”オーマイニュース 2年半で撤退、4月下旬サイト閉鎖”だって

ここのニュース
「市民記者」のオーマイニュース　2年半で撤退、4月下旬サイト閉鎖
http://headlines.yahoo.co.jp/hl?a=20090325-00000002-jct-sci
によると(以下斜体は上記サイトより引用）


　情報サイト「オーマイライフ」を運営していたオーマイニュース（東京都中央区）は2009年3月25日、4月24日にサイトを閉鎖することを発表した。「市民みんなが記者だ」をスローガンに、鳥越俊太郎氏を編集長に迎え華々しくオープンしたが、閲覧数は低迷、「炎上」などのトラブルも相次いだ。08年には生活情報サイトとして再起を図ったが、最後までビジネスモデルを構築できず、開設から2年半でその幕を下ろすことになった。


そーいや、まったく見てないや、「オーマイニュース」。
鳥越さんとかは、どーなったの？編集長なの？よくわかってない・・・

ちょっとみてみよっと
www.ohmynews.co.jp
っとブラウザに入力して・・・

ありゃりゃ？？
オーマイライフ
http://www.ohmylife.jp/life/
っていうところに飛ばされるんだけど、

株の技術？？

・・・よくわかんないや・・・（＾＾；）

TOCTOU攻撃とは。。。

あした第三回のC/C++セキュアコーディングハーフデイキャンプがあるのに、
今ごろ第二回のC/C++セキュアコーディングハーフデイキャンプの話をするのも
なんなんだけど、一個かいてなかったので、今日書きます。

残ってた内容は、TOCTOU攻撃と、デッドロック攻撃

---

■TOCTOU攻撃

っていうか、そもそも、TOCTOU攻撃って何？っていう話だけど、
TOC＝Time Of Check　チェック
TOU＝Time Of Use　　使用

このチェックしているのと使用しているのの時間差（競合ウィンドウ）を利用して、わるさを仕掛けるというもの

たとえば、

（１）ファイルチェック
（２）存在していたら、Openして読み込み

もし、このとき、（１）でどんなにすばらしいチェックをしていたとしても

（１）ファイルチェック
（１－１）悪意のある人が、（１）のファイルを削除
（１－２）別のファイルを、（１）のファイルとしてすり替える
（２）存在していたら、Openして読み込み
として、読み込んだときは、（１）のすりかえられた、悪意あるファイルになってしまう。

一般には、（１）と（２）の時間は短時間のため、すり替える余裕はないが、
もし、悪意のある人が、２４時間、ずーっとループさせてると、できてしまう可能性がある。


●この対策としては、
・チェックと読み込みを、アトミック（１動作）として行う関数を利用する
・ファイル名でなく、i-nodeなど、実体を指し示すものを使う。

---

■デッドロックを利用した攻撃

デッドロックを起こすには、以下のことが起こる必要がある。
・相互排除
　→いわゆる排他制御

・確保しながら待機
　→確保できたものは、ロックしつつ、
　　確保できなかったものに関して、ロック待ちする

・巡回待機
　→ここで、Aさんも、Bさんも、XとYという資源がほしく、
　　AさんがXをロック、Yがあくのを待っている
　　BさんがYをロック、Xがあくのを待っていると
　確保しながら待機するので、XもYもどちらもあかない。

・強制資源解放不可
　上記のとき、システムが、一定時間以上たったら、XさんかYさんに
　自分の持っている資源を解放させれば、デッドロックは終わるが、
　そんなことはしないとき。

　ということは、「巡回待機」を起こさないために、よく、アクセス順序を
つけることがある。
　しかしこのことは、逆に言うと、もし、アクセス順序がついているなら、
悪意のある人が、その順序を逆走してロックしていったら、デッドロック
攻撃ができるということになってしまう。

---

■その他

・ファイルロック
　よく、ロックファイルを使う場合がある。
　このとき、ロックファイルを作成したまま、プロセスが死んでしまうことがある。
　そうすると、ロックしたままになるが、これを避けるためには、ロックファイルの中に、プロセスIDを書いておき、
　そのプロセスが存在するかどうかをチェックする方法がある。
　　→再利用された場合の問題はあるが。。。

・スレッドセーフでない場合
　排他制御で問題が起きる可能性があるので、ラッパーを使う（Decoratorパターンで）とかする。

・ライブロック
　デッドロック回避ロジックが誤ってずっとロックしてしまう。

情報処理試験のデータベースの勉強をするのに・・・

SQLを動かして、確認しようとしても、テーブルが作成できないと、SELECTの問題を確認できないんですね（＾＾；）
なるほどー・・・

というので、（昨日の続きになってくるのですが）、
　　・MySQLをインストールして、
　　・テーブルを簡単に作るためのGUIツールもインストールして
　　・GUIツールを使ってテーブル作成して、SELECT文を確認する
までの方法について、まとめておきました。

こんなかんじ。


・MySQLのダウンロード
　http://www.geocities.jp/xmldtp/my_down.htm

・MySQLのインストール
　http://www.geocities.jp/xmldtp/my_inst.htm

・MySQLのGUIツールのダウンロード
　http://www.geocities.jp/xmldtp/my_guidown.htm

・MySQLのGUIツールのインストール
　http://www.geocities.jp/xmldtp/my_guiinst.htm

・MySQLのGUIツールの使い方
　http://www.geocities.jp/xmldtp/my_guitool.htm

ただで、全部できちゃうのは、すごいよね。