際に発生する2件の脆弱性があることを公表した。
         1つ目の脆弱性は、HTTPヘッダー“Content-Location”内に特別な細工が施されたファイルをダウンロードする際に、警告ダイアログが表示されることなくそのファイルを開いてしまうというもの。また2つの目の脆弱性は、Javaスクリプトの“execCommand”関数を悪用し、攻撃者が拡張子を偽装した状態でユーザーに悪意のあるファイルを保存させることができるというもの。
         1つ目の脆弱性に関しては回避方法が示されていないが、2つ目の脆弱性は、IEの“アクティブ スクリプト”機能を無効にするとともに、エクスプローラのフォルダ オプション画面で全ての拡張子を表示するように設定すれば回避可能。
         なお、上記2件の脆弱性を組み合わせることで、警告ダイアログを表示することなく、HTMLファイルに偽装した実行ファイルをユーザーのパソコン上で実行できるとのこと。
      • Cookieの話
      • Javaの話 Part2
        • Javaの実現メカニズム
        • Javaの2種類のoutputと「アプレット」
        • Javaの活用法
      • 「一般のフリーサーバにWeb領域を持つ」

    • 9週目(12/7)
      • 今週のセキュリティ(いつもの話題(^_^;))

        報道1 マイクロソフト、IE用パッチを臨時リリース--iFrameの脆弱性を修正

         Microsoftは1日(米国時間)、Internet Explorer(IE)の脆弱性を修正するパッチをリリースした。この脆弱性は1カ月前に見つかり、ウイルス感染やバナー広告攻撃に悪用されていたものだ。
         これまでiFrame脆弱性と呼ばれていたこの脆弱性について、MicrosoftではInternet Explorer Elementsの欠陥という呼び方をしている。この問題は、ユーザーが管理者権限でログインすると、そのユーザーのPCが攻撃者に乗っ取られるおそれがあるというもの。大半の個人ユーザーは、管理者権限でWindowsにログインしている。なお、この脆弱性はMicrosoftのWindows XP Service Pack 2(SP2)を適用済みのシステムには影響しない。
         Microsoftの関係者は、この脆弱性を利用した悪質なソフトウェアが、WindowsユーザーのPCに侵入する事件がすでに起きているため、Microsoftはこのアップデートを次回の月例パッチ公開日(12月7日)を待たずに公開した、と説明している。
         Microsoftのセキュリティ対応センターでセキュリティプログラムマネージャーを努めるStephen Toulouseは、「我々は顧客に影響が及んでいる場合や、活発な攻撃が見られる場合などには、臨時にパッチをリリースする」と述べた。
         この脆弱性が悪用されると、ユーザーが単純なリンクをクリックした際に、攻撃者にコンピュータを乗っ取られるおそれがある。攻撃者はそのコンピュータの完全な権限を入手できるので、プログラムのインストールやデータの閲覧/変更/削除、新規アカウントの作成などを行なえてしまう。
         この脆弱性に関するニュースがセキュリティ関連の公開メーリングリストに最初に投稿されてから、今回パッチがリリースされるまでに、1カ月以上の時間が経過している。Microsoftはこの投稿を批判し、公開フォーラムに問題を発表する前に、同社に問題修正の時間を少なくとも30日与えるようセキュリティ研究者らに説得することとなった。
         このIEの欠陥は、オンライン犯罪者らがユーザーのコンピュータを乗っ取るために、最新の脆弱性を積極的に利用していることを浮き彫りにした。
         11月始めにインターネット上に出現した2つのコンピュータウイルスは、IEの脆弱性を利用し、ユーザーが単純なウェブリンクをクリックするとPCに感染する仕組みになっていた。ウイルス対策メーカー各社がBofra.AとBofra.Bと呼ぶこれらのウイルスは、MyDoomのソースコードをベースにつくられたものだった。
         さらに先週には、広告配信企業Falkのサーバのうち、少なくとも1台がオンライン侵入者に乗っ取られ、同社のサービス顧客が攻撃を受けるという事件があった。対象となった顧客には、IT関連ニュースサイトのThe Registerなどが含まれていた。
         IE Elementsの欠陥は、IEバージョン6がインストールされているコンピュータに影響する。ただしSP2にアップグレードされたコンピュータには影響がない。Windows XPの最新バージョンとなるSP2は、これまでに1億3000万回以上ダウンロードされたとMicrosoftのToulouseは述べている。

        報道2 IEに緊急の脆弱性 - Webサイト/HTMLメール閲覧だけで攻撃される

        マイクロソフトは、Internet Explorerに存在する脆弱性を解消する緊急の修正パッチをリリースした。IEがHTMLの「IFRAME」「FRAME」要素の扱いに問題があり、リモートでコードが実行される、というもの。危険度を表す最大深刻度は最も高い「緊急」。対策は修正パッチを適用すること。
        今回の脆弱性の影響を受けるのは、Windows 98/98SE/Me/NT4.0 SP6a/NT4.0 Terminal Server Edition SP6/2000 SP3/2000 SP4/XP SP1/XP 64-Bit Edition SP1。XP SP2やWindows Server 2003、およびそれぞれの64-Bit Editionは影響を受けない。
        IEには、HTMLでフレームページを作成するための「FRAME」と「IFRAME」要素を処理する際の未チェックのバッファがあり、これを悪用したWebサイトやHTMLメールを閲覧した場合に攻撃を受ける可能性がある。
        攻撃が成功すると、ユーザーと同じ権限が攻撃者に取得され、管理者権限を持つユーザーでログインしている場合、そのマシンの完全な制御が奪取される危険性が存在、プログラムのインストールやデータの表示・変更・削除など、ありとあらゆる攻撃がリモートから実行できてしまう。
        今回の脆弱性は11月にはすでにインターネット上に出回っており、すでに攻撃コードや脆弱性を悪用したウイルスも登場していた。
        この修正パッチは「Internet Explorer 用の累積的なセキュリティ更新プログラム (889293) (MS04-040)」として公開されており、Windows Updateなどからパッチを取得、これを適用することによって脆弱性は解消される。
      • 「一般のフリーサーバにWeb領域を持つ」の補足
        → このページを「JavaScript ON」と「JavaScript OFF」で見比べよう(^_^;)
      • JavaScriptの話
      • スタイルシート(CSS)の話
      • JavaScript講座 Part1
      • JavaScript講座 Part2
      • 次回以降はウォークマンのイアホン/ヘッドホンと延長コード(1.5m以上)を持参して下さい

    • 10週目(12/14)
      • 課題について
        ※ 課題は毎回の出席点の補助として評価するので出席のいい人は安心して下さい(^_^)
      • 「打込み音楽」の話
        • MIDIについて
        • SMFとGMについて
        • パソコンでの音楽作成、再生のメカニズム
        • 音楽ドライバによって音質は異なる
        • 「標準MIDIファイル」(********.MID)にの使い方
        • ブラウザでBGMを組み込むには
        • フリーウェア「Cherry」での音楽データ作成
        • 既存の楽曲をいくらオリジナルアレンジ/打込みしても「著作権侵害」(公開不可)

    • 11週目(12/21)
      • 今週のセキュリティ(いつもの話題(^_^;))

        IEにフィッシングの危険--ActiveXに問題

         Microsoftが、最も安全なバージョンのWindowsを使っているユーザーでもフィッシングの被害にあうおそれがある欠陥が、Internet Explorer(IE)のなかに新たに見つかったとの報告について調査を進めている。
         同社は米国時間17日、Secuniaなど複数のセキュリティ企業から出された報告について、調査を進めていることを明らかにした。これらの報告によると、IE6のなかに見つかった脆弱性が原因で、最新のセキュリティアップデートであるService Pack 2が適用されたWindowsや同OSのこれまでの各バージョンを搭載したPCに対し、フィッシング攻撃が仕掛けられてしまうという。フィッシング攻撃では通常、銀行などの企業の本物のサイトのように見える偽のサイトを使ってユーザーをだまし、クレジットカード番号などの個人情報を入力させようとする。
         Secuniaの勧告によると、このウェブブラウザの欠陥が悪用された場合、見破るのが難しい偽のウェブサイトを制作することが可能になり、そこに偽のSSL署名認証さえ埋め込めてしまうという。また、フィッシング犯はどのウェブサイトから発行されたクッキーでも乗っ取ることができてしまうと同社は述べている。
         SecuniaのCTO(最高技術責任者)Thomas Kristensenは、「問題は、ユーザーがブラウザの表示内容を信用できないという点だ。この点を悪用し、ユーザーをだまして信用できるウェブサイトだと思わせ、情報を入力させることができる。入力された情報は悪質なサイトに記録され、コントロールされてしまう」と語った。
         IEユーザーに大混乱を引き起こす可能性があるにも関わらず、Secuniaではこの脆弱性を「やや深刻」としか分類していない。これは、この脆弱性がコンピュータネットワークへのアクセスには利用できないためだ。
         自社製品のセキュリティ強化を進めるMicrosoftだが、今回の脆弱性が発見される以前にも何度も挫折を味わってきている。同社は8月にSP2を投入したが、この際同社会長のBill Gatesは、さまざまな攻撃に対するシステム強化の上でSP2が重要な一歩になると大々的に宣伝していた。
         Microsoftのある関係者によると、同社はこの欠陥に関する調査を積極的に進めているという。また同社では、この脆弱性の悪用を試みた攻撃があったとの報告はまだ受けていないと、この関係者は強調した。今のところ、Microsoftは顧客に対し、同社が示している「Protect your PC(PCの自己防衛)」ガイドラインを読み、ファイヤウォールのインストールやソフトウェアのアップデート、ウイルス対策ソフトウェアの動作などを行って、自分のPCを守るよう呼びかけている。
         Secuniaは勧告のなかで、IE 6のDHTML Edit ActiveXコントロールにあるエラーが原因で、特定の状況で「execScript」機能を処理しようとした場合に、この脆弱性が生じるとしている。この欠陥を悪用すれば、任意のスクリプトコードを実行できてしまうと同社は説明している。フィッシング犯はこの欠陥をついて偽のウェブサイトへのリンクを付した電子メールを送付できる。リンク先の悪質なウェブサイトでは、URLが一瞬表示されるものの、すぐにユーザーは別の偽サイトへ転送されてしまうという。
         「問題は、ActiveXコントロールに渡される特定の入力情報が、ブラウザに返されるまえに正しく確認されない点にある。この点を悪用すれば、ブラウザに信頼できるウェブサイトにアクセスしていると信じ込ませながら、そのウィンドウに表示される内容をコントロールするコードを埋め込めてしまう」(Kristensen)
         Secuniadでは この手口の例を公開 しており、またユーザーに対してはこの問題を修正するパッチが出されるまでActiveXを無効にしておくようアドバイスしている。
      • Director(Shockwave) のお話
      • Flash のお話

    • 12週目(1/11)
      • 今週のセキュリティ(いつもの話題(^_^;))

        Windows にまたも脆弱性、セキュリティ各社が警鐘

        Microsoft ( NASDAQ:MSFT ) のオペレーティングシステム (OS)『Windows』に重大な脆弱性が新たに複数見つかり、セキュリティ会社はユーザーへの警告に追われている。
        この脆弱性は、中国の非営利セキュリティ団体 XfocusTeam が20日に最初に 警告を発した したものだ。その後、 Symantec や 、 Secunia をはじめ多くのセキュリティ調査会社が相次いで警告を発したが、27日現在、Microsoft はまだ修正プログラムを公開していない。
        Xfocus によれば、「USER32 Lib」の「LoadImage」API にバッファオーバーフローが存在する。悪意を持った攻撃者がそこを突き、HTML ページや Eメール内にカスタムファイルを書き込み、あるいは送り込んで、コンピュータ内で任意のコードを実行しかねないという。
        Xfocus は、Windows のヘルプ (「.hlp」) ファイルを呼び出す実行ファイル「winhlp32.exe」にも脆弱性があると指摘している。この脆弱性は、.hlp ファイルのヘッダー内のデコードエラーに起因するものだ。攻撃者がヒープ領域でのバッファオーバーフローを発生させ、この脆弱性を突く可能性があるという。
        LoadImage および .hlp 関連のバッファオーバーフロー脆弱性の影響があるのは、『Windows NT』『Windows 2000』および『同 SP1』『同 SP2』『同 SP3』『同 SP4』『Windows XP (SP1 適用版を含む)』『XP SP1』『Windows 2003』だ。しかし、winhlp32.exe ヒープオーバーフロー脆弱性はより悪質で、『Windows XP SP2』も影響を受けるという。
        これとは別に、Xfocus は Windows のアニメーション カーソルファイル『ANI』の処理にも脆弱性があると発表した。悪意を持った者がこの脆弱性を悪用し、パソコンをクラッシュさせたり、実質的に乗っ取ることも可能で、サービス不能化 (DoS) 攻撃を仕掛ける恐れがある。この脆弱性は、前述の LoadImage のオーバーフロー脆弱性と同じく、Windows NT、Windows 2000、同 SP1、同 SP2、同 SP3、同 SP4、Windows XP (SP1 適用版を含む)、XP SP1、Windows 2003 に存在する。
        一方、Symantec は27日、Windows XP SP2 を狙ったトロイの木馬型ウイルス『Phel.A』について セキュリティ勧告 を発表した。これは『Internet Explorer』(IE) の脆弱性を突いたもので、 HTML ファイルの形で感染を広げる。Symantec はこの問題に対応するウィルス定義情報を公開中だ。

        Internet ExplorerのFTPダウンロードに脆弱性

        1月3日、セキュリティ企業のSecuniaはInternet Explorerの新たな脆弱性を報告した。この脆弱性は、FTPファイル転送時の入力確認エラーに起因するもの。不正なFTPサーバを使い、ファイルやフォルダのドラッグまたはコピーにより、ユーザーに不正なファイルをダウンロードさせ、任意の場所にファイルを作成させることが可能だという。
        最新のパッチを当てたInternet Explorer 6.0とWindows 2000 SP4およびXP SP1の組み合わせで、この脆弱性は確認されている。SecuniaではWindows XP SP2の利用を勧めている。
      • CGIについて
      • 著作権について
      • クリエイティブ・コモンについて

    • 13週目(1/18)
      • 今週のセキュリティ(いつもの話題(^_^;))

        MS、月例パッチを3つリリース--うち2つは「緊急」レベル

        Microsoftは米国時間11日、「緊急」レベルに分類されるWindows向けのパッチを2つリリースした。だが、Internet Explorer(IE) 6の脆弱性に対処するパッチは、今回リリースされていない。
        同社は月例パッチの一環として、3つのパッチをリリースした。そのうち2つは深刻度評価において最高レベルの「緊急」(critical)、残る1つは「重要」(important)に分類されている。同社は12月には緊急レベルのパッチを1つもリリースしていない。
        MicrosoftのセキュリティプログラムマネージャーStephen Toulouseは、「12月には緊急レベルのパッチが1つもなかったが、1月に2つも緊急レベルのパッチがリリースされたからといって、今年ずっとこのような状況が続くわけではない」と語った。
        緊急レベルに分類されたパッチのうちの1つは、WindowsのHTML Help ActiveXコントロールに関する問題に対処するものだ。セキュリティの専門家は、Microsoftにこの問題について警告し、この脆弱性を悪用するコードが出回っていることから、ベンダー各社にも素早い対応を促していた。
        この脆弱性を悪用すると、攻撃者はリモートPCを完全に制御することができるようになり、スパイウェアやポルノダイヤラー(ポルノなどの有料サイトに電話をかけるソフトウェア)を、ユーザーのPCに密かに忍び込ませ、実行させることも可能になってしまうという。
        もう1つの緊急レベルのパッチは、Windows NT ServerやWindows XPなどのオペレーティングシステム(OS)に影響するもので、カーソルやアイコンのフォーマット処理に関する脆弱性に対処する。攻撃者はこの脆弱性を悪用すると、マルウェアが仕込まれたウェブページを作成し、ここにアクセスしたユーザーのPCを制御することが可能になる。
        McAfeeのリサーチフェローJimmy Kuoは、「3つのパッチのうち2つは、エクスプロイトコードが存在する脆弱性に対処するもので、残る1つについても(エクスプロイトコードが存在する)可能性がある」と語った。
        Microsoftは3つ目として、Windowsのインデックスサービスの脆弱性に対応するパッチをリリースしている。これは緊急ではなく、重要レベルに分類されている。Toulouseによると、インデックスサービスは、デフォルトでは無効の設定となっており、攻撃者がコンテンツにアクセスすることがやや困難であるため、このような分類になったという。

        133ものフィッシングサイトがスマトラ沖津波に便乗

        スマトラ沖津波に便乗したフィッシング詐欺が横行しており、詐欺をしかける不正なWebサイトは133にも上る――マスターカードは1月14日、このような調査結果を明らかにし、改めてフィッシング詐欺への注意を呼びかけている。
        スマトラ沖津波の発生以来、IT企業各社の寄付やインターネット上の募金活動など善意の輪が広がった。だが一方で、その善意を逆手にとり、被害救済の義捐金活動につけ込むスパムメールやフィッシング詐欺が増加しているのも事実だ。米連邦捜査局(FBI)は1月6日に、正規の支援団体を装って寄付を呼びかける偽サイトへの注意を呼びかけている。
        マスターカードの発表は、その事実を裏付けた形だ。津波被害救済団体に見せかけた偽のスパムメールを送りつけ、不正なサイトに誘導し、クレジットカード番号をはじめとする重要な情報を盗み取ろうとするフィッシング詐欺が横行しているという。
        マスターカードは2004年6月に、デジタル不正検出サービスを手がけるNameProtectと提携し、フィッシング詐欺やオンライン個人情報盗難への対策を進める方針を明らかにしている。両社は、スマトラ沖津波の救済に便乗したフィッシング詐欺についても、捜査当局と協力して不正サイトの検出を行ってきたという。
        その結果、被害救済などの名目でフィッシングを仕掛けるサイトが、これまでに133サイト検出された。現在、それらサイトに対する捜査が進められているという。
        マスターカードではまた、善意の寄付を行う場合は、一方的に送りつけられたメールに答えるのではなく、各種救済団体の正規のサイトに直接アクセスするよう推奨している。さらに、一般的なフィッシング詐欺への対策として、
        ・金融機関が暗証番号などの重要な情報をメールで求めることはないと心得、フィッシングメールに警戒する。特に誤字脱字などのある怪しいメールには注意する ・メール中のリンクをクリックしてWebサイトにアクセスした場合は、重要な情報を提供しない。自ら正しいアドレスを入力してサイトの真偽を判断するようにする ・カード会社からの請求内容を確認する ・パスワードや暗証番号を定期的に変更する ・スパムメールなどを防ぐため、ウイルス対策ソフトやパーソナルファイアウォールを導入する
        といった事柄を心がけるよう呼びかけている。
      • Webサイトに関するセキュリティのお話
        • Web閲覧で外部に出ている情報について
          • IPとタイムスタンプ→違法行為は必ず追跡される
          • プロキシサーバ(串)について
          • ユーザの環境
          • 直前にアクセスしたサイトの情報
        • ブラクラ(Brouser Crasher)
          • ウイルス感染型
          • ハングアップ(無限ループ)型
          • ソシアル型(精神的被害)
          • 有料請求型(精神的被害+ 詐欺)
        • フィッシング
          • URL欄の詐称(ブラウザのバグを利用)
          • 個人の信用情報を入力させる
        • クッキー抜き
          • IPの詐称(ブラウザのバグを利用)
          • クッキー情報を取得
          • →成り済まし詐欺に利用
          • →プライバシーの流出
        • Webサイトのハッキング
          • ポートスキャン
          • システム侵入(サーバHTTPDのバグを利用)
          • アカウント情報を取得
          • →rootを取れれば何でもできる

    • 14週目(1/25) 最終日
      • 本日は最終日ですので、基本的に「課題制作・個々に質問」タイム、とします
      • ブログ(Web Log)について
      • トラックバックについて
      • 技術造形学科学生の「Webコンテンツデザイン」テーマ志望についてのコメント
      • 「授業評価」アンケート

  • 講義テキスト/資料

  • 課題

  • リンク