2005年02月18日
■ 最高裁も推奨するオレオレ警告の無視
最高裁判所の「裁判所オンライン申立てシステム よくあるご質問」より:
Q12: 申立書の入力画面が表示される前に証明書に関するセキュリティ警告ダ イアログが表示されます。どうすれば良いのでしょうか?
A12: メッセージの内容を確認し,「はい」又は「常に」を押してください。
最高裁判所にそう言われたのでは国民は従うしかない。
ここはひとつ「よくある質問」に次を追加してもらいたいものだ。
Q12-2: 「メッセージの内容を確認し」とはどの内容をどのように確認すれば よいのでしょうか?
週明けにでも電話してみよう。
■ 「受動的攻撃の被害 = 利用者の自業自得」が最高裁基準
コートドミーノサーバにある、裁判所オンライン申立てシステムトップページには、現在、次の「お知らせ」が掲載されている。
本申立てプログラムの稼働に必要な中間プログラム(JRE : Java Runtime Environment)の脆弱性について
裁判所オンライン申立てシステムを利用して申立てを行う際に必要なJREについて,悪意のあるWebサイトを閲覧した場合,任意のプログラムを実行させられたり,パソコンを乗っ取られたりするという脆弱性が発見されました。
JREの提供元であるサンマイクロシステムズ社によると,この問題については,JREを最新の「1.4.2_06」にバージョンアップすることで回避できるとのことですが,裁判所オンライン申立てシステムでは,「JRE1.4.2_06」について,動作確認ができていません。
ついては,JREをパソコンにインストールした状態で,信頼できないサイトを閲覧したり,出所不明のアプレット(プログラム)を実行したりすることのないようにしてください。
ご利用のみなさまにはご迷惑をおかけしますが,ご理解とご協力のほど,よろしくお願いいたします。
きょうび、Microsoftですらそんなことは言わない。
既に2か月半が経過しているわけだが、いまだに「動作確認ができていません」 ということなのか。おそらく動作確認などしていないのだろう。
「_06」といったバグフィックスバージョンの違いだけで、この申立てシステム が動かなくなるのは、 専用の「申立てプログラム」のインストーラが、 「C:\Program Files\Java\j2re1.4.2_04\lib\security」という決め打ちの 場所に、必要なファイルをインストールするようになっているからだ。
2か月半経っても「_06」に対応できないのは、そのために必要な予算を確保し ていないということなのか。Webアプリケーションは作ったら終りではない。 欠陥が見つかったら修正しなくてはならないのであり、そのための費用を運用 コストに見込んでおくのが当然である。それができないならサービスを中止す るべきだ。
参考: 2002年9月ごろの議論
- セキュリティ脆弱性にどう対応するか, JavaOne JAPAN 2002, BOF-1254
■ サポート中止ソフトをこれからも入れさせる最高な裁判所
最高裁判所の「必要なプログラム等のダウンロードのページ(図3)
は、JREのダウンロード先として、次のURLへリンクしている。
http://java.sun.com/products/archive/index.html
ここは、開発者向けのサイトである。 冒頭には次のようにこのページの趣旨が説明されている。
Sun is providing the products available below as a courtesy to developers for problem resolution. The products available here have completed the Sun EOL process and are no longer supported under standard support contracts. These products are down-revision products that may have various bugs, Y2000, and possibly security issues associated with them. Sun in no way recommends these products be used in a live, production environment. Any use of product on this page is at the sole discretion of the developer and Sun assumes no responsiblity for any resulting problems.
(以下、今適当に書いた訳)
Sunは以下の製品を、不具合解決のための開発者向け特別措置として提供しま す。ここで利用可能な製品は、Sun EOLプロセスを終えており、これらは、 標準のサポート契約でサポートされることはもう二度とありません。 これらの製品は、様々なバグや、2000年問題、またそれに起因するセキュリティ の問題点を有することのある旧版製品です。Sunは、これらの製品を現行の 製品環境で使うことを全くお勧めしません。このページにある製品のいかなる 使用も開発者単独の自由裁量によるものであり、結果として生じるいかなる 問題に対しても、Sunは一切の責任を負いません。
Archive: Java[tm] Technology Products Download, Sun Microsystems
ようするにここは開発者だけが使うところだ。 おそらくこのリンクを張ったのはベンダーの開発者だろう。 開発者の都合でこういうものを使うことはたしかにあるが、 そのノリが一般市民にまで押し付けられている。 Javaはいまだに技術者の実験用玩具だというのか?
技術者がこういうことをしないよう監督する責任が、 最高裁判所のホームページ管理担当事務員にあるだろうが、 英文だから読んでもいないといったところか。
国民を危険に陥れるこれらの行為は法律で規制してはどうか。
高木浩光氏のブログ、今度は最高裁サイトがやり玉に挙げられている。
わたしのカイシャの申し立て用紙等のダウンロードサービスがかなり脆弱な作りでできている・・・との「ご指摘」(その1)と、「ご指摘」(その2)があります。大丈夫?!早ょ、なんとかせなアカンのと違いますぅ?!大阪の「おばちゃん」に怒られる前に、ね・・・その大...
セキュリティ+++++
- スラドarticle [05/02/27/1352222] ×4 : 3, 1 (2023-04-19)
- pmakino.jp tdiary ×23 : 17, 3, 1, 1, 1 (2022-08-01)
- http://yahoo.co.jp ×4 (2020-10-14)
- スラッシュドットarticle [05/02/27/1352222] ×479 : 146, 81, 69, 50, 43, 25, 19, 12, 9, 6, 5, 4, 2, 2, 2, 2, 1, 1 (2015-02-27)
- http://www.goodspic.com/gd/申立書/ ×26 (2009-04-23)
- http://www.stmpop.com/sp/申立書/ ×8 (2009-03-25)
- スラッシュドットcomments [242529] ×389 : 94, 81, 57, 37, 28, 20, 17, 16, 14, 4, 2, 2, 2, 2, 2, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1, 1 (2009-02-27)
- http://www.ipe.tsukuba.ac.jp/~kimura/lecture01.html ×9 (2007-09-14)
- はてなダイアリー [oolonglover] ×6 : 5, 1 (2006-01-31)
- ココログ [stressfulangel cocolog] ×41 : 30, 4, 3, 2, 2 (2005-11-03)
- ココログ [matimura cocolog] ×123 : 73, 39, 10, 1 (2005-08-18)
- 楽天ブログ [tatsuya3703 ] ×4 : 2, 1, 1 (2005-08-10)
- http://www.horagai.com/www/salon/edit/ed2005c.htm ×13 (2005-05-23)
- http://isl.educ.fukushima-u.ac.jp/~shinoda/net-docs/enduser-... ×34 (2005-05-08)
- http://www.kyo-ko.org/td/?category=ALL ×16 (2005-05-05)
- はてなダイアリー [okaguchik] ×334 : 313, 14, 2, 1, 1, 1, 1, 1 (2005-05-01)
- fc2 blog [yavaneta.blog4] ×7 : 5, 2 (2005-04-21)
- はてなダイアリー [oolonglover 20050406] ×4 (2005-04-06)
- http://www.nslabs.jp/ramble-200503.rhtml ×36 (2005-03-16)
- http://blog4.fc2.com/yavaneta/blog-category-8.html ×4 (2005-03-07)
- http://mixi.jp/view_diary.pl?id=10488838 ×4 (2005-03-06)
- 楽天ブログ [tatsuya3703 200502190000] ×103
- http://isl.educ.fukushima-u.ac.jp/~shinoda/net-docs/enduser-... ×76
- http://www.asyura2.com/0411/it07/msg/407.html ×61
- はてなダイアリー [washita] ×20 : 17, 3
- http://www.don.am/~don/diary/ ×16
- はてなダイアリー [okaguchik 20050220] ×12 : 9, 3
- http://oikaze.com/~tamada/Diary/index.html ×10
- http://on-o.com/page/diary/ ×9
- http://okamoto.ws/cc/sns/diary.cgi ×8
- http://okamoto.ws/cc/sns/diary.cgi?Year=2005&Month=2&Day=22 ×7
- はてなダイアリー [mutep] ×6 : 5, 1
- http://blog4.fc2.com/yavaneta/blog-entry-10.html ×6
- http://oikaze.com/~tamada/Diary/ ×5
- http://hsj.jp/index.html ×5
- http://kita.dyndns.org/diary/?date=20050221 ×5
- http://www.kyo-ko.org/td/ ×4
- http://www.kyo-ko.org/td/index.rb ×4
- http://www.oikaze.com/~tamada/Diary/2005-02-21.html ×4
- はてなダイアリー [mutep 20050221] ×4 : 3, 1
- http://www.kyo-ko.org/td/?date=20050219 ×4
- http://hpcgi3.nifty.com/mmix/wiki.cgi?log200502 ×4
- Seesaaブログ [blackshadow] ×3 : 1, 1, 1
- スラッシュドット ×2 : 1, 1
- 最高裁判所 ×60 / キーワード不明 ×22 / 受動的攻撃 ×22 / 最高裁 ×17 / 裁判所オンライン申立てシステム ×15 / オレオレ証明書 ×14 / 自業自得 ×9 / 裁判所 ×8 / オレオレ警告 ×6 / 最高裁 高木 ×6 / 高木 JRE ×6 / 最高」裁判所 ×5 / 最高な裁判所 ×5 / オレオレ認証局 ×5 / アプレット 証明書 信頼できないサイト 常に ×4 / 裁判所 オンライン ×4 / 高木浩光 最高裁判所 ×4 / 裁判所基準 ×4 / 裁判所オンライン申し立システム ×4 / 最高裁 オレオレ ×4 / -hiromitsu.jp JRE ×4 / 高木浩光 最高裁 ×4 / 最高裁判所の場所 ×4 / Sun EOL ×4 / -hiromitsu.jp オレオレ ×4 / 申し立て オンライン 裁判所 ×3 / 最高裁判所が電話してというので電話した ×3 / 日記 ソフト ×3 / JRE -hiromitsu.jp ×3 / 裁判所 システム ×3 / 高木 オレオレ ×3 / 裁判所図 ×3 / JRE EOL ×3 / 警告 無視 ×3 / 最高裁 オレオレ証明書 ×3 / 最高裁 システム ×3 / 自業自得 法律 ×3 / 最高裁判所 図 ×3 / オレオレ -hiromitsu.jp ×3 / 家裁調査官 ×3 / 最高裁判所の構図 ×3 / 裁判所 申立て用紙 ダウンロード ×3 / 高木 セキュリティ ブログ ×3 / java 開発者 ブログ sun com ×2 / jre 高木 ×2 / 最高のソフト ×2 / -hiromitsu.jp/diary/ オレオレ ×2 / mariaozawa ×2 / 高木 jre 脆弱性 ×2 / 最高裁判所のオンラインシステムはどこで管理しているか ×2 / 高木 ブログ 裁判所 ×2 / JRE ×2 / JRE EOL 1.4 ×2 / 高木 最高裁 ×2 / オンライン申立て 可能な裁判所 ×2 / jre サポート ×2 / 最高裁判所のホームページ ×2 / 裁判所 利用者 ×2 / "オレオレ警告" ×2 / オンライン 高木 ×2 / 最高裁判所 オンライン ×2 / ソフト 警告と推奨 ×2 / 最高裁判所 質問 ×2 / Java サポート EOL ×2 / 裁判所オンライン申立て ×2 / jre1.4.2_06 + download ×2 / 裁判所オンライン申立システム ×2 / SUN EOL ×2 / オレオレ証明書 警告 ×2 / 裁判所オンライン ×2 / java オレオレ証明書 ×2 / 高木浩光 ブログ ×2 / 高木浩光 jre ×2 / ://takagi-hiromitsu.jp/diary/ オレオレ ×2 / 裁判所 これから ×2 / オレオレ証明書 問題点 ×2 / 最高裁判所よくある質問 ×2 / JRE 脆弱性 ×2 / オンライン裁判 ×2