通信回線の伝送路について

　シリアル、パラレルというのは、魔法少女(姫ちゃんのリボン←古いね、しかし)の呪文ではなく、ケーブルを通じて箱と箱の間、家と家の間のように別々の単位である機械同士でデータの授受をする際の方式である。
　プロトコルというにはあまりにもあいまいで大雑把なくくり方なので、はっきりこれと言い切ることができる性質のものではないが、たとえば電話回線はシリアル、SCSIはパラレルである。
(SCSIが通信回線の一種、という考え方に最初に触れたときは新鮮だった。)

　シリアルとパラレルの違いを簡単に説明すると、

シリアル:単一回線
パラレル:複数回線

である。シリアル回線ではある瞬間にはたったひとつのビットしか伝送できない。それに対してパラレルは一度に複数のビットを同時に伝送することができる。
　なんだ、パラレルのほうが優秀ではないか、ということになるが実際そのとおりで、シリアル回線はそれを利用せざるを得ないような事情がある場合にだけ（？）登場する。

　では、パラレル回線が使えない状況とはなんだろうか?
　その答えは、伝送距離が長い場合である。

　パラレル回線は、同時に送信したビット列はすべて同時に受信される必要がある(厳密にはちと違うのだが)。しかし、例えば8本の伝送路で同時にビットを送ったとしたら、8本のうち1本でも、わずかにタイミングがずれるだけでエラーになってしまう。そして、ケーブルが長ければ長いほどタイミングはずれやすい。

言語関係(VC++)

　日本語のMSDNとかに訳されていないっぽい箇所があったので。

| /GZ (Catch Release-Build Errors in Debug Build)
| http://msdn.microsoft.com/library/default.asp?url=/library/en-us/vccore98/html/vcrefgz(catchrelease-builderrorsindebugbuild).asp

> /GZ initializes all local variables not explicitly initialized by the program. It fills all memory used by these variables with 0xCC.
　VC++のコンパイラでデバッグビルドを実行する際は、ヒープ領域を0XCCで初期化してある。
　このことが、リリースビルド時に発生する想定外のバグや警告の原因となっていることがある、ということ。

[jhomework-基本情報向け] 2006-01-23

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

　インデックス修飾によってオペランドを指定する場合，表に示す値のときの実効アドレスはどれか。

　┌───────────────┬───┐
　│ インデックスレジスタの値　　 │　  10│
　├───────────────┼───┤
　│ 命令語のアドレス部の値　　　 │　 100│
　├───────────────┼───┤
　│ 命令が格納されているアドレス │　1000│
　└───────────────┴───┘

　ア　110

　イ　1010

　ウ　1100

　エ　1110

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

ディレクトリトラバーサル

　e-words：なし

　用語集にエントリーがないので、私の知っている限りの記憶を引っ張り出すことにします。


(1)日本語に直すと、ディレクトリさかのぼり攻撃となる

(2)ネットワーク経由で接続して最初にアクセスされるディレクトリ(ホーム)の親ディレクトリを、本来権限を持つべきでないユーザーがリモートからアクセスできることが原因

(3)ちなみにMSのIISでも、親ディレクトリへのアクセスが有効になっているかどうかを確認する必要がある(初期設定で有効)

　まとめ。
　ディレクトリさかのぼり攻撃の脆弱性は、SQLインジェクションや不正なシェルスクリプトを含むデータの送信などをネットワークサーバーがコマンドと解釈して実行してしまうことであり、その脆弱性はそれによってルートなどの非公開ディレクトリにアクセスされることである。


　ちなみにElevation(権限の昇格)と異なるのは、削除とか実行と言ったACLとは直接関わりなく、「アクセスできてしまうこと」「リスト表示できてしまうこと」にフォーカスがあたっていることになります。
　※もちろん、適切な権限を設定していない場合(INETUSERアカウントに不要な権限を付けているなど)の場合には、さらに別の脅威になるわけですが。。。

　普通のインターネットユーザーであっても、ホームページで index.htm か Default.htm を置いてないためにディレクトリリストが丸見えになっている場合などに、同様のディレクトリトラバーサルの脆弱性を抱えていると言えます。



　ちなみに、最近ではこんな案件が報告されているみたいです。

｜　[[MailSite IMAP Service RENAME Command Directory Traversal>http://secunia.com/advisories/18318/]] - [[Secunia - Latest Secunia Security Advisories>http://secunia.com/}}

Windows Meta File に脆弱性が発見された、というニュースについて

　この年末年始の休みに、セキュリティの世界ではまた一つ大きな騒動があったようです。

　Windows Meta File (WMF)に脆弱性があったとかで、WinXP SP1,SP2,Windows Server 2003 が対象となるようです(2003 SP1が名前に挙がっていないがどうだろう？)。
　この Windows Meta File というのは、

｜　WMF（ダブリューエムエフ。Windows Meta File）：RBB TODAY (ブロードバンド辞典)

> Windowsで使用される描画命令（GDI）から構成されているファイル

　要するに、グラフィック表示コマンド(=GDI)をもつ中間ファイルであり、ベクタ画像データを保持しているということ。

　今回の一件というのは、このグラフィック表示命令に不正な命令を混入することでリモートコントロールできてしまう、といったところのようです。



｜　マイクロソフト、WMF脆弱性用パッチをリリース--月例パッチサイクルを前倒しに- CNET Japan

> この問題をめぐっては、一部のセキュリティ専門家が、ヨーロッパのプログラマIlfak Guilfanovが開発した非公式パッチの適用をユーザーに推奨するという異例の事態まで起こっていた。


｜　Windows Meta Fileの脆弱性をめぐって異例の事態--専門家が非公式パッチを推奨

　中の人の方はといえばもう大騒ぎの模様。
　ちなみに、

> システム管理者なら、「shimgvw.dll」というファイルの登録を解除することでこの問題を回避できる

　そうです。


｜　Windows 98, ME users left vulnerable to WMF bug - News.blog CNET News.com

　前みたいに逐語訳をしても仕方がないので一部抜粋してコメント。


> Microsoft on Thursday rushed out an update to address a serious security flaw in Windows. Patches are available for Windows 2000, Windows XP, and Windows Server 2003, but Microsoft left out Windows 98 and Windows Millennium Edition.

　パッチは2000､XP,2003向けにリリースされているが、98とMeにはリリースされていない。(MSのサポート期間が終了したからだろう)

> Experts from iDefense, F-Secure and SANS agree that no attacks that target the older Windows versions have surfaced. Yet...

　(MSのコメントとしても旧バージョンOSを標的とする攻撃はまずないだろうとあり、)各ポータルもそれに同意している。しかし...

> By not fixing the older versions of Windows, Microsoft is leaving its customers out in the cold, Murray said. "In a way they are forcing customers to upgrade, saying that you can continue to use those older operating systems if you want to be vulnerable," he said.

　サポート期間をMSが打ち切ったとしてもNT4.0とか98といった旧バージョンのOSが市場で使いつづけられる限り、MSはベンダーとして脅威を放置したとする批判を免れるものではないだろう。

[jhomework-2006-01-06 : ネットワーク向け]

---

　ITIL(Information Technology Infrastructure Library)では，利用部門が業務要件に合わせて必要な IT サービスをいつでも利用できるように，運用管理部門の管理業務プロセスとして可用性管理を定義している。可用性管理プロセスの業務に該当するものはどれか。

　ア　IT サービスが中断した際の迅速な対応と復旧
　イ　IT サービスに必要なサーバの処理能力の確保
　ウ　障害の予防
　エ　利用部門からの問合せへの対応

(http://www.yscon.co.jp/j/homework/index.htm)

---

[jhomework-all] 2006-01-12-高度共通向け

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

　データ中心設計法におけるカプセル化の特徴はどれか。

　ア　データとその操作の実装がカプセル内に閉じ込められるので，カプセルの利用者と提供者を明確に切り分けることができる。

　イ　データとその操作を独立のものとして取り扱うことが可能なので，サブシステムの独立性を高めることができる。

　ウ　データの詳細な構造について知らないとアクセスできないので，データのセキュリティを強化できる。

　エ　データを制御する手続は一意に定義できないが，データ構造の一貫性は維持できる。

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-