̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ IT ニュース&コラム 2006/5/22 通巻266号 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ >>> 脆弱性情報に対してオープンな協力関係を築きたい IPA                        News and Column  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄     脆弱性情報の取扱いに関する研究会の報告 2006年 5月18日、情報処理推進機構(IPA)の、情報システム等の脆弱性 情報の取扱いに関する研究会は、組み込みソフトウェアに おけるセキュリティ対策のポイントをまとめた資料を発表した。    研究会は、今回の発表により、技術者全員にセキュリティ    意識を持ってもらいたい、開発の分析段階からセキュリティ    を考えてほしい、と啓蒙資料を作成しているが、残念ながら    技術的な対応策はあまり載っていない。研究会の立場は、    脆弱性情報の取り扱いが目的だからだ。    顧客に直接会う営業などの人なら参考になるだろう。 技術者は、Writing Secure Code などの書籍を読んで、具体的な攻撃方法を 勉強しておいたほうがいい。 セキュリティに気をつけています、と言っても、 攻撃方法を思いつかないから、が理由になっていてはいけないのだ。 とりあえず、今回研究会が発表した資料に含まれる攻撃方法の名前の内容を 知っているかどうかチェックしてみるとよい。脆弱性以外のセキュリティ、 たとえば情報保護に対応したデータ構成などの技術は、扱われていない ようなので、今回の報告がセキュリティのすべてではないことに注意が必要だ。 研究会は、パートナーシップへの参加を呼びかけている。脆弱性が公開される 前に情報交換をして、公開するときは既に対策されている状況を作れるからだ。 しかし、顧客を特定している製品は、わざわざIPAを通す必要はない。 それに、公開前の情報も、その内容が十分ではないというアンケートの 結果もある。 情報交換の必要性は理解して加入しているが、 あまりパートナーシップがうまくいっていないのではないだろうか。 リンク http://www.nikkeibp.co.jp/news/it06q2/504057/ * The others Last week watched News  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ◇ 「いつも両手で握っていたい」秀逸の使い心地「VAIO type U」。 http://plusd.itmedia.co.jp/pcupdate/articles/0605/17/news006.html … UMPC より小さい PC。ファンがうるさいらしいけど。 ◇ ソニー、16Gバイトフラッシュ搭載超小型PCを6月発表。 http://www.itmedia.co.jp/news/articles/0605/16/news036.html … HDDが無い分軽く速くなるらしい。 ◇ Windowsのパス名処理に問題、ウイルス対策ソフトなどを回避される恐れ。 http://www.nikkeibp.co.jp/news/it06q2/503782/ … 検出できないけど、実行もできないかも。 ◇ 米Google、Ajax開発ツール「Google Web Toolkit」のベータ版を公開。 http://journal.mycom.co.jp/news/2006/05/18/102.html … ブラウザの違いを吸収。.NET 開発環境の対抗馬。 ◇ W3C、モバイルコンテンツ対応言語「DIAL」のドラフト公開。 http://www.itmedia.co.jp/news/articles/0605/17/news022.html … 携帯向け Web ページの標準になるか。 ◇ NECがソフト技術者8000人の育成に新制度。 http://www.nikkeibp.co.jp/news/it06q2/503775/ … ハードの会社がソフト技術者を重視してきたか。                    SVG Cats 3 開発BLOG  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ [ パーセント文字が付いたファイル名の指定の仕方 ] Windows のコマンドプロンプトでは、%var% のように。% で 囲んで環境変数を記述します。たとえば、echo %USERPROFILE%\My Documents\data.xml といった感じです。 そんな % 文字ですが、Windows では、% の付いたファイル名を作成する ことができてしまいます。つまり、% の付いたファイル名を指定することが できないと考えられえるのです。 100%.txt であれば、% が2つないので、環境変数の値に 置き換わりません。dir 100%.txt と入力すると、ちゃんとファイル一覧 (といっても1つ)が表示されます。しかし、% が2つあり、その 間に定義されている環境変数名があったら、表示されません。 たとえば、%PROCESSOR_ARCHITECTURE%.txt というファイルがあっても、 dir %PROCESSOR_ARCHITECTURE%.txt では表示されません。 バッチファイルのエスケープ文字 '^' は & や > などに使えますが、 % に対して使えないようです。 echo ^^>^%PROCESSOR_ARCHITECTURE^%.txt では ">x86" となってしまします。 バッチファイルでは、%% のように並べると、% になりますが、 コマンドプロンプトから直接入力すると、 echo %%PROCESSOR_ARCHITECTURE%% とすると %x86% となってしまい、 環境変数の値に置き換わってしまいます。 しかし、バッチファイルが使えるのであれば、copy con > tmp.bat のようにバッチファイルを作れば、コマンドプロンプトから 実行することができるわけです。 なぜ、こんなことを調べているかというと、ユーザプロファイルの フォルダを、ユーザが任意に指定できるようにするためです。 %USERPROFILE%\Local Settings\Application Data\SVGCats のように。 結論としては、バッチファイルの仕様に合わせるのがよい、 ということのようです。 ちなみに、UNIX 形式(例:$var、${var})の仕様にする可能性も あったのですが、エスケープ文字 \ が、ディレクトリの区切り記号と 一致するため却下となりました。C 言語の文字列ように "c:\\windows" と毎回 \ を2回指定する羽目になってしまいます。 あと、UNIX 形式に似た nmake(Makefile) 形式(例:$(var))も ありましたが、バッチファイル形式に比べるとマイナーなので 却下しました。 >>> http://blog.livedoor.jp/sage_p/  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ メルマガの設定を変更する? >>> http://cgi.kapu.biglobe.ne.jp/m/2280.html >>> http://www.mag2.com/m/0000083983.htm News & Column is composed by T's-Neko 2006 www.sage-p.com  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄