水無月ばけらのえび日記

ビック長期保証

ビック長期保証 (www.biccamera.com)って、「ポイント 5% を使って追加できる」と説明受けますが、これは実際につくポイントから -5% なのではなくて、購入金額の 5% に相当するポイントを消費するのですね。

普通はどちらも同じなのですが、ポイントを使って買うときには注意が必要です。たとえば、2万円でポイント還元率 13% のものを購入して長期保証をつけるとしますと、ポイントを使わない場合は

• 支払金額 …… 20,000円
• ポイント …… 2,600ポイント
• ビック長期保証加入分 …… -1,000ポイント
• ポイント合計 …… 1,600ポイント

となります。この場合はポイント還元率 13% のところ、長期保証をつけると 8% の還元率になる、という理解で問題ないのですが、ここでたとえば 1万ポイントを使った場合、

• 支払金額 …… 10,000円
• ポイント …… 1,300ポイント
• ビック長期保証加入分 …… -1,000ポイント
• ポイント合計 …… 300ポイント

となります。この場合でも長期保証加入に必要なポイントはあくまで 1000 ポイントなので、「13% が 8% になる」という話にはならないのでした。

• 「ビック長期保証」にコメントを書く

関連する話題: 買い物

200億円

基本的に原告が請求していないものを給付させることはできないので、604億と査定しても請求されている 200億分しか認められないわけです。

では最初からたくさん請求しておけば良いのでは、と思いがちですが、そうすると訴状に貼らなければならない印紙の額が増えるという罠があります。

しかし、訴額 200億円でも印紙はものすごい額になったと思いますが……いくらなんだろ。

• 「200億円」へのコメント (2件)

関連する話題: 法律

MBSA1.2

何となく Microsoft Baseline Security Analyzer (MBSA) 1.2 (support.microsoft.com) をインストールして実行してみました。

…… MSXML 3.0 SP4 を入れろと言われたのでインストール。あとはこのへん。

• [IIS]AspEnableParentPaths MetaBase プロパティは False に設定する (support.microsoft.com)
• 匿名ログオン ユーザーがアクセスできる情報の制限 (support.microsoft.com) (Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法 (support.microsoft.com))

他はほぼ問題ないんですが、あるマシンでこんなん言われるのですよね。

新しいんだから問題はないと思いますが、これはこれで微妙に怪しい気が……。

• 「MBSA1.2」にコメントを書く

関連する話題: セキュリティ / Microsoft

Eolas問題はどうなるのか

「MS、プラグイン特許訴訟に伴うIE修正を保留 (www.itmedia.co.jp)」。

どっちでも良いのですが、早くハッキリして欲しいなぁ……。

• 「Eolas問題はどうなるのか」にコメントを書く

関連する話題: UA / Internet Explorer

ASKACCS さらにさらに続報

2ちゃんねるの件は ACCS 側からもアナウンスが出ましたね。「緊急のご報告 (www.askaccs.ne.jp)」。

• 「ASKACCS さらにさらに続報」へのコメント (1件)

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

ウィルス警告 spam

最近 Novarg (MyDoom) やら Beagle (Bagle) やらが流行っていますが、むしろ気になるのは「ウイルス感染警告が鬱陶しい」という話です。メールのウィルスチェックはもはや常識レベルになっていると思いますが、サーバによっては、ウィルスを検出するとその送信者に対して「あなたからウィルスが送られました」(訳: ウィルス送ってくるなゴルァ!) というメールを送り返すものがあります。

しかし、最近のウィルスの多くは From: やエンベロープ From を捏造していて、全く関係ない第三者のメールアドレスを騙っていたりします。そういうウィルスに対して「ウィルス送ってくるなゴルァ!」を返信しても意味がないばかりか、関係ない人に spam を送りつけるという結果になります。私はこれを勝手に「ウィルス警告 spam」と呼んでいますが、今流行している Novarg もしっかり From を捏造しているわけで、ウィルス警告 spam の被害もばかになりません。

というようなわけで、送信者にウィルス警告を通知するような設定は無効にしてもらいたい今日この頃。たとえば、Symantec 製品だと「Exchange リアルタイム保護の送信者への警告メール機能を無効にする方法 (service1.symantec.com)」が参考になるでしょう。

本当はデフォルト無効が良いと思うのですけれど、まあこんな感じで無効にしていただけるとウィルス警告 spam が減って幸せになれるかもしれません。

• 「ウィルス警告 spam」にコメントを書く

関連する話題: セキュリティ / spam / メール / MTA

XP+IE の新 Exploit

「「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告 (www.itmedia.co.jp)」。これは凄いです。Exploit を試してみましたが、ピュアに踏んでしまいました。

しかも、肝となる部分は「悪意ある HTML ファイルに拡張子 .folder をつける」という、とっても簡単お手軽なものだったりします。「悪意ある HTML」がちょっと難しいですが、mhtml のアレで……。

これは正直キツいです。「ファイルを開くのはマズい場合があるが、フォルダを開く分には問題ない」などという認識は改める必要がありますね。

• 「XP+IE の新 Exploit」へのコメント (2件)

関連する話題: セキュリティ / Microsoft / Windows XP / Internet Explorer

ASKACCS さらに続報

2ちゃんねるの件、A.D.2003 から正式にコメントが出たようですね。「国立大学研究員によりなされた個人情報漏洩問題に関する調査報告 2chにおける該当資料の流出について (www.ad200x.net)」

• 「ASKACCS さらに続報」へのコメント (1件)

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

続・鳩丸高速化計画その12・日記も DataTable

掲示板の DataTable化は特に問題も出ておらず成功だったようなので、日記側も DataTable 化して高速化することに。色々悩みましたが、何も考えずに Topic のインスタンスをそのまま DataTable に投入する方向で。

しかし微妙なのが「次の日記」の処理。「日付が特定日以前」という条件で「日付で降順ソート」しつつ抽出して先頭の要素を取得、なんて事をしているのですが、「日付が特定日以前のものの中で一番新しいもの」を一発で抽出できないのでしょうか。できそうな気はするのですが、例によってやり方が……。

あと、「最新の日記から 7日以内」というのも微妙。Select("[Date]=Max([Date])") で最新のものと同じ日付を持つものが抽出できたりしますが、7日以内ってどうすれば良いのかしら。Select("[Date]=Max([Date])-7") なんてやってもエラーになるだけですし。

※DateTime型で格納するのをやめて、DateTime.Ticks の値(long型) を格納しておいてそれを使う、というのもひとつの手ですが……。

• 「続・鳩丸高速化計画その12・日記も DataTable」にコメントを書く

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

窓使いの憂鬱 for Windows XP

単純に、普通にダウンロードできる 3.28 は Windows XP に対応していないのだそうで。

謎の test ディレクトリで公開されている 3.29 を入れてみたところ、とりあえず問題ないみたい。

• 「窓使いの憂鬱 for Windows XP」にコメントを書く

関連する話題: 出来事

最悪

2ちゃんねるで例の資料が全世界に大公開。最悪。何を考えてるんだ？

「漏洩の事実は確認できなかった」とか言われると「じゃあ確認させてやろうじゃないか」と思ってしまうのは分からないでもないのですが、超えてはならない一線があるはず。

関係者が沈黙を守った (沈黙を守らざるを得なかった) ことが裏目に出たか……。

• 「最悪」にコメントを書く

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

窓使いの憂鬱

更新: 2004年1月28日

それはたとえばこんな感じですね。

WindowsNT/2000 だけでなく、Windows XP でも行けるみたいです。しくしく。

む、無念なり。

※2004-01-28 追記 : 単にバージョン 3.28 は Windows XP に対応していないのだそうで。3.29 にしたら問題ありませんでした。

• 「窓使いの憂鬱」にコメントを書く

関連する話題: 出来事

早速悪用

「ITmedia エンタープライズ：米テロ対策法を逆手に取る詐欺メールが横行 (www.itmedia.co.jp)」。米テロ対策法はともかくとして、例の URL 表示捏造 exploit が早速悪用されているというのが何とも。

• 「早速悪用」にコメントを書く

関連する話題: セキュリティ

ラストサムライ

眼鏡には慣れが必要な感じなので、テストを兼ねて出かけることに。

物を見るテストなんだからということで映画を見ることにしました。映画は「ラストサムライ (www.amazon.co.jp)」。主役のトム・クルーズと共演の渡辺謙が評価されているようですが、個人的には福本清三 (cozalweb.com)がハリウッドデビューした映画ということで気になっていたのでした。

ネタバレになりそうな気がするので内容については割愛。

全然関係ありませんが、スタッフロールに CHAIN MAIL ASSEMBLY という役職が。日本の鎧って CHAIN MAIL の範疇になるんですね。

• 「ラストサムライ」へのコメント (1件)

関連する話題: 買い物

眼鏡をゲット

眼鏡をゲット。

ちょっとかけてみましたが、距離感がちょっとおかしくて危なっかしいです。

慣れが必要なのでしょうね。

• 「眼鏡をゲット」にコメントを書く

関連する話題: 買い物

「また」?

某所で、「……またやっちゃった？」という謎のメールが流れたり。

"=" が検索できないとか、"E=MC2" を検索すると「検索語は 2文字以上入れろ」と怒られるとか、あることをすると登録されている全てのサイトを調べられたり test.html というファイルだけ抽出できたりして便利だとかいろいろありましたが、結論としてはデータベース破壊などのクリティカルな問題はなさそうということで一安心。

ちなみにこれはニフティのサイト内検索 (homepage.nifty.com)の話。これで 200円なんですよね……。

• 「「また」?」にコメントを書く

関連する話題: セキュリティ / ニフティ

ASKACCS 続報

ASKACCS の件、調査報告書 (www.askaccs.ne.jp)が出ていますね。

コメントはまた後ほど。

• 「ASKACCS 続報」にコメントを書く

関連する話題: ネットワーク / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

matsui.jp

昨日、「テレビで m@tsui.jp に空メールというのをやってるけどどうよ」(意訳) という話が出たので、ちょっと調べてみたり。

• tsui.jp (whois.nic.ad.jp) …… コマーシャルでやっているのがこれ。ちゃんと「株式会社ガリバーインターナショナル」の所有。
• atsui.jp (whois.nic.ad.jp) …… おお、「株式会社ガリバーインターナショナル」がおさえておりますなぁ。
• matsui.jp (whois.nic.ad.jp) …… ゴジラじゃない人が持っている模様。ネームサーバが登録されていないので、使われていないということですね。もったいないですが、間違えてここに送っても問題ないです (というか、送れない)。
• tui.jp (whois.nic.ad.jp) …… ええっと、これは……。TUI AG - Homepage (www.tui.jp) ってのが出てきますね。ドイツの旅行会社っぽいですが。

m@tsui.jp を m@atsui.jp と間違えた場合は問題ないようです。DNS 的には atsui.jp と tsui.jp には同じレコードが登録されていて、MX レコードも同じ値なので、m@atsui.jp でも同じサーバに届きます。

※へっぽこな DNS 管理者だとここで CNAME を使って失敗するというのがお約束ですが、atusi.jp は流石に大丈夫ですね。

m@tui.jp は壮絶な罠で、全く関係ない会社に行ってしまいます。実際に迷惑していそうな予感……。ここに送ったメールの From: に書かれていたメールアドレスがどうなるのかは、ガリバーではなくこちらの会社のポリシーに依存することになります。

ではガリバーにちゃんと送られた場合の扱いはどうなのよ、ということになりますが、http://221616.com/gulliver/policy.html にはいちおうポリシーが掲げられています。

※いちおうというのは、何故かトップページからリンクされていないから。なんで？ なお、サイト使用条件 (http://221616.com/gulliver/jouken.html) の「リンクについて」の内容を守れる自信がないので、リンクせずに URL を紹介するにとどめます。

CM では「この情報をどのように使用するか、お知らせ」してましたっけ？ 空メールの返信には、メールアドレスの取り扱いについて何も書かれていないようですが……。

• 「matsui.jp」にコメントを書く

関連する話題: ネットワーク / セキュリティ / DNS

掲示板まわり改造中

更新: 2004年1月22日

掲示板まわり改造中。掲示板のデータはスレッド表示も含めて ArticleTable から読むように改造。スレッド表示の順番が正しくない (ルート記事の投稿順でソートされているのでコメントをつけても上がらない)、という既知の問題があります。

※けっこう致命的ですが気にしない。そのうち直します。

※追記 : さくっと直しました。内部にもう一つスレッドの状態だけ保持する DataTable を持たせて対応。直ってるはず。

コメントフォーム、親子記事へのリンクなどのインターフェイスまわりも改造中ですが、どうも今ひとつ。

• 「掲示板まわり改造中」にコメントを書く

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll

NEM

NEM (Novice Expert ratio Method) (R) (ueyes.novas.co.jp) というのはなかなか興味深いと思いました。

ユーザテストをすると「時間がかかる操作」というのがあるわけですが、それには以下の二種類があって、

• 誰がやっても時間がかかる操作
• 慣れているユーザには時間がかからないが、慣れないユーザには時間がかかる操作

前者はどうしようもないのだけれども、後者は「ボタンの位置が分からない」などというユーザビリティ上の問題によるもので、改善の余地があるというお話。

言われてみれば、なるほどと思います。

• 「NEM」にコメントを書く

関連する話題: ユーザビリティ

バンズのないハンバーガー

～ バンズのないハンバーガーが初登場 ～ 「ニッポンのバーガー　匠味（たくみ）レタス」発売開始 (www.mos.co.jp)。

匠味というのは以前食べたのですけれども、そのパンをレタスに変えたものが出るそうで。

しかしこれ、ぶっちゃけて言えば「ハンバーグをレタスで挟んだ」というものなのですが、これで「ハンバーガー」の構成要件を満たしているのでしょうか。パンは必須じゃないのかなぁ。

• 「バンズのないハンバーガー」へのコメント (12件)

関連する話題: 飲食物

APOP

ASAHIネットが APOP に対応。 (www.asahi-net.or.jp)やっと……というか何というか。

※どうでもいいですが、APOP の OTP って「パスワードを暗号化する方式」なのかしら？ 生のままでは流さないですし、MD5 でハッシュしているわけで、暗号といえば暗号なのかも知れませんが……微妙に違和感が。

• 「APOP」にコメントを書く

関連する話題: セキュリティ / ASAHIネット / 電子メール

掲示板 spam 対抗ルーチン強化計画

なんだかよくわからない掲示板 spam が投稿されていて、自動ブロック。「記事 掲示板」でかなり執拗に絨毯爆撃したようで、かなり大量に書き込みされていますが、その中で私のとこだけがブロックしているというのはなかなか気分が良いです。

※他人の不幸を何とも思わない奴。

しかし spam スコアはわずか 65 ポイントで、新規投稿警戒補正 +50 がなければ貫通していました。同じものをどこかにぶら下げられていたらアウトです。というわけで、単独で 100 ポイントを超えるようにすべきなのですが、これがなかなか難しく……。

傾向としては、

• 同じ単語の繰り返しが多い
• 改行が異様に少ない
• 難しい漢字が多い

というあたりなのでしょうが、微妙だなぁ。

• サーチエンジン経由で来て 3ステップ以内
• イランからの書き込み :-)

などもチェックして警戒した方が良いのでしょうが、実装が困難。

※いや別にイランじゃなくても良いのですが、要するに「日本ローカルの話題へのコメントとしてはかなり不自然な場所のIPアドレスが用いられている (blog.sakichan.org)」ような場合は警戒した方が良いかもね、という話。

• 「掲示板 spam 対抗ルーチン強化計画」にコメントを書く

関連する話題: セキュリティ / spam / 絨毯爆撃

早速 Beagle 来たー

更新: 2004年1月19日

W32.Beagle.A@mm (securityresponse.symantec.com)が流行り始めたらしい……と聞いたそばから来てるし。

それは良いのですが、この出所が doc769 (fw15.pref.aichi.jp [202.241.152.110]) だったりしており、IP アドレスを Whois で調べてもちゃんと愛知県だったりする今日この頃、住基ネットは安全だと主張される総務省の皆様におかれましてはいかがお過ごしでしょうか。

※これはむしろ山梨評論さん (www.geocities.co.jp)のネタですねぇ。

※追記: その後 NEC-PCuser (YahooBB218129192054.bbtec.net [218.129.192.54]) さんからも受信しました。流行ってるようですね……。ちなみに From: は思いっきり捏造ですので注意。

• 「早速 Beagle 来たー」にコメントを書く

関連する話題: セキュリティ / コンピュータウィルス / 住基ネット

回線容量不足

「通信回線の容量不足に総務相が懸念　通信基盤見直しへ (www.asahi.com)」。

個人的には、まあ動画は仕方ないとしても、とりあえず spam メールをちゃんと規制して欲しいです。回線を太くするのは良いですが、その費用は「未承諾広告※ 関心のない方は削除して下さい」なんてのを大量に送ってくる皆様に負担して頂きたい感じ。

※っていうか、何で全く同じ spam を 4通も送ってくるの？ 4つの異なるリストに載ってるのかしら。

• 「回線容量不足」にコメントを書く

関連する話題: ネットワーク / spam / メール

いろいろ撮ってみる11

• 雪が降ったようで。

  

• 都内某所の池。逆光の割に問題ない感じ。

  

• 池に映る松。

  

• 「いろいろ撮ってみる11」にコメントを書く

関連する話題: カメラ / 写真

Office Update でちょっぴり残念な思い

Microsoft Office XP をインストールして早速 Microsoft Office ダウンロード (office.microsoft.com) におもむいてパッチを当てたのですが、

• パッチを当てるためには SP2 を当てる必要がある
• SP2 を当てるためには SP1 を当てる必要がある

ということで、SP1 をインストール、SP2 をインストール、その他パッチ、と 3回も Update するハメに。

これ、一回にまとまらないのかなぁ……。少なくとも SP2 は SP1 なしで当てられるようにして欲しいと思うのですが。

※Windows 2000 の SP の場合だと、SP なしの Windows 2000 にいきなり SP4 が当たります。

ついでに気になったことがひとつ。「アップデートの確認」(通称 Office Update) を使用とすると ActiveX のインストールを求められますが、これを拒否すると当然エラーになります。そのエラーページを見ると、

って言われているのですね。これ、私なら「ちゃんとダイアログの中身を見て、Microsoft の電子署名がされていることを確認した場合のみ [はい] をクリックしてください」と指導したい感じですけれど……。

※まあ仮にそうなっていたとしても、Office Update を偽装したサイトが出現したら喰らう人は結構多そうな気はしますが。

• 「Office Update でちょっぴり残念な思い」へのコメント (2件)

関連する話題: Microsoft / Microsoft Office / セキュリティ

続・鳩丸高速化計画その11・高速化成功?

結局、こんな感じになりました。

• 掲示板のデータはファイルとしては XML で保存しておくけれども、メモリ上では DataTable (実際にはその派生クラス) に格納して保持しておきます。
• 掲示板のデータを使うときは DataTable.Rows.Find() または DataTable.Select() で該当するデータを引っ張ってきます。
• DataTable はメモリ上に置いておいて、再利用。静的メンバだと同じクラスを別の場所で使ったときなどに色々都合が悪そうな気がしたので、global.asax を利用する形にしました。
• データをロードした時刻を記憶しておきます。DataTable が呼ばれたとき、XML ファイルのタイムスタンプと比較して、古ければリロードします。

ちゃんと検証したわけではありませんが、感覚的にはかなり速くなりました。

以下は今後の課題など。

• 今のところ掲示板だけ DataTable 化してあります。問題なさそうなら (ThreadAbortException が出まくったりしなければ)、日記のデータも DataTable に入れるようにすればさらに速くなるハズ。
• 掲示板のスレッド表示に関しては、階層構造を DataTable に入れるのが面倒なこともあって XmlDocument から読んでくる従来の方法のままです。このままで良いのか、何とかした方が良いのか要検討。
• 記事投稿時に DataTable を更新する処理が未実装。現状では XML ファイルが更新された結果として、XML から全データがリロードされて更新されるようになっています。差分だけ DataTable に直接放り込めばもっと効率が良くなるはず。
• ……たぶん、そこら中にバグがあるでしょう。:-)

• 「続・鳩丸高速化計画その11・高速化成功?」へのコメント (3件)

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

全てが Google という時代は終わる?

「Yahoo!、Googleとの提携は3月まで (www.itmedia.co.jp)」だそうで。

これで悪マニ (www6.big.or.jp)の beyond さんも安心……なのかなぁ。

※Yahoo! Japan が Google を使っている限り意味ないですか……。

• 「全てが Google という時代は終わる?」へのコメント (1件)

関連する話題: Web / サーチエンジン / SEO

リピーター?

更新: 2004年10月18日

3年ほど前のことなのですが、あるサイトで、ふと検索フォームに XSS を発見しました。ついでに色々調べたら、cgi-bin 以下が丸見えであることが判明。しかも、そこには見事に個人情報を含む CSV ファイル (たぶんアンケートのデータ) が置かれていて、ダウンロードできてしまう状態でした。

XSS の方はめんどくさかったので放置しておきましたが、個人情報丸見えは流石に教えた方が良いだろうということでこっそりと報告。その結果……全く何の音沙汰もなく、一週間くらいしてみたら cgi-bin 以下は見えないようにされていました。

で先日、偶然にもそのサイトにふたたび遭遇。3年経っても XSS が直っていない事を確認しました。

それはそれで問題ないのですが (ないのか?)、そのサイトのとある場所にログインフォームがあったので、何も入れないで submit ボタンを押してみました。

※ちなみに、私にはフォームを見かけるととりあえず何も入れずに submit してみる習性があります。そうしないとかなり強力に残念な思いをすることがあるので……。

そうしたら、こういうエラーメッセージが出てしまったのですよね。

Warning: PostgreSQL query failed: ERROR: parser: parse error at or near "and" in /home/homepage/public_html/service/system/index.php on line 87

Warning: Supplied argument is not a valid PostgreSQL result resource in /home/homepage/public_html/service/system/index.php on line 88

なんだかとっても嫌な予感がするのですが、突っ込んで検証しようとした瞬間に「不正アクセス禁止法」(不正アクセス行為の禁止等に関する法律) に抵触するような気がしたので、すんなりと忘れることにしました。

医療ミスを繰り返す医者のことを「リピーター医師」と言うそうですが……。

※2004-10-18 追記: IPA に届け出てみたら 2004-09-21 に修正完了の連絡をいただきました (XSS, SQLインジェクション共に修正完了の旨)。SQLインジェクションが可能かどうかは確認しないで届け出たのですが、ホントに SQL インジェクションできちゃっていたみたいです。ともあれ修正されましたので一安心。

• 「リピーター?」へのコメント (2件)

関連する話題: Web / セキュリティ / 個人情報 / SQLインジェクション

格安ソフトspam

最近やたらと「格安」ソフトの spam が来るなぁと思っていましたが、よく見たら全部同じ所から来ていました。ひたすら鬱陶(うっとう)しいんですけど。

どう考えても不正コピーなので、こういうのは ACCS に通報すると良いのだろうと思うのですが、前にも書いたとおり、通報のためのフォームがスクリプト無効だと使えないという……。

※ある程度のセキュリティリテラシを持っている人は「セキュリティのためにスクリプトを無効にする」というユーザが存在することを知っていますので、Web サイトも自然とスクリプト無効の環境を考慮した設計になるでしょう。スクリプト無効で使えないということ自体が、そのサイトの「指標」になるわけでして……。

• 「格安ソフトspam」へのコメント (2件)

関連する話題: spam / ACCS

新お茶セット導入

そんなわけで新お茶セットを導入。

• 「新お茶セット導入」にコメントを書く

関連する話題: 出来事 / 写真

リモコン

リモコン来たー。「Optio S4 リモコンプレゼントキャンペーン」というやつなのですが、応募したこと自体を忘れていました。

しかし、なんか取説が英語なんですけど……。

• 「リモコン」にコメントを書く

関連する話題: 出来事 / 写真 / カメラ

要求/応答のサイズを記録する

IIS のデフォルトでは HTTP 要求、応答のサイズは記録しません。が、これは記録しておいた方が良さそうな気がしたので、拡張ログの設定を変えてログを取るようにしました。

どうして良さそうな気がしたのかというと、

• システムに XSS があり、それが POST で利用される性質のものだった場合、リクエストもレスポンスも大きくなる (……とは限らないけれども、長大なスクリプトを含ませたりすると大きくなることが多い) ので気がつく可能性がある。
• システムに Path Traversal があったりした場合、データファイルを抜かれたりするとレスポンスのサイズがとんでもなく大きくなる (……とは限らないけれども、これまた大きくなることが多い) ので気がつく可能性がある。

ということで。

• 「要求/応答のサイズを記録する」にコメントを書く

関連する話題: Web / サーバ / httpd

いろいろ撮ってみる10

シリーズ 10回目?

• 全く無意味に回転寿司で撮りまくってしまい、64MB のメモリーカードを使い果たしてしまったという……。

  

• 無関係ですが、超接写のテストとか。

  

• 「いろいろ撮ってみる10」にコメントを書く

関連する話題: カメラ / 写真

色に依存しているようで……

ある回転寿司のオーダーシステムは、以下のように説明されています。

• インターホンにて商品をご注文いただけます。
• ご注文いただいた商品はオーダーカップにのせてレーンよりご提供させていただきます。
• お席に貼ってありますステッカーと同じ色のステッカーを貼ったオーダーカップにのっているご注文いただいた商品をお取りくださいませ。

瞬間的に「色に依存したシステム？」と思いましたが、現物を見ると……

「白」などという色名が表示されているので大丈夫なのでした。

• 「色に依存しているようで……」にコメントを書く

関連する話題: アクセシビリティ / 写真

眼鏡を注文

最近どうも視力が落ちていると思ってはいたのですが、某所のプレゼンテーションの際、スクリーンに映った文字が全く見えずに愕然としました。

私生活は裸眼で問題ないのですが、仕事で支障が出るのは流石にまずいので、観念して眼鏡を買うことに……。

• 「眼鏡を注文」へのコメント (2件)

関連する話題: 買い物

新・お茶セット

そんなこんなで新・お茶セット。

湯飲みは問題なく使えたのですが、まあせっかくなので一緒に更新。

• 「新・お茶セット」にコメントを書く

関連する話題: 出来事 / 買い物

茶こしで怪我

台所で急須を洗っていたら、茶こしの金網が破れていて指を怪我してしまいました。

蓋も欠けていることですし、買い換え時かも。

• 「茶こしで怪我」にコメントを書く

関連する話題: 出来事

いろいろ撮ってみる9

• なごみ系というかなんというか、特に意味はないです。

  

• 「いろいろ撮ってみる9」へのコメント (2件)

関連する話題: 写真 / カメラ

SQLコマンドインジェクション自爆

掲示板のデータを DataTable クラスで処理しようとして、Select メソッドにコメント先の URL を含む値を渡したら

などと言われて終了。ダイレクト SQL コマンドインジェクションのことを何も考えていなかったという……。

サニタイズすれば良いのは分かっているのですが、どうサニタイズすれば良いのかしら。意味のある文字が、これまたえらくたくさんあるような気がしますが……。

• 「SQLコマンドインジェクション自爆」へのコメント (11件)

関連する話題: プログラミング / C# / セキュリティ

朝日新聞一面トップの件 : 撤回

更新: 0204年1月8日

2004年1月5日の日記に、朝日新聞一面トップというコメントを書きましたが、この中に一部重大な事実誤認がありましたので撤回します。

私は以下のように書いていました。

この部分は全面的に撤回します。当初、私は上記に書いたように推測しており、思ったことをそのまま書いていたのですが、この推測が間違っていた事が判明しました。

問題となった「個人情報漏洩」に関する事実関係は以下の通りです。

• office さんがプレゼンテーションに使用された資料の中に、個人データ情報を実際に取得した画面のキャプチャが含まれていました。

• キャプチャされた画面は、askaccs の実際の CSV データがブラウザに表示された状態ものでした。

• その画面にはモザイクなどの処理が行われておらず、入力されたデータの内容が明確に判読できる状態でした。

• 記録されているデータは以下の通りです。

  (自動的に記録されたと思われるもの)

  • 送信時刻
  • リモートホストの IP アドレス

  (ユーザが入力したと思われるもの)

  • 氏名
  • 年齢
  • 住所
  • 電話番号
  • メールアドレス
  • 投稿内容

  (ユーザが選択したと思われるもの)

  • 職業 (選択肢から選ぶ)

• キャプチャ画面から判読できるレコードはおよそ 7件分です。うち先頭の 3件は、内容から判断して設置時の動作テストのものと思われますが、実在すると思われる電話番号などが読み取れてしまいます。残り 4件は、実際のユーザの投稿内容と思われます。

• このキャプチャが含まれる資料は、参加者がダウンロードして持ち帰ることが可能なようになっていました。

  ※追記 : office さん自身にはこのプレゼンテーション資料を配布するつもりはなく、ダウンロードできるようになるものとは知らなかったようです。

朝日新聞の言う「情報を保存した参加者」とは、この講演資料を保存した参加者を指すものと思われます。

これを踏まえると、office さんのしたことは私の想像した以上に「やりすぎ」で、office さんが個人情報を漏らしたという認識は誤りとは言えないと思います。このような内容の資料を配布してしまったのはきわめて重大な誤りであると言わざるを得ず、大変残念に思います。また、この資料を配付することを許した主催者の責任が問われる余地もあると思います。

※追記 : 主催者のコメントが出ていますね。「2004年1月4日の朝日新聞のACCS関連記事について (www.ad200x.net)」

※追記 : 念のために補足。資料による漏洩の他に、参加者が「自分で同じ事をやって取得した」可能性も否定できません。しかし、「ACCS運営ホームページのセキュリティ問題について (askaccs.ne.jp)」によれば、「ネット上での個人情報拡散を調査 → 確認されず」ということなので、個人情報が取られたログは全て office さん本人によるアクセスであり、参加者が別途取得したようなログは残っていなかった……ということなのでしょう、たぶん。

※さらに追記 : office さん自身にはこのプレゼンテーション資料を配布するつもりはなく、ダウンロードできるようになるものとは知らなかったようです。

• 「朝日新聞一面トップの件 : 撤回」へのコメント (1件)

関連する話題: Web / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

いろいろ撮ってみる8

• 謎の炒め物。

  

• 謎の鍋。

  

• 白子っぽい炒め物。

  

• きわどい写真。

  

• その before。

  

• そして after。

  

• 「いろいろ撮ってみる8」へのコメント (4件)

関連する話題: カメラ / 写真

Welchia 減少?

JPCERT/CC インターネット定点観測システム Welchia/Nachi ワームの感染活動が減少していることを観測 (www.jpcert.or.jp)。

……ホントだ、altba.com には昨日一日で 415 件しか来ていませんね。昔は軽く 1000 件以上来ていたので、確かに減っているように思います。

しかしそもそも、Welchia はシステムの時計が 2004 年になると自身を削除するようにプログラムされていたはずです。これは私自身動作確認している (!) ので間違いありません。もう 2004年になったので絶滅しても良いはずなのですが、時計が狂っている、再起動しないで延々動いているのでワームのファイルが削除される機会がない、しぶとく生き残った者からの再感染……といったような要因で生き残っているのでしょうね。

• 「Welchia 減少?」にコメントを書く

関連する話題: Web / セキュリティ / コンピュータウィルス / Welchia

悪マニが google から消えた?

悪徳商法？マニアックス (www6.big.or.jp)が google で検索できなくなったのだそうで。

実は前から気になっていたのですが、悪徳商法？マニアックスのトップページなどは、

この「ユーザーからは見えないもののサーチ エンジンが見ることができるテキストの書き込み」に思いっきり該当しそうな感じなのですよね……。

• 「悪マニが google から消えた?」へのコメント (6件)

関連する話題: Web / サーチエンジン / 株式会社ウェディング / SEO

XPSP1a

Windows XP SP1a がプリインストールされているマシンに遭遇。SP1a というのは、例の Sun の訴訟がらみで Microsoft VM を外したバージョンです。

……いきなりデスクトップに「Java Web Start」のアイコンがあるというシュールな光景に胸を打たれました。初めて PC に触る人には全く意味不明なアイコンでしょうし、ユーザにしてみれば迷惑以外のなにものでもない話だと思いますが。

• 「XPSP1a」にコメントを書く

関連する話題: Microsoft / Windows / Windows XP

朝日新聞一面トップ

更新: 2003年1月8日

「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表 (www.asahi.com)という記事が一面トップを飾ったようで、office さんの知名度うなぎ登り。って、私もあんまり他人事じゃないですけれども。

……しかし、記事の内容は何とも語弊がある書き方のようで。

「サーバーに入った」と書かれると不正にログインしたかのような印象ですが、これはログインなどと関係ない、公開された HTTP の世界の話です。HTTP のリクエストは「指示」と言えば確かに「指示」なので、間違いではないと思いますけれど……。普通にブラウザでこのサイトを見ている人は、asahi.com のサーバに「指示」を送って「入った」という認識でいるのでしょうか。

「入った」というより、「外にいながらにして情報を引き出すことができた」(できてしまった) という方が、実際に近いイメージになるのではないかと思います。

出ました、「ハッカー」。office さんが指摘している問題って、どれもプログラミングの知識など必要としない性質のものばかりだと思いますが、それでも「ハッカー」と呼ばれてしまうのですね。

※あ、べつに「officeさんはハッカーではない」と言っているわけではないです。実は凄いプログラミング技術をお持ちで、いろいろなものをハックしまくっているのかも知れませんが、少なくとも表面的な活動内容からは「ハッカー」と呼ぶのは適切でないと思えるわけなのでして。

• 「朝日新聞一面トップ」へのコメント (2件)

関連する話題: Web / セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件 / 情報漏洩

いろいろ撮ってみる7

• 何となく撮影してみた歩道橋からの風景。

  

  自動車は被写体ブレを起こすかと思いきや、問題なく撮れています。

• 「いろいろ撮ってみる7」にコメントを書く

関連する話題: カメラ / 写真

続・鳩丸高速化計画その10・方向転換

XmlDocuemnt を単にメモリ上に置いておく計画はどうもうまく行かないので、いったん元に戻しました。目指す方向としては、やっぱり ADO.NET しかないかなと。ADO.NET の DataSet は、最初からメモリ上に置いておいてアクセスするように設計されている (と思う) ので、これで行けばあるいは。

しかし XmlDataDocument は何故か妙に遅いようで、XPath で掲示板の特定のコメントを検索した場合、XmlDocument の 30倍の時間がかかっているのですが……。XmlDataDocument.DataSet.ReadXmlSchema に逐一スキーマを喰わせるのも遅そうですし、速度的にはちょっとダメなのかも。

とりあえず、VisualStudio.NET がなくても xsd.exe /d /l:CS hatomarubbs.xsd /n:Bakera などとしてスキーマから DataSet の派生クラスを生成できる事が判明したので、この方向で研究してみようかなと。

※どうでも良いですが、.NET Framework ドキュメントの XML スキーマまわりの記述、やたら誤訳が多いような気が……。原語が何となく分かるので問題ありませんが。

• 「続・鳩丸高速化計画その10・方向転換」にコメントを書く

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

続・鳩丸高速化計画その9・泥沼化

• 鳩丸 URN 廃止関係で大量のバグを修正。
• えび日記・見出し一覧のバグを修正。これは高速化とは全く関係なくて、年明けになると発生する (正確には、最新の日記の DateTime.Month の値が 1 だと発生する) というバグでした。
• ログを保存する処理を System.Threading.ThreadPool.QueueUserWorkItem() で別スレッドに。

System.Threading.ThreadAbortException はローカルでは全く再現せず、完全に泥沼化。

NameObjectCollectionBase クラスの説明には以下のように書かれているので……

HatomaruDataHolder の内容が他のスレッドによって変更されると System.Threading.ThreadAbortException がスローされるのかなぁと思ったりするわけですが、列挙処理してないし……。試しに BaseGet() を呼ぶときにロックしてみたりしましたが、再現しない (というか、おそらく同時アクセスが必要なのでなかなか再現できない) のでこれで良いのかどうか何とも判断しがたく。

• 「続・鳩丸高速化計画その9・泥沼化」にコメントを書く

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画

続・鳩丸高速化計画その8・コメントインデクス化

年が明けたりしたようですが、相変わらず痛みを伴う改革続行中。

• 日記とコメントとの関係を記録するだけの XML ファイルをつくり、コメント件数などはここから取得するようにしました。これで致命的なところが解消されたはずなので、これでだいぶ速くなった……と思うのですが。
• 謎の鳩丸 URN を廃止。
• 日記の URL が長すぎるのを解消。
• ロックの処理を変更。

今後の課題

• 絶対バグがあるので適宜対処する (ぉぃ)
• ローカルでは問題ないのですが、サーバに置くと場合によって System.Threading.ThreadAbortException が発生する模様。ローカルで再現しないこともあって原因はイマイチ謎ですが、メモリ上にデータを置く系のスレッド処理に問題がありそう。要調査。

• 「続・鳩丸高速化計画その8・コメントインデクス化」へのコメント (2件)

関連する話題: C# / プログラミング / えび日記 / hatomaru.dll / 鳩丸高速化計画