水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年10月

2007年10月

2007年10月30日(火曜日)

病院行き

ここ数年、この時期になると指の皮が剥けて痛くなるという現象に悩まされていたのですが、今年はちょっと素手でキーが打てないほど厳しいので、病院に行ってみました。

精神的に緊張すると手のひらに汗をかいたりしますが、私の場合は常に手のひらに汗をかいている状態になっているというお話でした。これは自律神経が常に緊張・興奮状態になっているためなので、自律神経の働きを調整する必要があるとのこと。

……というわけで、自律神経調整薬 (グランダキシン (www.mochida.co.jp)) を処方されたり。

関連する話題: 出来事

美味しんぼ100

美味しんぼ100 (www.amazon.co.jp)。ついに 100巻ですね。一応購入。

※とはいえ、最近あんまり話が面白くないと思っていたり……。次号で何かあるらしいのでちょっとだけ期待しておきます。

美味しんぼ 100 日本全県味巡り 青森編 (ビッグコミックス)

関連する話題: 出来事

2007年10月29日(月曜日)

届出状況2007Q3

ソフトウエア等の脆弱性関連情報に関する届出状況 [2007年第3四半期(7月~9月)] (www.ipa.go.jp)が公開されております。

(2)ウェブサイトの脆弱性で300日以上も対策が完了していないものが50件に達しました

あれ、そもそも取扱には期限があるのではなかったのでしたっけ? ……と思って振り返ってみると、昔は「9 ヶ月後である○○日を本届出の取扱い期限といたしますので、あらかじめご了承ください」と言われていたのに、最近言われなくなっていますね。最近は、特に期限にこだわらずに取り扱う方針になっているのでしょうか。

※そういえば、某有名企業の日本法人なんかは届出から2年以上経っても修正完了報告がありませんが、いつのまにか修正されていたりするようで……。なかなか複雑ですねぇ。

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

2007年10月27日(土曜日)

日常(二) 他

むしゃくしゃしてやった。後悔はしていない。

「日常」は一巻が面白かったので即買いで。まあ、ここまでは良いでしょう。

これ一気にまとめ買い。かなりざわざわしてます。

日常 2 (角川コミックス・エース 181-2)とらぶるクリック!! (2) (まんがタイムKRコミックス)賭博黙示録カイジ(6) (ヤングマガジンコミックス)賭博黙示録カイジ(7) (ヤングマガジンコミックス)賭博黙示録カイジ(8) (ヤングマガジンコミックス)賭博黙示録カイジ(9) (ヤングマガジンコミックス)賭博黙示録カイジ(10) (ヤングマガジンコミックス)賭博黙示録カイジ(11) (ヤングマガジンコミックス)賭博黙示録カイジ(12) (ヤングマガジンコミックス)賭博黙示録カイジ(13) (ヤングマガジンコミックス)

関連する話題: マンガ / 買い物 / 日常

2007年10月26日(金曜日)

Black Hat Japan 2007 Briefings 2日目

1日目に引き続き、2日目のメモ。

情報セキュリティ管理のための新しい技術

技術と社会、という切り口のお話。social-engineering ならぬ socio-engineering。50年前のシステムが今でも現役で動いていて止められないところに、最新のシステムをくっつけなければならないという現実。

「理論的には可能なんだけど、そんなの運用してられない」とか、「古いコンテンツが3000ページあるのだが作り直しはできないので何とかうまく合体したい」なんてのは良くある話なので、身近に感じられました。

参考 : 「社会状況を意識した技術開発を望む」--Black Hat Japan 基調講演 (japan.zdnet.com)

URIの使用と悪用

URI ハンドラの話。少し前にfirefoxurl: スキームの脆弱性の話がありましたが、その系統の話です。

DNS Rebinding を利用した Picasa (picasa.google.co.jp) の exploit デモは非常に印象的でした。Flash + DNS Rebinding はアツいですね。

スタティック分析によるセキュアプログラミング

ソースコード分析ツールのお話。個人的には、これに類するものって FxCop (www.gotdotnet.com) ぐらいしか触ったことがないもので、今一つピンと来なかったりしており。

関連する話題: セキュリティ / Flash

2007年10月25日(木曜日)

Black Hat Japan 2007 Briefings 1日目

Black Hat Japan 2007 Briefings (www.blackhat.com) に行ってきたので、聞いたものの感想などをメモ。まずは1日目。

101号室からの手紙

国家による情報統制、インターネットへの接続規制のお話。国によって様々な規制、そして様々な抜け道。「101号室からの手紙」という言葉の元ネタが分かりません。orz

参考 : セキュリティ専門家が語る「インターネットの統制状況」 (japan.zdnet.com)

DNS PinningとソケットAPIについて

掲題は古いもの。実際には「DNS Rebinding」に改題されていましたが、DNS Rebinding / DNS Pinning / Anti-DNS Pinning のお話。

Flash は論外、多くのブラウザ等は閉じたポートを叩かせるだけで Anti-DNS Pinning でき、意外に簡単に攻略できる模様。

このプレゼン自体は実演が無くてちょっと物足りない感じがしたのですが、実は強烈な実演が翌日に控えていたという……。

ファジングは最悪だ!(あなたの思うようにファジングするには)

ファジングツールのお話。

……この辺でちょっと眠気が。orz

小さなハイブリッドウェブワームにできること

JavaScript + Perl で動作するワーム、そのワームがいかにして生き残るかという話。phpBB を攻撃して猛威をふるった Perl.Santy は「銀の弾丸」で一撃死。それを避けるために検索ワードをちくちく変えてみるとか。

さらに、シグネチャによる検出を回避するために自己を書き換えながら広まってゆく事が望ましいというお話。その書き換えの話がとても面白かったです。whileループを for で書き換えたり、変数名を Web サイト上の単語から抽出したり。

関連する話題: セキュリティ / Flash

ファイナルファンタジータクティクスA2 封穴のグリモア

ファイナルファンタジータクティクスA2 封穴のグリモア (www.amazon.co.jp)」購入。

Black Hat Japan 2007 Briefings (www.blackhat.com)の開場が9時で、最初の講演が10時半からだったので、「ビックカメラ開店と同時にブラックハットロゴ入りのバッグを持って突入」という、どう見てもアレな行動になってしまいましたが……。

Black Hat は休憩が長いので、その時間を使ってちくちくプレイ。前作 (www.amazon.co.jp)の雰囲気を残しつつ、操作性が良くなっていますね。エンゲージ中、上画面にロウが常に表示されているというだけでだいぶ良いです。

※前作が酷かったのかも。

ところで、予約時にゲームの名前を告げる際、脳内で「FFTA2」と記憶されていたものを「ファイナルファンタジータクティクスアドバンス2」と展開してしまったのですが、本作はゲームボーイアドバンス用ではないので、「アドバンス」はおかしいのですよね。今作の「A」がいったい何の略なのかは永遠の謎?

関連する話題: ゲーム / 買い物 / ファイナルファンタジータクティクス

2007年10月23日(火曜日)

賭博黙示録カイジ

読んでおくべきだと言われたので5巻まで購入。まさかジャンケンで5巻まで引っ張られるとは思いませんでした。

一点、気になったところ。4巻の第46話で、カイジは以下のように言っています。

3枚破棄というアクシデントが 本来割り切れるはずのカードの数を割り切れなくしてしまった

これはカイジの勘違いではないかと思います。アクシデントなど無くても、残りカードは奇数枚になり得るはずです。

たとえば参加者が3名で、うち2人が3回勝負し、片方が3連敗して脱落したケースを考えてみます。最初36枚あったカードのうち、6枚が勝負で消費されています。脱落者はカード9枚を持った状態で脱落しましたから、9枚が箱に投入されます。そして生存者2名の手持ちカードは 12枚と9枚になります。残りカードの合計は21枚で、奇数です。

※そのため、ここからこの2人がカードを消費し尽くすことは不可能で、少なくともどちらかは脱落します。

アクシデントが無くても、脱落者が奇数枚持って脱落すれば残りカードの合計は奇数になります。逆に、アクシデントで奇数枚のカードが無くなっても、脱落者によって残カード枚数が偶数になることがあり得ます。アクシデントは単に電光掲示板の数を不正確にしただけで、カードが割り切れなくなった原因ではないはずです。

あと気になったのは、「カードを使い切った」ということをどうやって確認するのかということ。あがりの人がボディチェックされている様子などは描写されていませんが、カードを隠したまま「あがり」を主張することは可能なはず。箱にこっそり複数枚のカードを同時投入するという不正も考えられますが、どうやって見破るのでしょうか……。

賭博黙示録カイジ(1) (ヤングマガジンコミックス)賭博黙示録カイジ(2) (ヤングマガジンコミックス)賭博黙示録カイジ(3) (ヤングマガジンコミックス)賭博黙示録カイジ(4) (ヤングマガジンコミックス)賭博黙示録カイジ(5) (ヤングマガジンコミックス)

関連する話題: マンガ / 買い物 / カイジ

2007年10月19日(金曜日)

人は死んでも生き返る?

中学生の2割が「死んでも生き返る」と考えている? (slashdot.jp)」。

そういえば「スピリチュアルにハマる人、ハマらない人 (www.amazon.co.jp)」にもそういうネタがありましたね。「人は死んだら生き返るか?」という設問で小学生と大学生にアンケートを取ったところ、大学生の方が「生き返る」と答えた率が高かったとか。

実際問題、子どもに「お盆になると死んだ人が帰ってくる」などと教える人はけっこういるような気がしますので、学年が進むとその教育の成果が出てくるということなのでしょうか。

関連する話題: 与太話

exploit削除

掲示板の #4663 に exploit の URL が貼られていたので非表示処理。

spam削除するのも面倒だし、もう URL はいっさい書けないようにしたほうが良いのかなぁ。URL が書かれている奴は全部承認制とか (それも面倒ですが)。

関連する話題: セキュリティ / hatomaru.dll

2007年10月16日(火曜日)

社内うつ

古い記事ですが興味深かったのでメモ : 「20〜30代で急増する「社内うつ」(2) (www.nikkeibp.co.jp)」。

関連する話題: メモ

ファミコン修理終了

初代「ファミコン」など公式修理サポート終了 (www.itmedia.co.jp)

ファミコンについてはむしろ「いまだに修理していたのか」という感じですが、NINTENDO64 (www.amazon.co.jp) も一緒に修理終了なのですね……。

※何故か会社に NINTENDO64 が置いてあったりするのだけど。

関連する話題: ゲーム / 任天堂

2007年10月13日(土曜日)

ブルースクリーン

ニンテンドー Wi-Fi USB コネクタ (www.amazon.co.jp)ドライバダウンロードのページ (wifi.nintendo.co.jp)がひっそりと更新されており、Vista 対応になった模様です。

喜び勇んでドライバを入れてみたら……インストール中にブルースクリーンになって死亡。orz

※その後再起動は普通にできたので、まあ問題はないのですが、Wi-Fi USB コネクタを使うのは無理っぽいですね……。

関連する話題: Windows Vista

2007年10月12日(金曜日)

Wiiインターネットチャンネル・アドレス偽装のセキュリティ修正?

アップデートされたWii (www.amazon.co.jp)のインターネットチャンネルを使っていて、ひとつ気になったことがあります。

インターネットチャンネルでは画面下部にツールバーが表示されるのですが、設定でツールバーを隠す事ができるようになっています。ツールバーを隠している場合、以前はそこには何も表示されていなかったのですが、新しいバージョンでは、ツールバーの「ページ情報」ボタンの位置に影のようなものが表示されるようになりました。画面下部にポインタを持っていくとツールバーが表示され、ちょうど影の部分に「ページ情報」ボタンが重なり、押せるようになります。ポインタをツールバーの外に出すと、ツールバーは消えますが、「ページ情報」ボタンの場所に影が残ります。その影は押しても何も起きません (押せない旨の警告音が出ます)。

困るのは、その影の後ろに Web ページのリンクなどがあっても、そのリンクを押すことができないということです。普通に邪魔ですし、押せそうなのに押せないという、ちょっと良くないオブジェクトになっています。いちおう SSL のページになると鍵アイコンに変わったりするのですが、URL が一緒に表示されるわけでもないので、それだけではあまり役に立ちません。そもそも、わざわざツールバーを隠す設定にしているのに、何故こんな邪魔なものを置くのかと……。

最初はその理由が理解できなかったのですが、ふと、その影の持つ意味に思い至りました。

実はインターネットチャンネルにはアドレスバーがありません。そのかわり、ツールバーの「ページ情報」ボタンを押すと、見ているページの URL が表示されるようになっています。今見ているページの URL を知りたければ、ツールバーの「ページ情報」ボタンを押して、そこに表示された URL を見ることになります。

そこで考えたいのは、もし表示されているツールバーがニセモノだったらどうなるのかということです。ユーザがツールバーを非表示にしている場合、Web ページが下部にツールバーとそっくりのものを置いていると、それは本物のツールバーとほとんど見分けがつきません。本物そっくりのツールバーもどきに、本物そっくりの「ページ情報」ボタンを置き、リンク先を本物の「ページ情報」画面とそっくりに作り、そこに偽の URL を記載しておけばどうでしょう。ユーザがそれを本物と誤認して、アドレスの偽装が成立するおそれは十分にあると思います。

しかし、新しいインターネットチャンネルではこの攻撃は通用しなくなっています。前述の「影」の存在によって、偽の「ページ情報」ボタンが押せないからです。ツールバーを消してもページ情報ボタンの影が残ること、影の後ろのボタンが押せないことによって、アドレス偽装の攻撃が成立しなくなっているわけです。

これが意図的に行われた「セキュリティ修正」なのかどうかはよく分かりません。前に書いたように、Q&A にはセキュリティ修正が含まれている旨の記述がありますが、アドレス偽装の修正が行われたとは書かれていませんので、別の意図で実装した物がたまたま偽装を防いでいるだけなのかもしれません。しかし、いずれにしても、古いインターネットチャンネルでは、ツールバーを隠して使っている場合にアドレス偽装が成立する可能性があるということは間違いないと思いますので、アップデートを強く推奨したいところです。

※まあ、そもそもアドレスバーが無いというのが問題ではあるのですが。

関連する話題: Wii / Opera / セキュリティ / 任天堂 / SSL/TLS

2007年10月11日(木曜日)

Wiiインターネットチャンネルの脆弱性修正

Wii (www.amazon.co.jp)本体やらインターネットチャンネルやらが更新されたようなので、アップデートしておきました。ちなに Q&A を見ると

●Flash PlayerとJavaScriptに関する脆弱性に対策を施しました。

以上、2007年10月10日以降にダウンロードしたインターネットチャンネルは、どこが変わっているのですか? より

なんてのが書いてあるのですが、詳細不明です。

いずれにしても脆弱性とハッキリ明記されているわけですから、「アップデートしないと危ない」ということだと思うのですが……。任天堂のアナウンスからはそういうニュアンスがあまり感じられず、それがちょっと気になる今日この頃です。

関連する話題: Wii / Opera / セキュリティ / 任天堂 / Flash

2007年10月10日(水曜日)

スーパーマリオギャラクシーは期待できる?

スーパーマリオギャラクシー (www.amazon.co.jp)のインタビュー記事が出ていますね。「社長が訊く『スーパーマリオギャラクシー』 (wii.com)」。

小泉さんも開発にかかわった『スーパーマリオ64』(※7)は、とても高い評価をいただく一方で、3Dアクションゲームに対して、苦手に感じてしまうお客さんを生み出すことになりましたよね。

そのときに生まれた課題を、先送りにしてしまったということなんですね。

以上、社長が訊く『スーパーマリオギャラクシー』:たくさんの声を聞きながら より

私もマリオ64 (www.amazon.co.jp)はバーチャルコンソールでプレイしていまして、スター120個集めたりしたのですが、最後までイマイチ馴染めませんでした。特に、3Dならではの理不尽な死に方をすると頭に来ます。良くあるのが「奥行きが分からずに死亡」というパターンです。細い板が突き出しているような地形に乗ろうとして、奥行きがずれていて乗れないとか。

※あと、カメラの操作がメチャクチャやりにくいのですが、これはクラシックコントローラの問題っぽいです。本来は十字ボタンに割り当てられていたカメラ操作を、スティックで行う必要があるので……。

そういうのが改善されていると良いなぁ。いちおう、買いの予定で。

スーパーマリオ64 振動パック対応版

関連する話題: ゲーム / Wii / 任天堂 / マリオ / バーチャルコンソール

2007年10月9日(火曜日)

スケッチブック追加

どばっと購入。

相変わらず主人公は喋らない……。

なにげに微妙に生き物に詳しくなれれたりしますね。

スケッチブック 2 (BLADE COMICS)スケッチブック 3 (BLADE COMICS)スケッチブック(4) (BLADE COMICS)スケッチブック 出張版 (BLADE COMICS)

関連する話題: マンガ / 買い物

2007年10月8日(月曜日)

mixiリニューアル

mixi、新しいサイトデザインの評価は? (slashdot.jp)」。面白かったのは、「All About専門家のコメント (slashdot.jp)」という話。

いずれにしても上場企業のする仕事とは思えません。

そもそもせっかくリニューアルといっているのに、いまだにphpではなくperlで動いているあたり。。。

以上、今回のmixiのリニューアルについて - 専門家に聞く [All About プロファイル] より

うーむ、リニューアル時には Perl で動いているシステムを PHP に移植するべきだという主張ですか……。とりあえず、「『PHPを避ける』の人との対決が見てみたい」に一票。

関連する話題: セキュリティ / 与太話

2007年10月5日(金曜日)

スケッチブック

何となくスケッチブック 1 (www.amazon.co.jp)を購入。

主人公(?) は喋らない人なんですね。なんとも不思議な感覚のマンガです。

スケッチブック 1 (BLADE COMICS)

関連する話題: マンガ / 買い物

モノレール

天王洲アイルに行く用事があったので、モノレールに乗ってみました。

……帰り道、何故か Ejovi Nuwere氏の裁判の話になり、非常に興味深いお話を聞くことができました。

※参考 : 住基ネット侵入実験の講演を断念したSecurityLabのCTO、総務省を訴える (internet.watch.impress.co.jp)

関連する話題: 与太話 / セキュリティ

2007年10月3日(水曜日)

Wiiリモコンジャケット

帰ったら Wii (www.amazon.co.jp) が光っていたので伝言をチェックしたら、任天堂からでした……「「Wiiリモコンジャケット」についてのお知らせ (www.nintendo.co.jp)」。

なんと無料配布だそうで。かつてストラップの交換もありましたが、これもリモコン吹っ飛び対策の一環という事なんですかね。

※しかし任天堂が配ってしまうと他社製品 (www.amazon.co.jp)の立つ瀬がないような気もするのですが。

ちなみに Wii のインターネットチャンネルを使って申し込んでみたのですが、数字を半角で入れろとか言われて萎えまくり。インターネットチャンネルの UI だと全角とか半角とか分かりにくいのですよね。システム側で半角にしてくれれば良いのに……。

関連する話題: Wii / ユーザビリティ / 任天堂

2007年10月2日(火曜日)

よつばと! 7

よつばと! 7巻 (www.amazon.co.jp)が出ていたので購入。

しまうーが良いですなぁ。

よつばと! 7 (電撃コミックス)

関連する話題: マンガ / 買い物 / よつばと! / あずまきよひこ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト