まにゅださ 今日のひとこと

_ SHIFT-JIS から EUCJP に一括変換

いやぁ、いろいろ悩んだw

#!/bin/sh
for i in `find ./ -type f`; do iconv -f SHIFT-JIS -t EUCJP $i > $i.new && mv $i.new $i; done

で conv.sh ってファイルを作って完了。

_ Re: 不可逆的な暗号化によるパスワードの管理ってなんのこと？

知らないのかと思って教えてくれているらしい。「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々の人はここだけ読んだんだろうねぇ。知っていて書いているんだが、伝わらなかったようだ。

ここでいう「不可逆的な暗号化」っていうのは、専門数学用語でいうと「一方向性関数」の部類に入る（らしい）。業界ではハッシュ関数とかハッシュ値とか言う。

は(らしい)ではなくその通りですが。パスワードクラックツールも知っているし。不正アクセス行為の禁止等に関する法律が施行されているのでID保持者の承諾がなければ、大学でもこんなことはできないし。

実際にそういうソフトも（アングラなものではなく）存在するし、ユーザーに注意をうながす目的で実用されている。例えば大学なんかだと学生のアカウントのパスワードを定期的に走査して、安易なパスワードを見つけると自動的に警告するような仕組みは全くめずらしくない。やはり学生さんは安易なところあるしね。教育上必要なことだと思う。

大学ではちゃんとパスワード教育をする時に警告しますよって伝えているわけですな。実システムでこれやったら不正アクセス防止法に引っ掛かりますな。では、実システムから持ってきたハッシュ後のパスワードを使って試すのは? 「符号の適正な管理」が問われるんではないかね。

_ Yahoo!Auctionsからニックネームが得られるか

この疑問を誰か解決してくれないかな。Yahoo! JAPAN ID を持っていて、二ックネームも設定している場合、

• http://openuser.auctions.yahoo.co.jp/jp/user/正式なID
• http://openuser.auctions.yahoo.co.jp/jp/user/ニックネーム

の2つにアクセスしてみて欲しい。前者は、評価、出品リスト、自己紹介のページが出てくる。後者は、「Yahoo! JAPAN IDが無効です。」というページが表示される。

ヤフーオークションだけ見ていた場合、正式な Yahoo! JAPAN ID は知ることができる。二ックネームはどのように取得できる可能性があるのだろうか。

オークションにアクセスする場合には Yahoo! JAPAN ID + パスワード でしか利用していない (Web経由ではそれ以外のYahoo!関係のサービスも同じ)。

ログイン履歴へのリンクを見てもらえばわかるが、ニックネーム + パスワード で間違えることなく一発でオークションにログインしている。

もう一つ検証していないのだが疑問点があって、Yahoo!メールを メールソフトで送受信するには（Yahoo!メールアドレスの場合）でPOPアクセスする設定をしていた場合に、パスワードを間違えるとログイン履歴には反映されるのだろうか。Webメールの場合はどうだろうか。

疑問なことはやってみる。

Webメール

パスワードを間違えるとログイン履歴に残る

POPアクセス

パスワードを間違えてもログイン履歴に残らない

という結果になった。Webメールの方は2回間違えてみたが、ちゃんと2回とも記録されている (IDとニックネームの両方試した)。POPアクセスの方は3回間違えてみたが履歴には反映されないようだ。

ということはユーザはWebメール経由の不正アクセスには気付くが、POP経由の不正アクセスには気付かないということであろうか。

ただし、POPを使うのはオプションなのでWebメールだけとか転送だけにしておけばPOPアクセスはできない (転送だけにして確認済)。