2008年4月
2008年4月27日(日曜日)
バターがない
バターが無くなりそうなので買いに行ったのですが、なんか全然売られてないのでした。
品薄なのですかね?
※生クリームは売られていたので、最悪、自作しても良いのですが……お値段がなぁ。
- 「バターがない」へのコメント (4件)
関連する話題: 買い物
2008年4月23日(水曜日)
ダンジョン詰め合わせ
「小さな王様と約束の国 ファイナルファンタジー・クリスタルクロニクル (www.square-enix.co.jp)」のダンジョン詰め合わせ (www.square-enix.co.jp)が配信されていたので購入。ダンジョン11個で 300 Wiiポイントは安い。
アンケートで「いくら吸い取られるか分からないのが不安」と書いたから……なのかどうか分かりませんが、追加コンテンツ一覧 (www.square-enix.co.jp)も出ていますね。全部買っても 2,400 Wiiポイントなので、本体と合わせても 4,000ポイントで足りる計算に。
関連する話題: Wii / ゲーム / 買い物 / 小さな王様と約束の国 / FFCC
2008年4月20日(日曜日)
小さな王様と約束の国 2周目クリア
「小さな王様と約束の国 ファイナルファンタジー・クリスタルクロニクル (www.square-enix.co.jp)」2周目ハードをクリア。
……クリア評価が C から S に、冒険者評価が S から SS になったのですが、総合評価は S のまま変わらず……。
関連する話題: Wii / ゲーム / 買い物 / 小さな王様と約束の国 / FFCC
2008年4月19日(土曜日)
サウンドハウスカード情報流出
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ (www.soundhouse.co.jp)」。 PDF に書かれている詳細説明が非常に興味深いですね。なんと、2006年に謎の asp1.asp というファイルが設置されていて、ちくちく利用されていたらしいという。知らないファイルが置かれていても、2年間誰も気づかなかった訳ですね。
※まあしかし、あんまり詳しくは書けませんが、某大企業グループサイトの cgi-bin の下なんか、テスト用の脆弱な CGI プログラムが放置されていても誰も気づかなかったりしていますしね……。
あと、興味深いと思ったのはこのくだり。
ところが、セキュリティの不備は中々解消されず、セキュリティの基準となるガイドラインさえ、殆ど見かけません。対策が進歩しない理由は明らかです。まず、エンジニアが不足していることです。本来ならば、プロのハッカーを雇用して、彼らの目から見た、美味しいと思えるホールを見つけて対処するようなハッキング対策がなされなければなりません。それ故、優秀なハッカーを見つけたら、むしろ国家の機密情報機関で雇用し、高額な報酬を払ってでも、セキュリティ対策を講じるべきなのです。
「プロのハッカー」ですか。
SQL インジェクションは、突かれたときの被害は致命的なのですが、攻撃するのに高度な知識が必要なものではありません。というか、SQL インジェクションの探査・攻撃を行うツールが既に普及している訳で、ツールさえ使えば誰にでもできる攻撃です。防ぐ方法もハッキリしており、「プロのハッカー」なんてのが出て来る必要はないと思うわけです。
カカクコムの時にも思いましたが、どうも、技術に詳しくない人は「不正アクセスには高度な技術が必要」「高度な技術を駆使した不正アクセスを防ぐのは非常に困難で、プロの力が必要」と思いがちであるように思います。
※しかしまあ、全体的に言って「IPAはもっと PR を頑張る必要がある」という内容であるようにも思えるわけですが、そこはまあ頑張ってくださいとしか言いようがないですね。
2008年4月17日(木曜日)
届出状況2008Q1
「ソフトウエア等の脆弱性関連情報に関する届出状況2008年第1四半期 (www.ipa.go.jp)」。
ウェブサイトの脆弱性が244件ですか。これは大変でしたね……。
今四半期は、特定のウェブブラウザの動作に依存したウェブサイトのクロスサイト・スクリプティングの脆弱性の届出が多くありました(図8)。これは、ウェブサイトが文字コードを指定しない場合におけるウェブブラウザの文字コードの解釈に関するもの(UTF-7)や、スクリプトに該当する文字列(Internet Explorer のexpression プロパティ)に関するものです。
charsetパラメータの指定を怠っているアプリケーションがことごとく届け出られた?
しかし「3.1 運営主体の内訳」の項、プレゼンテーションが斬新で衝撃を受けました。「政府機関のウェブサイトに関する届出が13%あり、通常の倍の割合の届出となっています」と言いつつ、円グラフを横に並べられても……。4回くらい目を左右に泳がせて、やっと読み取れた感じです。全体的にグラフが読みづらいと思うので、もう少し頑張ってほしいところです。
※もっと言ってしまうと、届出の割合に意味があるのか、という疑問もあるのですが……。まあ、幸いにして「ウェブの届出の2割は特定個人によるもの」などという状況からは脱却できそうなので、今後は意味のあるものになってくるのかもしれません。
関連する話題: セキュリティ / IPA / JPCERT/CC / JVN / 情報セキュリティ早期警戒パートナーシップ / 統計
2008年4月14日(月曜日)
不正データによる終了時のステータスコードで悩む
「なぜPHPアプリにセキュリティホールが多いのか?【スクリプトインジェクション対策07】予期しないエラーが発生した場合,プログラムの実行を停止する (gihyo.jp)」。
「プログラムの実行を停止」というのは表現がおかしいと思いますが、要は処理を続行せずにエラー終了すべきということですね。
しかしこういうときに悩むのが、「どういうステータスコードで応答したら良いのか」ということ。普通に考えると500系のレスポンスになると思うのですが、501 (Not Implemented) では変ですし、503 (Service Unavailable) だと一定期間後に復活しそうに見えますし、他に使えそうなコードはないし……。というわけで、まあ素直に500 (Internal Server Error) で良いかなぁ……と思うわけですが。
ところがついこの前、とある案件にて、セキュリティ屋さんから「500応答はダメ」と言われて大ショック。「スタックトレースが表示されているからダメ」というのなら分かるのですが、その手の情報を何も出力していなくても、ステータスコード500が返っているだけでダメらしいのです。
そうなると400系? ……400系であえて挙げるなら403のような気がしますが、ものすごい違和感があります。
※社内ではその後「じゃあ 402 で」という意見が出たので、対抗して「いや、418 で」と言っておきましたが。
一般的にはこういうとき、どうしているのでしょう? 個人制作のフリーのCGIプログラムのようなものだと、エラー時でも200で応答したりすることがありますが、さすがにそれはちょっと……。
2008年4月9日(水曜日)
小さな王様と約束の国 クリア
「小さな王様と約束の国 ファイナルファンタジー・クリスタルクロニクル (www.square-enix.co.jp)」をクリア。ラストは壮絶でした……。
討伐1日目
ダークロード討伐のおふれを出すも、メインパーティは両方ともそのおふれを無視! 弱いメンバーがぱらぱらとソロで突入するも、あえなく敗退。
※一進一退のメダルをつけると、「経験を積んで」と言われたときには弱い敵を狩ってくれますが、おふれには影響しないような……。普通に高レベルのおふれに志願してきたり、低レベルのおふれ無視したりしますし。
討伐2日目
続けてダークロード討伐のおふれ。冒険者の頭数が減ったためか、最強パーティがおふれに志願。突撃するが……何故かメンバーが少ない!? なんと白魔道士が「エヘヘ……たまには遊技場で」と言ってパーティーを離脱しており、回復力も火力も減衰したパーティーは惜しくも敗退。
討伐3日目
こんどはフルメンバーで突入。前日に HP を減らしていたこともあって、あっさり討伐!
というわけでクリアしました。
追加コンテンツのダンジョンを全部クリアしたりしていたので、クリア日数が多めになっています。
関連する話題: Wii / ゲーム / 買い物 / 小さな王様と約束の国 / FFCC
2008年4月8日(火曜日)
マリオカートWii
社内で微妙にマリオカートWii (www.amazon.co.jp)
※またAmazonで異様な高値が付いているとか。
まあ、個人的には「小さな王様と約束の国 ファイナルファンタジー・クリスタルクロニクル (www.square-enix.co.jp)」にハマリ中なので、ひとまず見送りかしら。
2008年4月3日(木曜日)
MySQL は 8時間で切れる
メモ。
MySQL server has gone away エラーの最も一般的な原因は、サーバがタイムアウトして接続がクローズしたことです。デフォルトでは、何も起きない状態が 8 時間続くと、サーバは接続をクローズします。この時間は、mysqld 開始時に wait_timeout 変数を設定することで変更できます。
以上、MySQL :: MySQL 4.1 リファレンスマニュアル :: A.2.2 MySQL server has gone away エラー より
SQLサーバにセッションを張りっぱなしにしておく実装は良くあると思いますが、MySQL の場合、何もクエリが無い状態で8時間が経つとコネクションをクローズしてしまう模様。これにより、「バックエンドの実装は同じハズなのに、何故か使用頻度が低い方のツールだけ死亡する」という現象が起きたりするようです。
対策としては、wait_timeout にべらぼうに大きな値を設定しておけば良いみたい。
2008年4月2日(水曜日)
JVN iPedia は Case Sensitive
「JVN iPedia 脆弱性対策情報データベース検索は大文字小文字を区別する (d.hatena.ne.jp)」。
うぎゃ、知りませんでした。
某製品と某製品を JVN iPedia で検索したときのヒット数の差を根拠にして某製品はオススメできないという話をしてしまったことがありますが、こんなのでは数字はまったく信用できないですよ……。
関連する話題: セキュリティ
小さな王様と約束の国 追加コンテンツ
「小さな王様と約束の国 ファイナルファンタジー・クリスタルクロニクル (www.square-enix.co.jp)」の追加コンテンツ (www.square-enix.co.jp)が配信されていますね。有料ですが……。
全部買うには1300のWiiポイントが必要になりますが、手持ちどのくらいあったかな……。
うっ。計ったようにピッタリ1300ポイント持っているし。これは……。
関連する話題: Wii / ゲーム / 買い物 / 小さな王様と約束の国 / FFCC
2008年4月1日(火曜日)
Web届出フォームを使ってみた
4月になるとIPAのPGP公開鍵の期限が切れます。そのため、手元の鍵を入れ替える必要があるのですが、面倒だったので、Web届出フォーム (isec.ipa.go.jp)を利用してみました。
……これはこれで面倒くさいなぁ。メールの届出だと届出者の情報などはコピー&ペーストで良いのですが、フォームだと毎回入力する必要があります。入力欄が細かく分かれているので、一発でペーストすることもできませんし。何度も届出をするような人にはメールの方がオススメですね。
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
会員規約に「同意しない」で入会できるクラブニンテンドー
クラブニンテンドー (club.nintendo.jp)がリニューアルされた模様ですが……。
……昔はスクリプト無効でも各種機能が使えていたのになぁ。
そしてスクリプト無効状態だと、「会員規約の同意 (club.nintendo.jp)」ページで「同意しない」を押したとき、何事もなく次のステップに進んでしまいますね。冒頭にはこう書いてありますが、
入会を希望される方は、下の会員規約をよくお読みのうえ、同意する場合は「同意する」ボタンを、同意しない場合は「同意しない」ボタンをクリックしてください。
これに従って「同意しない」を押した上で会員登録できることに……。これはいろいろな意味で興味深いです。
- 前(古い): 2008年3月のえび日記
- 次(新しい): 2008年5月のえび日記
