Archive for the ‘diary’ Category

岡本君のこと   1 comment

Posted at 9:35 pm in diary

岡本君が死んでしまったらしい。
今、告別式から帰ってきたところなんだけど、まだ実感がなく、信じられない。

岡本君と最初に会ったのは彼が今は休刊してしまった「ハッカージャパン」誌のアルバイトの面接に来たときで、なんというか当初の印象は「普通の人」だった。この「普通の人」というのはかなりハードルが下がったもので、ちゃんと会話ができて(コアタイムギリギリの)13時に出社していきなりご飯食べながら新聞を読まないというレベルだ。日給7000円のハッカームック(まだ定期刊行物ですらなかった)というよくわからないものに応募するなんて人はだいたい何かが足りない人だったのだ。面接の後、ボスとようやく「普通の人」がやってきた、と喜んで来てもらうことになったのだった。

岡本君はその後順調に編集者への道を歩み、定期刊行物となり、僕が退職した後も「ハッカージャパン」誌を休刊まで支え続けることとなった。

彼は編集者としても普通の人で、10年以上白夜書房勤めてはいたものの、悪いこともないけれども特に目覚ましい成果というものもなかった。最初に企画して出版されたのは「2ちゃんねる中毒」という書籍で、2ちゃんねるの権利関係で揉めたりいろいろあって半分くらいの原稿を自分で書く羽目になっていた。ハッカージャパン本誌の仕事もあって死ぬほど忙しかったので原稿もボロボロで最後ギリギリで青焼きが出てからたくさんのミスがあってQuarkのデータを直接修正した記憶がある。

彼は「2ちゃんねる」の書籍を企画するくらいなので、職場でも家でも常にネットを見続けていた。ミワタソ祭りとかで盛り上がった記憶がある。その頃からすでに「hagex」としての活動をしており、会社の僕の隣でサイトを更新していたこともあった。そんなことが許される会社だった。

僕が退職してからも交流は続き、仕事を振り振られる間柄となった。つまるところ自分で書くほどの余裕はないけど誰がライターでもいいような個性のいらない原稿を気軽に頼める相手ということだ。

ぼくは「山本洋介山」などのペンネームを使い、彼は「江原顕雄」などのペンネームを使っていた。ペンネームはお互い会社バレが面倒だったからだ。

もともと彼は「危ない一号」とか根本敬なんかを読みながらテクノを聞くゴリゴリのサブカル少年で、基本的にはネットには書けないゲスい話が大好きで、打ち合わせのたびに誰かの噂話だったり不幸になってる話だったりネットで掘ったヤバイ情報だったり自分が追いかけてるヤバい奴の話をしたりしてた。

ぼくは転職先でサラリーマンをしながら「ハッカージャパン」で原稿を書き続け、「2ちゃんねる公式ガイド」の編集者を紹介されて原稿を書いたりもした。彼には自分がそのころ連載していた@ITの編集者を紹介してそこで原稿を書くようになり(現在も原稿が読めます。アイティメディアいい会社ですね!)、晋遊舎で一緒にムックを書いたりもした。

そして再度転職した出版社では「ネットでライフハック」という別の仕込みの間を埋めるために作った書籍を共著者の一員として書いてもらったり、その後ブームの残り火で作ることになった「セカンドライフマガジン」ではPCのレビューや穴埋めの原稿を書いてもらったりした。「セカンドライフマガジン」のWebにも寄稿してもらった気もする。ぼくは身体を壊すほど忙しかったが、合間を縫って「セカンドライフ」の原稿をハッカージャパンに書いた。

身体を壊したぼくはフリーになった。これまでにも増して「ハッカージャパン」に、誰も書く人がいないときにとりあえず岡本君には荒く使われ、たくさんの原稿を書かされるようになった。とはいえこのとき誰かの代打として書いたWebアプリケーションセキュリティの原稿が今の仕事に繋がっているのだから、世の中何があるかわからない。

代わりといっては何だが、岡本君にはぼくのそのときの主な収入源となっていた資格試験の問題作成の下請けをしてもらっていた。関わってた「インストールマニアックス」の数合わせに参加してもらったりもした。そしてハッカージャパンムックとして一緒に編集して原稿もいっぱい書いた「無線LAN教科書」シリーズは割と当たり、内容にそれほど変化がないにもかかわらず都合6年も続くことになった。

そしてハッカージャパンが休刊し、似たようなタイミングで岡本君はスプラウトに転職し(その前から準備の話は聞いてたので、なくなったから辞めたわけではなかった)、ぼくは今のWeb脆弱性診断の仕事をするようになった。5年くらい前のことだ。

その後も交流は続き、ぼくは岡本君に頼まれてスプラウトで講演をしたり、バグバウンティサイトを作るから参加してくれと言われて参加したりした。出る人いないからと言われてテレビにも出た。最後に会社の都合でモザイクかけられて、誰だよあの仮名付けた奴と笑ったりもした。

そんな中で彼は「hagex」としての活動も手を広げていった。打ち合わせのたびに、あのブログ、PVだけはあるんだけど誰もバナークリックしないからちっと儲からないんですよ、とグチをこぼしていたのだが、広告ではなくサイゾーなどでWebの連載を得たり単著の書籍を出したり、こじらせ女子とイベントしたり、阿佐ヶ谷ロフトでイベントしたりと徐々に知名度を上げていった。

最後に会ったのは3月だった。次の仕事で必要となる資格の講習を受けにうちの近所に来たので会いませんかということで、いつも打ち合わせに使っていた駅前のトリアノンだった。財務的な話とかリソースの話とか懸念点を伝えると、しばらくは会社員しながら並行していろいろやるからなんとかなるんじゃないかと話していた(とか言ってたけど7月に辞める予定だということを聞いた)。

そして、阿佐ヶ谷ロフトの自分メインのイベントのチケットがまだ三枚しか売れてないんですよ暇ですか近所ですよね?と聞かれた。心配で当日LINEしたら「売れたので大丈夫です」と返事が来た。そんな男だった。帰り間際にうちの奥さんが某漫画家とトラブルになった話をしたら、目を輝かせて「それ今日の話の中でいちばんいい話ですよ!東内さんの名前出さないからいつかサイトに書いていいですか?」と聞かれたのが最後の話題になるとは思わなかった。

なにぶん、まだ実感がないとか書いてるのだけど、一昨日、海浜幕張からの帰りの電車の中で、通夜と告別式の日程が送られてきたとき、たしか前にVladさんが亡くなったとき、岡本君と行く時間とか合わせて一緒に行ったから、電話して相談するかと思ったんだけど、そうか、もう、いないんだ、電話に出ないんだ、と気付いたときには、ぼろぼろ涙がこぼれたんだった。

Written by bogus on 6月 27th, 2018

xssyahoo.comを取得しました   12 comments

Posted at 10:13 pm in diary,XSS

こんにちは。

最近引き取った猫がいきなり脱走して未だ未帰還だったり(自分の居場所に帰ってればいいのですが…)いろいろあってなかなか更新できません。

早く帰ってきてください

早く帰ってきてください

で、たまには更新しなきゃということで
最近修正されたYahoo!のXSSについてちょっと書こうかと思います。

とはいえyahoo.com以外には残っていそうな予感がするので要点だけ。

Yahoo!では外部入力を無防備に(もちろんある条件が整えばの話ですが)HTMLとして書き出す外部ドメインのHTMLファイルを読み込むという、ややこしいうえにセキュリティ的にはなんだかなあということを行っているところがありました。きっとクロスドメインな何かを行いたかったんだと思います。

それだけだとパートナーサイトしょうがないなあで終わりだったのですが、なぜか同じものがyahoo.comにもあり、それを見つけて昨年指摘しました。脆弱性の数でいうと数個なのですが、loginやsecurityを含むYahoo!のほぼすべてのサブドメインになぜかそのhtmlが置かれていたのでURLでいうと1000くらいありました。ほとんどのサイトでそのhtmlが使われている形跡がないのに不思議ですね(au.yahoo.comとかサブドメインでは実際に使われていました)。

指摘から半年が過ぎ、少しずつ*.yahoo.com内のページが修正/削除されて、3月くらいにはすべてなくなっていきました(合わせて5000ドルくらいいただきましたありがとうございます)。

とはいえお気に入りの仕様なのか何の都合かは知りませんが、なぜか*.yahoo.com以外のドメインには残っています。そのため、あんまり大っぴらに書けないなあと思いながら過ごしていたのですが、何かの拍子にこのHTMLファイルの新バージョンを見つけてしまいました。

さすがに修正されているだろうと思いソースを見たのですが肝心の部分はそのままです。ですが、refererを見て呼び出し元がYahoo!のときだけHTMLを書き出すというように条件が追加されています。


if( ! /^https?\:\/\/[^\/\?]*yahoo\.(net|com)(\:\d+)?([\/\?]|$)/.test(d.referrer) )

*yahoo.comと*yahoo.net…えっ!?
これってyahooじゃなくてもオッケーやん…

ということでxssyahoo.comというドメインを取得しました。

xssyahoo.com取得しました。

xssyahoo.com取得しました。

xssyahoo.comから読み込むと予想通りXSSできました。

ということで先月報告したこのXSS、今朝、無事に修正された(というかファイルが消された)との連絡が来ました。次のバージョンではもうちょっとまともになってるといいですね。つかこのファイルyahoo.comに置いちゃダメだから。

Written by bogus on 7月 8th, 2014

ハッカージャパンとその頃の自分を振り返る14(2002年-4)   1 comment

Posted at 1:27 pm in diary,internet,日記

来週から働きに行くことになりました。早く区切りを付けないといけません。

cats_2014-01-21_17

働かないとご飯食べられませんよ

難航していた「爆裂ツール裏ベスト100」と並行して、HJの1月号を編集していました。1月号ではこの頃飛ぶ鳥を落とす勢いだったofficeさんに初めて原稿を書いてもらいました。10月に開催されたA.D.2002で直接口説き落として(というほどのものでもないですが)原稿をお願いしたのです。そういえばこの後ネットでofficeさんの個人情報みたいなのがよく掲載されていたのですが大間違いで笑った気がします。原稿を書いてもらうとよほどのことがない限り振込先となる本名と見本誌の送付先となる住所がわかることになります。

Read the rest of this entry »

Written by bogus on 1月 22nd, 2014

ハッカージャパンとその頃の自分を振り返る14(2002年-3)   2 comments

Posted at 5:25 pm in diary,internet,日記

ひさしぶりに外で仕事することになりました。しばらく労働にいそしみますよ。

cats_2014-01-17_21

のんびりしてばかりというわけにもいきません

前年ひどい目に遭ったのですが、またまたラスベガスに行くことになります。このときは前年とは違いDEFCONだけの取材で、忙しいのは忙しかったのですが、あまり変なことも起こらず割と平穏無事に過ごせた気がします。会場から自分のホテルまでが思った以上に遠くてトイレになかなかたどり着けず尿意が大変だった気がしますがそれくらいですね。

Read the rest of this entry »

Written by bogus on 1月 17th, 2014

ハッカージャパンとその頃の自分を振り返る13(2002年-2)   2 comments

Posted at 5:43 pm in diary,internet,日記

こんにちは。寒いですね。体も心も財布も冷えてます。

cats_2014-01-09_11

しょうがないのでゴミ箱でも漁ります

 

いよいよ雑誌「ハッカージャパン」の創刊なのですが、その前に書籍のお仕事が入ります。「ハッピーハッカー」というVladさん翻訳の書籍だったのですが、創刊号の準備が忙しくてこちらについては校正を読んだくらいでほとんど中身には関わってない気がします。

あまり関わらなかったけどハッピーハッカー

あまり関わらなかったけどハッピーハッカー

Read the rest of this entry »

Written by bogus on 1月 10th, 2014

ハッカージャパンとその頃の自分を振り返る12(2002年-1)   2 comments

Posted at 10:59 am in diary,internet,日記

世間は仕事始めみたいですが、ぼくは仕事がないので引き続き冬休み継続中です。来年の冬まで継続しないことを願っています。

cats_2013-01-05_26

新たな職場に飛び移りたいものですが

 

そういえばすっかり忘れていましたが、多木さんと前後するように編集部に吉田さんも入ってきていました。5人だった時期があったんですね。

吉田さんはたしか元Novelの人でライターさんとして主にWindowsネットワーク系の原稿を書いてもらっていたのですが、お手伝いしてもらっているうちにいつの間にやら編集部員になっていました。その後退職されるのですが、フリー編集/ライターとしてHJの休刊まで関わることになります。何かのイベントでport139の伊原さんにハンドル名で吉田さんのことを尋ねられたことがあってそのときにはじめて知ったのですが、実はNetWare界では有名人だったようです。

そんな吉田さんですが、近くで作っていた「それゆけパチパチ1ヶ月」(うろ覚え)みたいな名前の売れずにすぐに廃刊になったパチンコ雑誌に「会社帰りにちょっとスロットを打つのが趣味の吉田係長」という偽読者モデルとして駆り出されて掲載されたため、その後現在に至るまで白夜の中では吉田係長と呼ばれることになります。

また、セキュリティ界ではDEFCON Japanという名称が使えなかったので名称変更を余儀なくされた「A.D.2000」や「A.D.2000」、「セキュリティ・スタジアム2001」などのイベントが行われたりして、それなりに活況になってきます。HJでもそのあたりで登壇されていた人や会場で話をしたOfficeさんやたりきさん邪悪神父さんなどに原稿を書いてもらうようになります。

このころ創刊された日経ネットワークセキュリティ

このころ創刊された日経ネットワークセキュリティ

 

2002年になりました。他社からは翔泳社のセキュリティマガジンや日経ネットワークセキュリティなんてムックが出たり、B-Geeksも発売を続けているなど(悪のマニュアルシリーズの書籍もいろいろ出てました)、セキュリティ出版界は大盛況でしたが、ムックの「ハッカージャパン21」は地味に売り上げが下がりつつあり、このままでは続けるのは厳しいということで、Vol.8で最後ということになります。

色紙を使った連載が始まったところなのを見てもわかるように、編集部としては特に終わらせるつもりはなかったのはずなのですが、本社の意向なので仕方ありません。そしてこのあたりから営業の方からぼくのところに、ハッカージャパンやめて技評のようにIT書籍をたくさん出そうよという内線が何度もかかってくることになります。

そんな技評を目指したい営業の意向もあってかなくてかは忘れましたが、Vol.8と並行して書籍「インターネットツール構築論」を出すことになり、ぼくはその編集に忙殺されることになります。これも連載をまとめたものですが、加筆修正も多いうえにHJの作業もあって(少しは減らしてもらったはずですが)いろいろ大変だった気がします。それでも無事に期末の3月にちゃんと発売されました。売れそうな気がしてたのですが、今となっては戦略的に失敗したと思えるところもあって思ったほどは伸びず、いろいろ後悔することがある本でした。

インターネットツール構築論

インターネットツール構築論

●ハッカージャパン21 Vol.8(2002年3月発売)

そして最後となるVol.8ですが、特に最後だからと言って変わったこともなく終わりを迎えます。特集1はたりきさんによるIEの脆弱性の話で、もう修正されているものばかりですが今見ても興味深いものがあります。そして今読んで思い出したのですが、特集2はぼくが全部書いてますね。たしかトレンドマイクロのルータに何か問題があって担当の人が編集部に来て話をした覚えがあります。

最後のハッカージャパン21

最後のハッカージャパン21

この頃から原稿をがっつり書くようになります

この頃から原稿をがっつり書くようになります

そして、追い込まれた編集部はじゃあどうする? ということで起死回生を狙ってというか破れかぶれというか目先を変えてというか、まあ理由はいろいろあるのですが、雑誌としてスタートすることになります。次からは隔月刊ですよ。

 

Written by bogus on 1月 6th, 2014

ハッカージャパンとその頃の自分を振り返る11(2001年-4)   1 comment

Posted at 1:10 pm in diary,internet,日記

あけましておめでとうございます。今年もよろしくお願いします。
今年は真面目に働こうと思っています。お仕事募集中です。ください。

cats_2014-01-01_9

寝正月ですよ

編集部にようやく岡本くんというアルバイトが入ってきます。それまでも何度かアルバイトの面接は行ってたのですが、コンピューターには興味はないけどとりあえず出版業界に潜り込みたいような人や、出版業界にすら興味がないけど偉い人のコネで面接をごり押しされたような人で、いずれも採用には至らずでした。

Read the rest of this entry »

Written by bogus on 1月 2nd, 2014

ハッカージャパンとその頃の自分を振り返る12(2001年-3)   7 comments

Posted at 2:40 pm in diary,internet,日記

ぼくはずっと冬休みみたいなものですが、世間はようやく冬休みのようですね。連載させていただいてたセキュリティにゃーくサイドも最後の原稿を提出しました。1年間ありがとうの感謝として掲載した写真を使ったカレンダーを作成しました。よろしければお使いください。 http://bogus.jp/nyarkside_calendar.pdf

cats_2013-12-22_13

ご愛読ありがとうございました。

 

さて、編集部も3人体制に戻り、Vol6の作業に入ります。自分が取材に行かないこともあってほぼ興味の範疇から外れていたBlacHat/DEFCONなのですが、このとき急に取材に行くことになりました。アメリカに行くからといって特に回ってくる仕事が減るわけでもなく、英語もできないのでそれほど乗り気でもなかったのですが、仕事なので仕方ありません。パスポートを取ったり、取材用のノートパソコンを買ったりデジカメを買ったりとずっと先延ばしにしていたことを一斉にやったため、いろいろ大変でした。

Read the rest of this entry »

Written by bogus on 12月 28th, 2013

ハッカージャパンとその頃の自分を振り返る11(2001年-2)   7 comments

Posted at 11:16 am in diary,internet,日記

数人に大好評なこの振り返り、そろそろ付いてきている人も少なくなっていと思います。このへんから面白くないので読まなくていいですw

cats_2013-12-25_22

食うのに必死です

 

CGI書籍は無事発売されましたが、その後も変わらず編集部は何ともいえないどんよりした雰囲気のままVol.5の作業に入っていきます。多木さんは会社には来るものの相変わらずほぼ仕事が進まず、斉藤さんの方も指導する多木さんがまるで仕事ができないことに悩んだのか、他の理由があったのかわかりませんが、会社に泊まり込んでる日数が増えている割にはいつもに比べてちっとも進捗がはかどりません。

Read the rest of this entry »

Written by bogus on 12月 26th, 2013

ハッカージャパンとその頃の自分を振り返る10(2001年-1)   3 comments

Posted at 12:05 am in diary,internet,日記

世間はクリスマスですね。最近プレゼント目当てにウィッシュリスト公開している人が多いですが、砂、送られたらどうするんでしょうね。

cats_2013-12-22_17

クリスマスですが特に何もないです。

 

さて、2001年になりました。2000年後半にIISのUnicode処理に起因するセキュリティホールが見つかって、なかなか日本語版のパッチも提供されなかったため、ちょうどこの頃、これに対する攻撃が流行していました。ぼくも友達のサイトのディレクトリを表示したり電卓を起動したりしていたものです。そして、この頃はポート139開けっ放しでWindowsファイル共有フォルダを世界に向けて共有している人が多かったので覗いていた気がします。認証していないので不正アクセス禁止法にも引っかからず安心ですからね。

Read the rest of this entry »

Written by bogus on 12月 25th, 2013