2007年9月
2007年9月28日(金曜日)
iPod touch の Safari のアドレスバー
ここ数日、社内で iPod touch (www.amazon.co.jp)
フラグメントIDつきのリンクで来た場合、アドレスバーが表示されないことになるかも……。
- 「iPod touch の Safari のアドレスバー」にコメントを書く
関連する話題: セキュリティ
2007年9月25日(火曜日)
大東京トイボックス2/東京トイボックス2新装版
大東京トイボックス 2 (www.amazon.co.jp)
余談ですが、作者の blog に「単行本情報 その6 うわ、やっちゃった (blog.chabudai.com)」というエントリーが。東京トイボックス 2 新装版 (www.amazon.co.jp)
2007年9月21日(金曜日)
誕生日にポケモンセンターに行くと……
ポケモンセンタートウキョー (www.pokemon.co.jp)のページを見ると、こんな事が書いてあります。
お誕生日にはポケモンセンタートウキョーへ!!
お誕生日にポケモンセンタートウキョーへ行くと、ちょっといいことがあるらしい!?
ニンテンドーDSと「ポケットモンスター ダイヤモンド・パール」を持って遊びに行こう!
詳しく見ると誕生日の前後1日で OK らしいので、人が少なそうな平日の昼過ぎを狙って行ってみました。
ネタバレになりますが内容を簡単に書いておくと、特別なポケモンがもらえる (謎のカートリッジを GBA スロットに刺して配信してもらえる) のに加えて、こんな感じの特典があるようです。
- ポケモンセンター謹製のお誕生日カードがもらえる
- ポケモンセンター謹製のお誕生日シールがもらえる (手書きの名前入り)
- ポケモンバトルレボリューション (www.amazon.co.jp)
がプレイできる
- ポケモンセンター内のモニターにお誕生日おめでとうメッセージを映してもらえる (!)
バトレボは持っていますし、店内のモニターに出たりするのは恥ずかしいので遠慮させていただきましたが……。
関連する話題: ポケモン
2007年9月20日(木曜日)
IIS の X-Powered-By だけ隠す話
少し前にサーバのバージョンを隠すのはどうなのかという話がありましたが、とあるサイトの脆弱性診断結果が興味深いことになっていました。
その検査対象のサーバは以下のような内容を含む応答ヘッダを出力していたのですが、
Server: Microsoft-IIS/5.0
X-Powered-By: ASP.NET
これに対してサーバのバージョンを隠せという指摘は無く、X-Powered-By: ASP.NET を隠せという指摘が。
※といっても、隠さなきゃ駄目という論調ではなく、まあ問題ないけど隠したほうが良いかもね、くらいの論調でしたが。
IIS/5.0 は隠さなくても良くて、ASP.NET は隠した方が良い、という理由って何かあるのでしょうか。サーバが IIS だと分かった時点で「ASP か ASP.NET が動作している可能性大」と判断できると思いますので、あんまり意味が無いような気も……。まあ、このあたりは宗教論争になりそうですが。
関連する話題: セキュリティ
2007年9月18日(火曜日)
マンガ買った
いろいろ購入。
- 金色のガッシュ!! 30 (www.amazon.co.jp)
- ぱにぽに10 初回限定特装版 (www.amazon.co.jp)
- 新感覚癒し系魔法少女ベホイミちゃん 初回限定特装版 (www.amazon.co.jp)
ぱにぽに10は初回限定特装版。Amazonに出ていた表紙が一条さんっぽかったので買ってしまったのですが、一条さんの出番は少なかったです……。
2007年9月17日(月曜日)
バトレボ購入
旧DS用の液晶保護フィルタを探してさまよっていたら、さくらやでポケモンバトルレボリューション (www.amazon.co.jp)
※どうでも良いですが、Amazonの価格設定が意味不明です。バラで買った方が安いんですけど……。
関連する話題: ゲーム / Wii / ポケモン / バーチャルコンソール
2007年9月15日(土曜日)
「ブラウザの文字サイズ最大」が半数以上?
「「ブラウザの文字サイズ最大」が半数以上――家庭用PC (bizmakoto.jp)」。な、なんだってー。
調査期間は2007年8月1日から8月31日までで、同社が運営する子育て支援サイト「こそだて」で実施したもので、回答数は516人(男女比24:76)。
「こそだて (kosodate.co.jp)」を見ると……なるほど、文字が非常に小さい上に、ブラウザの文字サイズを「最大」にしても文字サイズが変わらないというサイトなのですね。
※というか、そもそも「最小」~「最大」という選択肢しかない時点で、Firefox ユーザはこの質問に回答できないと思うのですが……。
2007年9月12日(水曜日)
エレベーター 安全を守るのは誰か?
「Windowsプログラミングの極意」を読み終えたところで、りゅうさん (rryu.sakura.ne.jp)にまた別の本をお薦めされました……「崩壊した神話 エレベーター 安全を守るのは誰か? (www.amazon.co.jp)
りゅうさんオススメの部分だけ少し見せてもらったのですが、意外にも「シンドラーのエレベーターは欠陥品ではない」という結論のようで、なかなか興味深そうではあります。
関連する話題: 本
ガジェットのセキュリティ留意点
「自分好みのガジェットを作る! Windowsサイドバーガジェット作り入門:第6回 ガジェットのAPI,セキュリティ,ActiveXの組込みなど (gihyo.jp)」という記事が。ガジェットのセキュリティが気になっていましたが、やはりいろいろ留意点があるようで。
関連する話題: セキュリティ / Windows Vista / ガジェット
2007年9月9日(日曜日)
邪聖剣ネクロマンサー クリア
「邪聖剣ネクロマンサー」クリア。ラスボスが超強いと聞いていたのですが、ピンチになるでもなく楽勝ムードでした。メンバーがライム・カオスという (ラスボスに強い) 組み合わせだったからかも……。ちなみにレベルは 41・39・39 で、これはカオスがデミールを使えるようになるまでちくちくレベル挙げに励んだ結果です。もっと低レベルでもクリアできそうではあります。
そしてエンディングのスタッフロールを見ていたら、「KITAMAKURA」の名前を発見。そういえばこのゲームには、今は亡き北枕獲氏が携わっていたのでした。氏は当時「ファミコン必勝本」という雑誌に連載していて、私はそこで「邪聖剣ネクロマンサー」にまつわる記事を読んでいて、それでこのゲームが印象に残っていたのでした。
※ちなみにその記事では「ターゴベア」「ゾッキーベア」「ターリネード」「バスガネード」といったモンスターの名前の由来に触れられていました。バスガネードの集団にサバリス連発されて全滅したりすると、妙な感慨があります
関連する話題: ゲーム / Wii / バーチャルコンソール
マンガ買った
- らき☆すた 5 (www.amazon.co.jp)
しかし4巻の時もそうですが、何故 Amazon は新刊だけ「らき・すた」と表記するのか……。
※4巻の表記はいつの間にやら修正されたようですが。
2007年9月7日(金曜日)
Windowsプログラミングの極意
今、弊社の一部で微妙なブームを巻き起こしているのが「Windowsプログラミングの極意 (www.amazon.co.jp)
しかしこれが面白いのなんの。個々のエピソードがあまりにも壮絶で、本当に苦労が忍ばれます。Windows を見る目が変わること請け合いです。
関連する話題: Windows
XMLのXML要素
とある XML、なんか堂々と「XML」という名前の要素が出現していて驚きました。
XML の仕様では「XML」とか「xml」とかいう文字列で始まる名前は予約されていて、普通に使っちゃ駄目ということになっています。
Names beginning with the string "xml", or any string which would match (('X'|'x') ('M'|'m') ('L'|'l')), are reserved for standardization in this or future versions of this specification.
以上、Extensible Markup Language (XML) 1.0 (Fourth Edition) 2.3 Common Syntactic Constructs より
「xml-foo」のように「xml」で始まる名前をうっかり使ってしまうというミスはよく見かますが、まさかズバリ「XML」という名前の要素を使う人がいるとは……。
関連する話題: XML
2007年9月5日(水曜日)
2007年9月4日(火曜日)
邪聖剣ネクロマンサー
Wii (www.amazon.co.jp)
しかし、ゲームの中断・再開にパスワードを使うゲームというのも逆に新鮮ですね。当時はパスワードをメモするのに相当苦労したものですが、今ではパスワードを写真に撮っておくという技が使えるので楽勝です。時代は変わりましたね……。
※そもそもバーチャルコンソールなので中断機能がありますし……。
関連する話題: ゲーム / Wii / バーチャルコンソール
2007年9月3日(月曜日)
HTML情報サイトでXSS
こんなのが出ています。
- JVN#43091983 futomi's CGI Cafe 製 全文検索 CGI におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
- JVN#43091983 futomi's CGI Cafe 製「全文検索 CGI」におけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)
相変わらず JVN と IPA で表記が違いますが、まあそういうものということで。修正等もろもろありがとうございました。
ちなみにこれは HTML5.JP というサイトで発見したのですが、HTML 関係の情報を提供しているサイトで XSS というのが面白いと思いました。属性付きのタグを検索しただけで地雷を踏むことになりますので、すぐに発見されそうな気がするのですが、意外に気づかれないものなのでしょうか。
※余談ですが、CVSS2 だと XSS の基本値は「警告」レベルになるのですね。昔の CVSS では「注意」レベルばっかりで、イマイチだと思っていたのです。
関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性
サーバのバージョン表示
「サーバのバージョンは隠すのが常識? (slashdot.jp)」
昔「この PHP 古くてヤバイんじゃないの?」と指摘したら、バージョン情報を非表示にするという「対策」を取られて面倒なことになった経験があります。なので、「隠す」という行動にはどうしても悪い印象を持ってしまいますが……。
とはいえ、バージョン表示にたくさんのモジュール名が並んでいたりすると、それはそれで気持ち悪い感じもします。なかなか微妙ですね。
関連する話題: セキュリティ
2007年9月2日(日曜日)
入力時に文字参照に変換するのがよろしくない理由
「Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。
※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。
一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → < " → " のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、
- 絶対に HTML にしかデータを出力しない
- フォームからの入力以外のデータを処理しない
- 作者が一人で開発しているので、出力時の処理も把握している
という条件を満たしているので、そのような処理をしてもあまり問題にならないのだと思います。これは小規模なフリー CGI だからこそ成立していた作法です。規模が大きくなってくると、以下のような問題が顕在化してきます。
- HTML の #PCDATA や RCDATA 以外のところにデータを出力する場合、面倒なことになる (たとえば電子メールやスクリプトに出力したいとき、わざわざ文字参照を展開する必要がある)
- フォーム入力以外のデータを扱うときには、別途処理が必要になる
- 出力時の処理がエスケープされていないデータを前提としている場合、多重にエスケープが行われて出力が化ける
- 文字数を数えるような処理が必要になると面倒なことになる
- 特定の文字数文字列をカットする処理をしたとき、文字参照の途中で切れてしまうことがある
どれも頑張れば対応できるのですが、頑張らないで出力時に考えた方が良いのではないかと。
Wii買った(自宅用)
Wii (www.amazon.co.jp)
Wii はレジ裏に大量に積まれていて、在庫潤沢なようでした。かわりにリモコン (www.amazon.co.jp)
- 前(古い): 2007年8月のえび日記
- 次(新しい): 2007年10月のえび日記
