水無月ばけらのえび日記

神舟7号

「松浦晋也のL/D: このっ、バカ共が！ (smatsu.air-nifty.com)」。

一時期「人類は月に行っていない」というネタが流行ったことがありましたが、似たような話が出ているようで。

そういえば神舟5号のときも、どこかの都知事が「あんなもんは時代遅れ。日本がやろうとしたら1年でできる」などと発言してツッコまれていましたが、似たようなメンタリティなのでしょうか。

• 「神舟7号」にコメントを書く

関連する話題: 科学 / 宇宙 / トンデモ

楽天メールマガジン情報漏洩の話・続き

更新: 2008年10月1日

楽天メールマガジンの件ですが、どうもソーシャルブックマークから拾われた可能性が高いようですね (みなさん情報ありがとうございます)。OK Wave のこのやりとりは衝撃的です。

イタタタタ……。

楽天で買物をすると、確認画面の一番下の方にメールマガジン配信のチェックボックスがあります。気づきにくい上に、デフォルトでチェックONなのですよね。メールマガジンを受け取りたくない場合、買うたびにこのチェックを外す必要があります。それに気づかないと、「何度配信停止しても、買い物するたびにメールマガジンの送信が再開されてしまう」という現象が起きることになり、そうなっても簡単に配信を停止できるように、「配信停止画面をブックマークしておく」ということが行われていたと……。

ブラウザのブックマークではなく、ソーシャルブックマークを使ってブックマークしたら、それはクロールされますよね。ブックマークするなよ……と言いたくなるところですが、一般のユーザが「このURLを他人に知られてはマズイ」ということに気づくのは難しいでしょう。

URLにセッション追跡や認証のための情報を埋め込む手法については、ずっと前から「Refererから漏洩する」という危険性が指摘されてきました。逆に、「ユーザが自分で積極的にリンクする」なんてことはあまりないだろうと思っていましたが……ソーシャルブックマークの普及によって気軽にリンクができるようになり、ユーザが自分でリンクしてしまう可能性も増しているわけですね。

※そういえば、WASForum Conference 2008 の「携帯電話向けWebのセキュリティ」でも、セッション追跡パラメータつきのURLを貼ってしまうユーザが多いという話が出ていましたね。

※2008-10-01追記: タイトルについて「そんなにしょっちゅうやらかしてたのかと思ってしまった (slashdot.jp)」というご意見をいただきましたので、タイトル変更しました。

• 「楽天メールマガジン情報漏洩の話・続き」へのコメント (7件)

関連する話題: セキュリティ / Web / 楽天 / WASForum Conference

ぼくらの9

購入。

• ぼくらの 9 (www.amazon.co.jp)

うわ、そうだったのか……。いろいろ予想外の展開。

• 「ぼくらの9」にコメントを書く

関連する話題: 本 / マンガ / 買い物

楽天メールマガジンの変更画面から情報漏洩

更新: 2008年10月1日

セキュリティホールmemoより: site:emagazine.rakuten.co.jp で検索すると個人情報っぽいものが見えるとか見えないとか。 (www.st.ryukoku.ac.jp)

メールマガジンの設定変更の画面が第三者に見えてしまう、という話のようで。まとめると、

• 設定変更画面のURLは、ユーザごとにユニークなIDを含むものになっている
• ユニークIDは複雑で、他人の変更画面のURLは簡単には推測できない (……と思うのですが未確認)
• が、そのURLさえ分かってしまえば、GETリクエスト一発で認証もなしに変更画面にアクセスできてしまう
• アクセスすると、現在の設定情報 (氏名、メールアドレスなど) が見えてしまう
• そして何故か、そのURLをGoogleやWindows Live Searchがクロールしており、検索でヒットして残念なことに……

……ということですかね。認証なしでアクセスできてしまうのは明らかにマズイと思いますが……。

しかし、むしろ気になるのは、そのURLがどうしてクロールされたのかという点です。外部のWebサイトからリンクしたりはしないと思いますし、楽天のサイト内からGETのみで辿れるようになっていたとも考えにくいように思います。

あるいは、そもそもブラウザがURLの情報を送信しているとか? 「Google Chromeのプライバシーについて (www.google.com)」を見ると以下のようにあります。

Google Chromeでアクセスしたら、URLがGoogleに送られる可能性があるように読めますが……それがクロールに使われることはあるのですかね?

※といっても、べつにGoogle Chromeが漏らしていると断定しているわけではありませんので念のため。Windows Live Search でもクロールされているようですので、むしろChromeは全然関係ない可能性が高いです (Thanks: yamagataさん)。

※追記: どうもソーシャルブックマークから漏洩した可能性が高いようですね。楽天メールマガジン情報漏洩続き。コメントくださったみなさま、ありがとうございます。

• 「楽天メールマガジンの変更画面から情報漏洩」へのコメント (7件)

関連する話題: セキュリティ / Web / 楽天 / Google Chrome

かみさまのいうとおり/すもももももも

2冊購入。

• かみさまのいうとおり! 5 (www.amazon.co.jp)
• すもももももも 11 (www.amazon.co.jp)

うーむ、どちらも万人にはオススメできない感じなのでご注意を。

• 「かみさまのいうとおり/すもももももも」にコメントを書く

関連する話題: 本 / マンガ / 買い物

中山国交省辞任で砂の器を思い出した

「かつての日本人」って、どんな日本人をイメージしているのでしょうね。考えてみると、私も昔の日本人の犯罪なんてほとんど知らないのですが……。とりあえず思い浮かんだのは、津山三十人殺しですね。松本清張の「砂の器 (www.amazon.co.jp)」を原作とした2004年のテレビドラマ (www.amazon.co.jp)に、この事件を引用したと思われる話が出ていましたので。

※実は原作はハンセン病をテーマにしているのですが、その部分がすっかり入れ替わっているという。

とりあえず、以下のようなサイトを見る限りでは……

• 少年犯罪データベース　親殺し統計グラフ (kangaeru.s59.xrea.com)
• 子どもの犯罪被害データーベース (kodomo.s58.xrea.com)

「かつての日本人」がどこに行ってしまったのかは知りませんが、あんまり帰ってきてほしくない感じがしますね。

• 「中山国交省辞任で砂の器を思い出した」にコメントを書く

関連する話題: 与太話 / 教育 / 統計

第02回まっちゃ445勉強会

第02回まっちゃ445勉強会 (sites.google.com)にひっそりと参加してきました。スライドはそのうち公開されると思いますので、話の内容は端折ってポイントや感想だけメモ。

• 「第02回まっちゃ445勉強会」にコメントを書く

関連する話題: WAF / PHP / セキュリティ / まっちゃ445勉強会

文字符号化方式判定の優先順位

唐突に、ブラウザが文字符号化方式を判定する場合の優先順位についてメモ。この順序については、HTML 4.01 5.2.2 で規定されています。

これは明確でしょう。HTTP応答ヘッダでの指定が優先、それがなければmeta要素の指定が参照され、それらがない場合に初めてリンク元のcharset属性が参照されます。"must observe the following priorities..." とあるので、この順番は必須遵守事項です。おまけに、6.9 にはこういう記述もあります。

こちらも must です。前述の優先順位が守られていない場合、そのブラウザは HTML4.01 の仕様に適合していないことになります。

ところで、5.2.2 の続きにはこうあって……。

"In addition to this list of priorities" と言われても、上に足すのか下に足すのかは書かれていないという微妙な罠があります。ブラウザによる自動判別の優先度は不明としか言いようがありません。直感的には前述の3つより優先度が低くなるべきだと思うのですが、それは明確には規定されていないように思います。

• 「文字符号化方式判定の優先順位」へのコメント (2件)

関連する話題: HTML / メモ

うおォン 俺はまるで人間火力発電所だ

孤独のグルメ (www.amazon.co.jp)。シリアスな劇画調のタッチで描かれているのですが、モノローグが凄い。「うおォン」て……。結構いろいろなサイトで名言集として取り上げられているようですが、これは絵とのギャップが良いのであって、テキストだけ取り出されてもいまいち楽しめないと思います。やはり読むしか。

ところで、銀座の竹葉亭が池波正太郎ゆかりの店だったことをこのマンガで初めて知りました。以前、鰻を食べたりお茶漬けを食べたりしましたが、全然知りませんでした。

• 「うおォン 俺はまるで人間火力発電所だ」にコメントを書く

関連する話題: 本 / マンガ / 飲食物

QMA 痛恨の一撃集

クイズマジックアカデミーDS (www.amazon.co.jp)はぼちぼち。印象に残った痛恨の誤答をいくつかメモしておきます。

• ローマを首都とする国は? (四文字)

  →イタリア

  こんなの答えられないわけがないのですが、「イ」の次に「リ」を押してしまう痛恨のタイポ。四文字言葉は入力の取り消しが効かないのですよ……。全国正解率が7割台しかないのも驚きですが、やっぱり入力ミスが多いのでしょうか。

• 選択肢からラーメンズのメンバーを選べ (多答)

  →片桐仁、小林賢太郎

  これも痛恨。「片桐 仁 【私のターニングポイント】 (engekilife.com)」を読んでいたので片桐仁は即答できましたが、相方が出なかった……。もともと芸能は苦手なので、取れる問題を落とすと痛いです。

• 「敵は本能寺にあり」と言ったのは織田信長である (○×)

  →×

  明智光秀だよ! 「敵」というのが信長のことだよ! 何故力強く「○」を押してしまったのか、自分でもさっぱり分かりません。

• はやぶさが調査した小惑星は? (四文字)

  →イトカワ

  ボケていたのか、はやぶさって何だっけ、という反応をしてしまってスルー。しかもCOMも全員不正解で解答が分からず……。しばらく経って普通に「はやぶさって、イトカワを調査したアレじゃん」と思い出す私。遅い。

• 「QMA 痛恨の一撃集」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

論理少女: 指定かくれんぼの疑問その2

論理少女 (www.amazon.co.jp)の Logic 4 に登場する「指定かくれんぼ」について。

昨日の時点では、前提が成立するのかどうか疑問に思っていましたが……よく考えてみると、前提が成立したとしても出題ミスなのではないかという疑惑が浮かんできました。それは、「化学部はこのパズルを解くことができるのだろうか?」ということです。以下ネタバレ注意。

……ということで、「あること」の内容の解釈によって、「化学部には解けない問題が出題された」、あるいは「化学部にも解けるがチェス研の言葉は嘘だった」のいずれかになります。いずれの場合も、チェス研の問題には不備があるということになりそうなのですよね……。

• 「論理少女: 指定かくれんぼの疑問その2」へのコメント (2件)

関連する話題: 本 / 買い物 / 論理少女 / 論理

論理少女

ジャケ買いというか、タイトル買いというか。

• 論理少女 1 (www.amazon.co.jp)

ジャンルとしては「論理パズルバトルマンガ」なのですかね? パズルはどこかで見たようなものが多いですが、解説は少なめかも。せっかくなので、以下各パズルの感想と解説 (ネタバレ注意)。

public static void Main(){
    for(int 焼きそばパン=0; 焼きそばパン < 10; 焼きそばパン++){
        for(int あんパン=0; あんパン < 10; あんパン++){
            for(int 納豆パン=0; 納豆パン < 10; 納豆パン++){
                int 左辺被乗数 = 焼きそばパン*10 + あんパン;
                int 左辺乗数 = 納豆パン;
                int 右辺 = あんパン*100 + 焼きそばパン*10 + 納豆パン;
                if(左辺被乗数*左辺乗数==右辺){
                    Console.WriteLine("{0}×{1}={2}", 左辺被乗数, 左辺乗数, 右辺);
                }
            }
        }
    }
}

……結論としては、このマンガは面白いということですよ!

• 「論理少女」へのコメント (1件)

関連する話題: 本 / 買い物 / 論理少女 / 論理

重力ピエロ

読み終わったのでメモ。

• 重力ピエロ (www.amazon.co.jp)

ストーリーはけっこう陰鬱で重苦しいものなのですが、文体が軽妙なので読みやすいですね。謎の大半も途中で気づきますし、全体的にライトな印象です。登場人物もちょっと浮世離れしていて、これも雰囲気を明るくしています。が、発想や思考が浮世離れしているということは、すなわち、ちょっと共感はしにくいということでもありますが。

ラストは……ハムラビ法典の話を出したのなら、肉親に会いに行かなきゃダメなのでは。

ラスト間際に「何故人を殺してはいけないんだ?」と訊かれたら……という話がありますが、個人的には、これは質問自体が成立しないと思いますね。現在の日本の刑法は死刑を許容していますし、それは実際に運用されていますから、この社会では「悪い奴は殺すべきだ」というコンセンサスが得られているのだと考えられます。無条件に「人を殺してはいけない」とするコンセンサスは得られていないはずです。

※もちろん、現在のこのスタンスに反対して「いかなる場合でも人命は尊重すべきだ」と主張する人も大勢いますし、個人的には応援していますが、大多数であるとは言えない状況でしょう。

……と、このくらいの議論があっても良いのかなぁと思ったりしたのですが。

• 「重力ピエロ」にコメントを書く

関連する話題: 本 / 買い物

誕生日のパラドックス

いつものようにWii Fit (www.amazon.co.jp)を起動したら、バランスWiiボードのウィーボ君、なんかいつもとちがう……。

ところで、クイズマジックアカデミーDS (www.amazon.co.jp)にはクイズが7万問収録されていると言われています。それだけあるのだから、当分の間は同じ問題が出ることはないだろう……と思いがちですが、実際にプレイしてると、けっこう頻繁に同じ問題に出くわします。そんなに廃人的なプレイはしていないつもりですが、既に4回見た問題さえあります。

これはまさに「誕生日のパラドックス」です。その辺の人を無作為に集めて同じ誕生日の人を2人そろえたいと思ったとき、だいたい何人くらい集めれば良いかというと……感覚的には100人とか200人とか必要そうな気がしてしまいますが、確率的には、23人集めただけで約50%の確率で揃うことになり、50～60人集めれば9割以上の確率で揃います。感覚と実際の確率が、ずいぶん乖離しているわけです。

情報セキュリティの分野では、「誕生日攻撃」という言葉も使われます。なかなか成功しそうにないように思える当てずっぽうの攻撃でも、「誕生日のパラドックス」により、思ったよりも攻撃の成功率が高いことがあるという話です。最近、DNSに関してカミンスキー氏の攻撃手法が話題になっていますが、DNSのパケットのIDが合致する確率の話がまさにこれですね。

以上、なんとなく誕生日の話を書いてみました。

• 「誕生日のパラドックス」にコメントを書く

関連する話題: セキュリティ / DNS / ゲーム / Wii / Wii Fit / 任天堂 / ニンテンドーDS / クイズマジックアカデミー

今日のQMA (第二弾)

クイズマジックアカデミーDS (www.amazon.co.jp)、賢者になってエンディング。賢者になると服装変わるのですね。まだまだ上の階級があるようで……。

ガルーダ先生にスポーツ書き取りで挑戦されましたが、スポーツは無理ですってば。書き取りだと運でクリアするのも無理で、完全にハマリ状態に。仕方ないので……。

• 東京にあるサッカー国立競技場の正式名称は「国立○○○競技場」? → 国立霞ヶ丘競技場 (かすみがおか)
• 1996年と1997年にセリーグ打点王を獲得した選手は「ルイス・○○○」? →ルイス・ロペス
• 1996年にバロンドール賞を受賞したドイツのサッカー選手は「マティアス・○○○」? → マティアス・ザマー
• 江川卓がプロ入り後、ジャイアンツでつけた背番号は? → 30
• 2001年のダイエーホークスの打線の愛称は「○○○○○打線」? → ダイハード打線
• 2004年の日本シリーズで2勝をあげてMVPを受賞した西武の投手は? → 石井 貴 (いしいたかし)
• 1968年にバロンドール賞を受賞したマンチェスター・ユナイテッドのドリブラーは「ジョージ・○○○」? → ジョージ・ベスト
• 城 彰二が所属していたスペインのサッカーチームは「○○○○○○○」? → バリャドリード (「バリャドリッド」でも正解)
• 1996年、1997年と連続でパリーグ最多勝投手となった日本ハムの投手は「キップ・○○○」? → キップ・グロス
• 1993年のJリーグ発足当時、鹿島アントラーズの監督を務めていたのは「○○○○」? → 宮本 征勝 (みやもとまさかつ)
• アジアサッカー連盟のアルファベット3文字での略称は? → AFC

……ええ、調べましたとも。

それから、今日の印象に残った問題。

• アニメ「グレンラガン」の主題歌を歌っているのはアイドルの浜田翔子である (○×)

  →×

  迷わず回答。実はグレンラガンはほとんど知らないのですが、劇場版主題歌のCD (www.amazon.co.jp)を沢渡真雪さん (www.misuzilla.org)が所持していらっしゃって、「あ、グレンラガンてしょこたんが歌っているんだ」と印象に残っていたのでした。

• 4文字を並べ替えて、他人にこびへつらって機嫌を取るという意味の言葉をつくれ (並べ替え)

  →阿諛追従

  選択肢のフォントが小さくて「諛」の文字がめちゃくちゃ判読しづらい……。ちなみに「あゆついしょう」と読みます。

• 「今日のQMA (第二弾)」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

今日のQMA

クイズマジックアカデミーDS (www.amazon.co.jp)。フェニックス組とドラゴン組を行ったり来たりしながら、なんとか大魔導士1級に。クイズに慣れてきたからなのか、ドラゴン組でもちょこちょこ優勝できるようになってきました。しかし相変わらず芸能とスポーツは無理です……。orz

印象に残った問題をいくつかメモ。問題文を正確にメモしたわけではないので、大意です。

• 隔靴掻痒の反対語は? (4文字)

  →麻姑掻痒

  隔靴掻痒(かっかそうよう)は知っていましたが、反対語は知らなんだ。「まこそうよう」と読むようです。「麻姑」というのは爪の長い仙人の名前で、かゆいところに易々と爪が届くのだそうな。

  ※余談ですが、ATOK は「かっかそうよう」だと変換できて「かくかそうよう」だと変換できないっぽいですね。

• 「海苔」は夏の季語である (○×)

  →×

  春の季語らしいですね。海苔の収穫は11月～3月頃なのだそうな。

• 「メタルギアソリッド」に登場した超能力を使う敵 (並べ替え)

  →サイコマンティス

  軽く正解したつもりが何故か不正解。よく見ると、並べ替え候補に大きな「イ」と小さな「ィ」が含まれていますね……。

• 4:3や16:9などの画面の縦横比を何という? (並べ替え)

  →アスペクトレシオ

  「アスペクト比」という言葉ならよく使うので、「???アスペクト」みたいな言葉があるのかと思ってしまい、「レシオアスペクト」と並び替えたところで答えに気づいたものの時間切れ。

なかなか勉強になります。

• 「今日のQMA」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

Yahoo!ブログの脆弱性が修正された

届け出ていたYahoo!ブログ (blogs.yahoo.co.jp)のXSS脆弱性が修正されたようなので、「Firefoxではembedのsrcに書かれたスクリプトが動作する」というお話で伏せていた部分を公開しました。

Yahoo!ブログでは他のユーザとドメインを共用していますし、管理画面も同じドメインですので、ブログでスクリプトが動作するとあまり良くないことが起こります。そして、独自のWiki記法で img 要素や embed 要素を書けるのですが、

……のように書くと、まあ想像通りの残念な動作になったというお話です。現在では奇妙なサニタイズが行われるようになったようですね。

• 「Yahoo!ブログの脆弱性が修正された」にコメントを書く

関連する話題: セキュリティ / Web / IPA / 情報セキュリティ早期警戒パートナーシップ

マロン先生、噛んでます

クイズマジックアカデミーDS (www.amazon.co.jp)。

大魔導士になり、マロン先生が担任になりました。カスミン (www.amazon.co.jp)来たー!!

……で、ドラゴン組予選2回戦。アニメ&ゲームのタイピングで、こんな感じの問題が出題されました。

答えは「あずまやこゆき」……いや、ちょ、待った待った。「ドドロ兵長」って誰スか?

小雪と一緒に暮らしているのは「ドロロ兵長」ですよね、マロン先生?

• 「マロン先生、噛んでます」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

みんなの海腹先生

カッとなってやった。後悔はしていない。

• テキスト解析サービス みんなの海腹先生 (α Version) (umihara.bakera.jp)

α版という位置づけですが、本日公開しました。ビジュアルデザインは矢崎さん (blog.n1n9.jp)で、バックエンドのプログラミングを私が担当しています。とりあえず試験的に作ってみた感じなので、「果たしてこれが面白いのか」という根本的な問いにもまだ答えられない状態ですが、まあご意見やご感想などありましたらお寄せください。

※しかしα版だけあってエラー処理周辺は相当手抜き状態なので、残念なことがいろいろ起きるかもしれません。ぼちぼちと安定させて行こうかなと……。

• 「みんなの海腹先生」へのコメント (7件)

関連する話題: 与太話

○×の女王アロエ

クイズマジックアカデミーDS (www.amazon.co.jp)を少しずつ。

一つはっきり分かったのは、私にはドラゴン組の芸能問題は無理だということです。orz

……が、唯一、○×問題だけは勝機が。予選一回戦が○×だった場合、異様に高い確率でトップ通過できる気がします。なので、私の中でアロエは「○×の女王」と呼ばれています。

※いやまあ、実際に答えているのは私ですけれども。

……というか、アロエが○×に強いのではなくて、CPUが○×に弱いような……。49点台で予選トップ通過したこともありますし、CPUは○×問題の正解率が低いような気がします。

※正解が分からなくても50%の確率で正解を選択できるはずなのですが、CPUは「正解が分からなかったらハズレの回答を選ぶ」というアルゴリズムになっているとか?

まあ、しかし○×以外は全く歯が立たないのであっさりフェニックス組に逆戻り。しばらくして、またドラゴン組に返り咲きましたが……またすぐに戻りそうだなぁ。

• 「○×の女王アロエ」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

RFC違反のメールアドレスは無理です!

C# で以下のようなコードを実行しようとすると、

こんな感じになります。

メールアドレスの変なところに "." が入っているので不正なのですが、実際こういうメールアドレスがあるから困ります。これを受け入れられるようにするのは大変なので、今回はこのようなメールアドレスは受け付けない方向にしてしまいますが……そうは言っていられない場合も多いのでしょうね。

NTTドコモの人は全員、RFC2822を100回音読すること。

※あと、できればParseValueメソッドをふつうに使えるようにしてほしかったなぁ。

• 「RFC違反のメールアドレスは無理です!」へのコメント (3件)

関連する話題: C# / プログラミング / RFC / 電子メール

水はなんにも知らないよ

何となく読んでいて印象に残ったので……「松尾 貴史 【私のターニングポイント】 (engekilife.com)」。

「水はなんにも知らないよ (www.amazon.co.jp)」をオススメするとは、さすが松尾貴史。演劇と全然関係ないような気もしますが、さすがです。

• 「水はなんにも知らないよ」にコメントを書く

関連する話題: 与太話

クイズマジックアカデミーDS つづき

クイズマジックアカデミーDS (www.amazon.co.jp)。

予選一回戦最下位で敗退したら、サイクロプス組からケルベロス組に降格されてしまい……そこで初めて気づいたのですが、クイズの難易度は階級で決まるのではなく、所属している組で決まるようですね。ケルベロス組に戻ったらかなり楽になってまた優勝、サイクロプス組に復活しました。するとまた勝てなくなり……。

ということは、私の今の実力はケルベロス～サイクロプス周辺という事なんですかね。強いのか弱いのかよく分かりませんが……。

……などと言っていたら、運良くサイクロプス組で優勝できて、フェニックス組に昇格。

そして魔導士昇格試験。普段の問題よりも難しいだろうと覚悟して挑んだのですが、なんか異様に簡単で、あっさり全問正解できてしまいました……。

魔導士になってからは決勝進出し続ける幸運が続き、数回目でついに優勝、そこでドラゴン組に昇格しました。取説によると組は8種類なので、ドラゴン組が最上位っぽいですね。

※ピクシー組、セイレーン組、ユニコーン組、グリフォン組、ケルベロス組、サイクロプス組、フェニックス組、ドラゴン組の8種。

• 「クイズマジックアカデミーDS つづき」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

クイズマジックアカデミーDS

一部で話題のようなので、買ってみました。

• クイズマジックアカデミーDS (www.amazon.co.jp)

アカデミーモードでスタート。いきなりキャラ選択と言われますが、キャラほとんど知らないし……。テキトーに選んでみるものの、デフォルト名が自動入力されたりはしないようなので、名前で困ったり。しようがないので、唯一知っていたキャラでスタート。

※ってもちろんアロエですが何か問題でも? :-)

学校の名前入力って……これ何に使われるんだろう……? まあテキトーで、「私立聖もののけ学園」にしてみました。

で、開始。修練生の間はえらく簡単で、予選も決勝も常に1位通過でずっと優勝していたのですが、魔術師に昇格してから急に勝てなくなり……。学問と雑学は割とできるのですが、スポーツと芸能がとにかく苦手。orz

なんというか、やっぱり対戦してナンボのゲームという気もしますね。

• 「クイズマジックアカデミーDS」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / クイズマジックアカデミー

128ビットカエサル暗号

会社で Google Chrome をいろいろ見ていたのですが、HTTPSなサイトで情報を見ると……。

いや……単に128ビットとだけ言われてもなぁ。同じ128ビットでも、AESとRC4ではだいぶ違う気がするし……などと社内で話していたら、「ひょっとしたら128ビットカエサル暗号かもしれない」という話が。

カエサル暗号というのはローマ時代の暗号で、HELLO → IFMMP のように文字を前後にずらして暗号文を作るものです。この暗号における鍵とは、「何文字目の文字を何文字ずらすか」という情報になるでしょう。鍵が 12345 なら HELLO → IGOPT となるわけです。

……これをバイナリに適用すると、バイナリデータの各ビットについてシフトする・しないを記したものが鍵ということになるでしょう。要は、鍵とデータとのXORをとるだけということですね。データの方が長い場合は (たいてい長いと思いますが) 鍵を繰り返して長くすると。いやー、めちゃくちゃ簡単に実装できそうです。

※文字シフト数が一定でないものはカエサル暗号とは呼ばないかも……。まあ、いずれにしても、こんなのは暗号としてはお話にならないので念のため。当然、Google Chrome は128ビットカエサル暗号には対応していません。:-)

• 「128ビットカエサル暗号」にコメントを書く

関連する話題: セキュリティ / SSL/TLS / Google Chrome

問い合わせ先電話番号もSSLで保護すべきなのか

「巧妙化する「音声フィッシング」、偽の電話番号を本物に見せかける (itpro.nikkeibp.co.jp)」。

偽の電話番号を表示するフィッシングサイトということですね。最近では問い合わせフォームをSSL/TLSで保護することは常識になってきた感がありますが、問い合わせ先の電話番号を掲載しているページもSSL/TLSにした方が良いという話になってくるのかも。

• 「問い合わせ先電話番号もSSLで保護すべきなのか」へのコメント (3件)

関連する話題: セキュリティ / SSL/TLS

MTのセキュリティ修正正式版

更新: 2008年10月17日

• JVN#30385652 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• 2008年8月7日に発表したセキュリティアップデートの正式版提供開始 (www.sixapart.jp)

正式版って何やねん、と思うわけですが。どうも8月7日に出た奴と変わっていないようなので、

• 8月7日に暫定版のパッチを提供開始したが、テストが完了していないというステータスだった
• その後テストが完了したが、特に直すところはなかったので暫定版がそのまま正式版になった

……という理解で良いのですかね。

Six Apart のセキュリティに関するアナウンスは、なんかいつも分かりにくいような……。

※以下、2008-10-17追記。

ちなみに8月7日の修正には残念ながら修正漏れが大量にありまして、そのことはIPA経由で伝わっているはずなのです。てっきりそれが直ったものかと思ったのですが……調べてみたら全然直っていなかったという。orz

そちらは10月16日にいちおう対応されました。

• 「MTのセキュリティ修正正式版」にコメントを書く

関連する話題: セキュリティ / MT / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / Movable Type

らき☆すた御輿

「祭りのマンネリ打破に投入された「らき☆すた」神輿、担ぎ手希望者が殺到 (slashdot.jp)」だそうで。柊家特別住民票交付なんてイベントもありましたが、今度は御輿(みこし)ですか。らき☆すた町おこしはうまく行っているみたいですね。

……と、ふと自らのデスクトップをかえりみると、偶然にも6巻 (www.amazon.co.jp)発売記念モードになっていたり。:-)

※ちなみに、右下のかがみ&つかさはVistaFace (www.misuzilla.org)にぞっくさん提供顔パターン (anime.geocities.jp)を入れたもの。それぞれCPU1と2を担当しています。幅1024px でサイドバーを出しているので、デスクトップめちゃくちゃ狭いですね……。

• 「らき☆すた御輿」にコメントを書く

関連する話題: マンガ / MacFace

らき☆すた6

購入。

• らき☆すた 6 (www.amazon.co.jp)

9月10日発売予定となっていたような気がするのですが、本屋にあったので速攻で購入。

つれづれにメモ。

• episode 154: キャラ名が思い出せないというマンガ、「日常 (www.amazon.co.jp)」ですかね? 表紙は違いますが……。

  ※日常だとすると、はかせの名前を思い出すのは無理だと思いますが。

• episode 159: YouTubeネタ。「公認されれば……」というのは、公認バッジ (www.k-digix.co.jp)の話ですね。らき☆すた関係のMADをYouTubeで見ていると、結構な割合で「以下からのコンテンツを含む: Kadokawa」という表示がついていたりします。
• episode 170: 卒業! 黒井先生は素で良いなぁ。
• episode 171: このエピソードの後から話の時系列がつながらないので混乱しました。単行本収録の順は単純な時系列ではなく掲載誌ごとになっていて、このエピソードの後から掲載誌が変わっているので時間が巻き戻っている模様。
• episode 179: 5以降ヒャダインは出てこなくなったので、こなたがプレイしているのは4 (www.amazon.co.jp)。それにしても、かがみが言う「エフエフの真空系」って何でしょう。エアロ、エアロラ、エアロガの3つしかないと思うのですが、トルネドをカウントしている?
• OVA (www.amazon.co.jp)が出るらしいですが、パッケージが……。
• 柊家の家族6人全員の名前が明らかに。アニメなどでは既出でしたが……原作では、ただお、みき、いのりの名前は初出のはず。
• 永森やまとって誰? ……調べると、ゲーム「らき☆すた 陵桜学園 桜藤祭 (www.amazon.co.jp)」に出ていたキャラのようで。

……やっぱり、原作だとつかさはかがみに負けている感じがしてしまいますね。アニメのつかさには強力な個性があるのですが。逆輸入はないのですかね……。

• 「らき☆すた6」へのコメント (6件)

関連する話題: マンガ / 買い物 / 日常

運用終了後に放置でやられてしまったケース

セキュリティホールmemoより、「ドッグワンライフ」に SQL インジェクション攻撃、会員情報 18,374 件が漏洩 (www.st.ryukoku.ac.jp)というお話が。リンクされている PDF を見ると、

ということで、サイトの運営が終わったのにサーバが放置されていてやられてしまったようですね。

※http://www.hottaweb.co.jp/dog-one-life/reserve/comp.asp なんて URL を見ると、現在でもけっこうな放置っぷりのような気がします。まあ、アプリケーションは動作していないので、害はありませんが……。

• 「運用終了後に放置でやられてしまったケース」へのコメント (1件)

関連する話題: Web / セキュリティ

label要素でフォームを制御って……

JavaScript無しでフォームをコントロール (blog.ohgaki.net)。

……最初はまったく意味が分からなかったのですが、これ、label要素の話ですか!?

label要素が「言われてみれば、そう言えばそんな機能があったね、と思うような機能」であり、「JavaScript無しでフォームを制御する方法」である、というのは想像を絶していました。少なくとも、Web屋では絶対に考えられない発言ですね。今世紀に入ってから作られたフォームでは、label要素が使われていないものの方が珍しいのではないかと思いますが……。

※まともにWCAGなどを読んでいる人が作る場合は、という限定がつくかもしれませんが。

なんというか、住んでいる世界が違うのかなぁ。

……ちなみに、label要素を使わなくても、以下のようなものを使えばサンプルと同じようなことができます。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
 "http://www.w3.org/TR/html4/strict.dtd">
<title>submit test</title>
<style type="text/css">
body,p,button{
    border:none;
    background:transparent;
    text-align:left;
    margin:0;
    padding:0;
    width:100%;
    height:100%;
}
button{
    padding:1em 1em 100% 1em;
}
</style>
<form action="http://www.google.com">
<p><button type="submit">
foo bar baz<br>
foo bar baz<br>
foo bar baz<br>
foo bar baz<br>
foo bar baz<br>
</button></p>
</form>

これは HTML としてvalidなものになっていますので、個人的にはこちらの方をプッシュしたいですね。:-)

「スクリプト無効でも、submitするつもりもないのにsubmitしてしまう」という例でしたら、昔IPAに届け出たCSRFのPoCも参考になるかと思います。この例では、フォームのsubmitボタンがテキストリンクに見えるようにになっています。

世にマークアップエンジニアと呼ばれている人々なら、この手のものはいくらでも思いつくはずです。Web屋をやっていると、UIデザインの都合でフォームコントロールをリッチにしたい、などという場面がしばしばあるものです。本物のフォームコントロールを隠してリッチなボタンを置く、というような手法もかなり研究されていますし、特に驚くようなものではないですね。

※関係ありませんが、大昔の、fieldsetで角丸という話を思い出してしまった……。

• 「label要素でフォームを制御って……」にコメントを書く

関連する話題: Web / セキュリティ / HTML

頭脳戦艦ガルと同ジャンルのゲーム

売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」 (www.atmarkit.co.jp)。

ロ、ロールプレイング? ……ああ、「頭脳戦艦ガル (www.amazon.co.jp)」と同じジャンルですね。わかります。

※頭脳戦艦ガルは自称「スクロールRPG」ですが、どう見てもシューティングゲームです。「安全なウェブサイト運営入門」は、普通はアドベンチャーゲームかサウンドノベルに分類されると思います。

ちなみにこのゲーム、最初の名前入力のインターフェイスが酷くて、りゅうさん (rryu.sakura.ne.jp)が3回も入力内容をリセットしてしまうという悲劇が。他にも以下のような不具合がある模様です。

• ゲームオーバー後、そのままコンティニューすると過去の実績のデータが消えている。セーブポイントから再開した場合は大丈夫。
• 女性主人公でプレイすると、なぜか「山口さん」と呼ばれることがある

あと、ストーリーの分岐の都合なのか、最後まで回収されない変な伏線があったりとか。

個人的に気になっているのは、サーバのプラン選択の場面などでコストが提示されないということ。セキュリティがしっかりしているプランはお値段も高いのではないかと思うのですが、それは提示されないのですよね。

• 「頭脳戦艦ガルと同ジャンルのゲーム」へのコメント (1件)

関連する話題: セキュリティ / IPA

買う予定リスト

忘れそうな気がするので、今月買う予定のものリスト。

• らき☆すた 6巻 (www.amazon.co.jp)
• かみさまのいうとおり! 5巻 (www.amazon.co.jp)
• ぼくらの 9巻 (www.amazon.co.jp)

あと、12月ですがこれもメモ。

• ゲームセンターCX DVD-BOX5 (www.amazon.co.jp)

• 「買う予定リスト」へのコメント (1件)

関連する話題: マンガ / メモ / ゲーム / DVD / ゲームセンターCX

8月32日

よつばとひめくり (www.amazon.co.jp)では、今日は8月32日になっていて、まだ夏休みは終わっていない模様。

※9月1日もそれはそれで存在する。

• 「8月32日」にコメントを書く

関連する話題: 与太話

雑誌から脆弱性

とある経済誌を見ていたら、届け出た覚えのあるサイトの画面キャプチャが。記事を読むと肯定的に紹介されていますが、このサイトにはおそらくSQLインジェクションの脆弱性があるので危ないですよー、と心の中でツッコミを入れてみたり。まあ、取材している記者にそんなことが分かるはずもないでしょうし、特に誰が悪いというわけでもないのですが。

ところで、その雑誌をさらに読み進んでいったら、別のサイトの画面キャプチャに気になる点が。キャプチャにはアドレスバーも含まれているのですが、そこに出ている URL が、なんというか……きな臭いというか、脆弱なオーラをまとっているというか……。そして実際にアクセスしてみたら脆弱だったので、さくっと届出。

雑誌の写真が脆弱性発見の端緒というのはあまりなさそうで、面白いですね。

• 「雑誌から脆弱性」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / SQLインジェクション

とあるサイトを見て

とあるサイトを見ての感想。

……いろいろな意味で今後が気になりますね。

状況は伝えられているはずなのですから、他にするべきことがあると思うのですよね。反省とまでは言わないにしても、せめて今後はあらためるとか、そういう気持ちはないのでしょうか。あるいは、気持ちはあっても技術力が低すぎて実行できないのでしょうか。いずれにしても酷すぎると思うのですが……。

そもそも対応する気が一切ないということであれば、状況を公表して利用者に危険性を知ってもらうという選択をしたほうが良いのかもしれないと思ったり。

※現時点では具体的なことは何も書けないので謎のメモでしかありませんが、そのうち追記されるかも。されないかも。

• 「とあるサイトを見て」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / 26分で5件届出の伝説