水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年10月

2009年10月

2009年10月31日(土曜日)

どうぶつの森 ハロウィン

公開: 2009年11月2日0時30分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。夜になると(おそらく午後6時から)、ハロウィンのイベントが。

ルールは以下のような感じです。

というわけで、アメを持ってひたすらパンプキングを捜すというイベントです。そっくりに仮装した住人がいるのでややこしいですが、住人は近付くと寄ってくるのに対し、パンプキングは寄ってこないので見分けが付きます。

ハロウィン家具がもらえるわけですが、そもそもパンプキングを捜すのがしんどい上に、何がもらえるのかはランダムなので大変です。12種類をワンセット揃える間に、壁紙が5つも手に入りました……。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

サンシャイン牧場・課金システムの問題についてのアナウンス

更新: 2009年11月5日14時11分頃

サンシャイン牧場の件ですが、mixiから「重要なお知らせ mixiアプリ「サンシャイン牧場」の不具合について」というアナウンスが出ています。例によってmixi会員でないと読めないと思いますが……。

長いですが引用しておきます。

mixi運営事務局です。

Rekoo社が提供するmixiアプリ「サンシャイン牧場」の課金サービスに関して、一部のユーザー様より不具合に関するお問い合わせを頂戴しておりますので、お知らせいたします。

Rekoo社に確認しましたところ、Rekoo社が提供している課金サービスに不具合があり、誤課金等の事象が発生したことを確認いたしましたため、当社は、Rekoo社に対して、不具合の原因の究明及び対策の実施を要請いたしました。

現在、課金サービスに関する不具合は解消されております。

本不具合に関する詳細な経緯、状況につきましては、下記のRekoo社からの説明をご確認下さいますようお願いいたします。

  • Rekoo社の説明ページ
    ※Rekoo社のプロフィールページへリンクします。

また、当該アプリケーションをご利用のユーザー様で誤課金等に心当たりがある方は、Rekoo社にご連絡いただけますようお願いいたします。

なお、当社といたしましては、多くのユーザーの皆様がご利用いただいているアプリケーションにおいて、誤課金等のトラブルがあったことについて、重く受け止めております。

提供者が外部の課金システムを利用する場合の監視・チェックを強化するとともに、当社が公式に提供する課金システムの導入を急ぐことで、ユーザーの皆様が、より安心してmixiアプリご利用いただける環境を用意するべく尽力して参ります。

以上、[mixi] 運営者からのお知らせ mixiアプリ「サンシャイン牧場」の不具合について より

このお知らせから「Rekooさん」のプロフィールページにリンクしており、自己紹介欄にアナウンスが出ています。また、サンシャイン牧場公式コミュニティにも「課金サービス開始時の不具合について」と題して同様のアナウンスが出ています。

※自己紹介に書いてあるのは変と言えば変なのですが、こういう公式なアナウンスの仕組み自体が用意されていないのでしょう。もっと言うと、課金利用後にmixiを退会した人がいることも考えられるので、mixi外からも読める形でアナウンスすることが望ましいと思いますが、これも適切な手段がないのでしょうね……。

以下、Rekooからのアナウンスを引用しておきます。

mixiアプリ「サンシャイン牧場」をいつもご利用いただき、誠にありがとうございます。

この度は、10月21日(水)より開始いたしました課金サービスの一部不具合により、一部のユーザー様にご迷惑お掛けいたしましたことを、深くお詫び申し上げます。

「サンシャイン牧場」の課金サービスを開始いたしました10月21日(水)20:30から、10月23日(金)午前中まで、課金サービスをご利用いただいた一部ユーザー様において、誤課金、ご購入いただいたKコインが追加されない、及びユーザー様のメールアドレス・電話番号が第三者より取得可能な状況であった、といった不具合が発生いたしました。

課金サービスの不具合は、現在は解消しております。

今回の不具合の経緯は以下のとおりです。

  • 10月21日(水)20:30 課金サービスを開始
    課金決済サービスは、日本国内のクレジットカード決済代行会社を採用しております。
  • 10月23日(金)午前 弊社サーバーの課金システムにおいて不具合があることを発見し、課金サービスを停止
  • 10月23日(金)午後 原因の究明及び対策の実施
    弊社及びミクシィ社と、不具合について詳細な調査を行い、原因となるあらゆる可能性についてチェックを行い、対策を施し、不具合を解消いたしました。
  • 10月23日(金)22:00 課金サービスの再開

課金サービスの安全性が十分であることを確認したうえで、課金サービスを再開いたしました。

なお、この度の不具合の対象ユーザー様へは、以下の対応をさせていただいております。

  • 誤課金につきましては、クレジットカード決済代行会社と協力し、対象ユーザー様へ返金の手続きを進めております。
  • Kコインの追加漏れにつきましても、対象ユーザー様に対してKコインの追加を随時実施しております。

改めまして、この度はご迷惑をお掛けいたしましたことを、深くお詫び申し上げます。

「サンシャイン牧場」に関するご意見・ご質問がございましたら、「アプリの提供者に問い合わせる」<https://mixi.jp/inquiry_appli.pl?id=7157>よりご連絡いただけましたら幸いに存じます。

ユーザーの皆様が安心して楽しく「サンシャイン牧場」をご利用頂けますよう努めてまいりますので、今後もご愛顧賜りますよう、お願い申し上げます。

以上、[mixi] 「サンシャイン牧場」Rekoo | 課金サービス開始時の不具合について より

というわけで、問題は2つあったわけですね。

まあ、ともあれ、これで私が報告した件については一通りアナウンスされたということになりそうです。脆弱性関連情報としてはまだ取扱い中ですので、取扱い終了を待って技術的な所を公開したいと思っております。

※運営者がIPAに修正完了の連絡をしてから取扱い終了となりますので、いつ終了になるのかは何とも言えません。また、技術的には大して興味深い話にはならないと思いますので、過度な期待はしない方が良いと思います。

※以下、2009-11-03追記

「原因の究明及び対策の実施」の部分に文章が追加されていることに気付きました。

  • 10月23日(金) 午後 原因の究明及び対策の実施
    弊社及びミクシィ社と、不具合について詳細な調査を行い、原因となるあらゆる可能性についてチェックを行い、対策を施し、不具合を解消いたしました。なお今回のトラブルは弊社側のシステムに問題があったことで生じており、決済代行会社のゼロ社の決済システム自体に問題はなかったと認識しています。

決済代行会社側の問題ではなくRekoo側の問題であると明記されました。

※どのタイミングで追記されたのかは良く分かりませんが、私が追記に気付いたのは11月3日の時点です。

※2009-11-05追記: さらに追記があります :「サンシャイン牧場・Rekooからのアナウンスに追記」。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2009年10月30日(金曜日)

それ町6

公開: 2017年9月23日23時25分頃

6巻が出ていたので購入。

歩鳥、理髪店(美容院ではない!)でバッサリ。ショートはかなり似合っていると思いますが。45話~47話では髪が元に戻っていて48話でまた短くなっていますが、時系列が入れ替わっているのかなぁ。

真田が何気にそば嫌いになっているのが面白かったです。歩鳥のサバそばがトラウマになっているのですね。

それでも町は廻っている 6 (ヤングキングコミックス)

関連する話題: マンガ / 買い物 / それ町

スピンドクター

公開: 2017年9月23日10時45分頃

その情報は真実か『スピンドクター』“モミ消しのプロ”が駆使する「情報操作」の技術 (www.nikkeibp.co.jp)」という記事が出ていて面白そうだったので、Amazonで買おうかと思って検索してみたら……。

一瞬、何が起きたのか分かりませんでしたが、スピンドクター違いですね。同タイトルの別の本が出てくることは結構ありますが (たとえば「暴走する資本主義」)、ここまで違うものが出てくるとは予想外でした。

※私が探していたのはこちらの方: 「スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)」。

関連する話題: / 与太話 / スピンドクター

2009年10月29日(木曜日)

ニンテンドーDSi LL

公開: 2017年9月23日21時30分頃

少し前から噂になっていた新型DS、発表されましたね。

このニンテンドーDSi LLは、遊び心溢れるユニークなカメラやミュージックプレーヤーそしてインターネット接続といったニンテンドーDSiの機能はそのままに、画面と本体を大きくした「LLサイズのニンテンドーDSi」で、表示される文字等が大きくなるだけでなく、画面の視野角も向上させましたので、携帯型ゲーム機でありながら、プレイヤーの周りにおられるご家族やお友達にもゲーム画面を一緒にご覧いただけます。

以上、任天堂のDSiが広視野角・大画面に! ニンテンドーDSi LL ― 11月21日、20,000円で新発売 ― より

名前の「LL」は「LLサイズ」ということのようで。画面が大きく、タッチペンが大きく、そして本体も大きく重く。

大型タッチペンが付いたわりに十字キーやボタンの大きさが変わっていないのは、タッチペン操作がメインの人をターゲットにしているからでしょう。「ちょっと脳トレ」が初期搭載されていることを見ても、目指している方向ははっきりしているように思います。DSiに取って代わるものではなく、バリエーションの一つという位置づけなのでしょうね。

関連する話題: ゲーム / 任天堂 / ニンテンドーDS

2009年10月28日(水曜日)

サンシャイン牧場の別件?

公開: 2017年9月23日22時0分頃

こんな話が……「外部サーバーと連携するOpenSocialアプリケーションを作る際のごく一般的な注意事項 (subtech.g.hatena.ne.jp)」。

これはウェブアプリケーションにおけるセキュリティの基本だと思います。こんな基本的なことが分かってなくても200万人が利用するアプリケーションは作れる!!!!

はっきりとは書かれていませんが、サンシャイン牧場の認証まわりが駄目っぽいという話ですかね。サンシャイン牧場は専用の巡回ツールも作られているようですし、認証まわりは多くの人が見ていて枯れているだろうと思っていましたが、そうでもないのですか……。

※ちなみに修正された件は認証とは関係ないもので、これがサンシャイン牧場の話なのだとしたら全くの別件ということになります。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ

2009年10月26日(月曜日)

日常5

公開: 2009年1月27日14時2分頃

大阪万博 (www.amazon.co.jp)を買うべきか否かという話をしていてAmazonの商品ページを見たら、なんと出ていたのですね。

というわけで速攻で購入。そして爆笑。

いきなり出だしのコマでゴミ捨て場のポスターに笑わされてしまい、中村先生の「おっとっと」に笑わされてしまい、もうこの時点で十分爆笑できているのですが、トドメはなんと言っても空也上人。画面のインパクトが強すぎて、うっかり思い出しただけで笑いがこみ上げてきてしまいます。元ネタの「空也上人立像」は重要文化財なのですが、あんなところに描かれるとあまりにシュールで、破壊力がありすぎます。

しかし、もう5巻なのでいい加減マンネリ化してきても良さそうなのに、どうしてパワーが全く衰えないのか……。

大阪万博日常 (5) (角川コミックス・エース)

関連する話題: マンガ / 買い物 / 日常

2009年10月24日(土曜日)

サンシャイン牧場・課金システム修正のアナウンス

更新: 2017年9月23日19時30分頃

サンシャイン牧場の件、ユーザー向けにこんなアナウンスが出ていますね。mixi会員でないと読めませんが。

Kコインの利用において、一部不具合がありユーザーの皆様には大変ご迷惑をおかけしました。

現在、不具合は修正され正常にご利用頂けます。

万一、Kコインの購入について不具合がある方は「提供者に問い合わせる」よりご連絡をお願いいたします。

以上、[mixi] 「サンシャイン牧場」Rekoo | Kコインでの一部不具合について より

これで全文です。ひとまず、「修正しました」という旨のみの報告のようですね。これで終わりということはないと思いますが、どうでしょう。ともあれ様子見で。

……と、様子を見ていたら、夕方になって情報が追加されたようです。

Kコインの利用において、一部不具合があり、

ユーザーの皆様には大変ご迷惑をおかけしました。

現在、不具合は修正され正常にご利用頂けます。

不具合の内容は以下の通りです。

(不具合内容)

・Kコインを正常に購入したにも関わらず、Kコインが付与されていないケースがありました。

・Kコインの購入システムにおいて、一部脆弱性が懸念される箇所がありました。

これらは現在修正されております。

また、Kコインが付与されないケースについては確認が取れ次第付与をいたしております。

万一、Kコインの購入について不具合がある方は、

「提供者に問い合わせる」よりご連絡をお願いいたします。

以上、[mixi] 「サンシャイン牧場」Rekoo | Kコインでの一部不具合について より

「一部脆弱性が懸念される箇所がありました」だそうです。脆弱性の内容についての詳細は、まだアナウンスされていないようですね。

※コメント欄のノイズが酷すぎて、「脆弱性ってなんですか」とか書ける雰囲気ではないような……。

※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題についてのアナウンス

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2009年10月23日(金曜日)

サンシャイン牧場の課金システムが修正されたっぽい

更新: 2009年10月25日1時50分頃

サンシャイン牧場の課金システムですが、昼過ぎにとりあえずフロントのインターフェイスが停止、夕方にバックのシステムが停止しており、しばらくこのままだろうな……と思っていたら、なんと復活しているではありませんか。

問題を抱えたままの復活かと思いきや、ちゃんと修正されている模様です。修正にはもっと時間がかかるかと思っていましたが、これは速い! 良い仕事だと思います。ありがとうございます。

※もっとも、正式な修正の報告はまだ受けていませんので、これで最終形なのかどうかはまだわかりません。

※2009-10-25追記: いちおう、mixiコミュニティ内にて運営側から修正のアナウンスが出ています: サンシャイン牧場・課金システム修正のアナウンス

※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題についてのアナウンス

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2009年10月22日(木曜日)

MTのインポートファイルは改行LF

公開: 2009年10月23日18時3分頃

MTにブログ記事を大量に投入したいと思い、MTからエクスポートしたファイルを参考にしてデータを作成してインポート。……が、うまく行かず。どう見てもデータ形式が同じなのに、インポートを試みても一件たりともインポートされずにインポートが完了してしまうという現象が発生し、ずいぶん悩まされました。

結論としては、改行がCR+LFになっていたのが原因。どうもMTは改行LFのファイルでないとインポートできないようですね。理由はよく分かりませんが結構有名な話らしく、検索すると同じような話がちらほら出てきます。

関連する話題: Movable Type

サンシャイン牧場 アイテム課金

更新: 2009年11月23日20時0分頃

サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。

しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。

※追記: とりあえず、カード番号は漏れていないようです。

※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。

※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情報も入ってきていませんので、いまだ詳細を公開できる段階にはありません。完全に解決した段階で情報を公開する予定ですので、今はお待ちください。

※2009-10-23また追記: 修正されたかも: 「サンシャイン牧場の課金システムが修正されたっぽい

※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題についてのアナウンス

※2009-11-03追記: 読売新聞に出たようです: 「サンシャイン牧場の件が全国ニュースに

※2009-11-03追記: テレビのニュースでもやっていたようで : 「FNNニュース: 「mixi」上のゲームで利用者約4,200人分の個人情報が3日間にわたり閲覧可能な状態に (www.fnn-news.com)

※2009-11-03追記: 毎日新聞にも出たようです : 「本人と偽ってプログラムを操作 (サンシャイン牧場の件・毎日新聞版)

※2009-11-04追記: 朝日新聞にも出たようです : 「特殊な知識を持った人 (サンシャイン牧場の件・朝日新聞版)

※以下、2009-11-23追記

取扱終了になりましたので、サンシャイン牧場 情報「露出」問題のまとめというページを作りました。技術的には特に面白い話でもありませんが、興味のある方は参考になさってください。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2009年10月21日(水曜日)

ゆゆ式

公開: 2009年10月22日22時45分頃

Amazonで力強くオススメされていたので、購入してみました。

ほおー、これはおもしろい。私の中ではかなりのヒットです。

ゆずこ、唯、(ゆかり)……名前が「ゆ」で始まる3人娘が繰り広げる日常。女子高生の日常系マンガは数多あるのですが、本作には何とも言い難い、独特の感覚がありますね。ギャグに走りすぎていない、ありえそうな感じが良いのかな。

個人的には、ゆずこの、いつでも瞳をきらきら輝かせている感じが好き。

関連する話題: マンガ / 買い物

W3CのDTDを取りに行きすぎるとBANされる

公開: 2009年10月22日21時40分頃

こんなお話が……「W3C Systeam's blog - W3C's Excessive DTD Traffic (www.w3.org)」。

Yet we receive a surprisingly large number of requests for such resources: up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years.

W3CのサイトにおかれているDTDなどに対して、1日に1億3千万回ほどのアクセスがあるそうで。

たとえば、.NET FrameworkのXmlDocumentでXHTMLを読むなんてシチュエーションはありがちだと思いますが、XmlResolver = nullを指定せずにそのまま使うと、いちいちDTDにアクセスしに行ってしまいます。世界中でそういうことをされると、まあ、大変ですよね。

で、特定IPアドレスからのアクセスがあんまりにも多いとどうなるかというと……BANされて、DTDのかわりにこの記事へのリンクが表示されるようになるという。そうするとパーサが動かなくなるので、嫌でも気付くわけですね。

というわけでXmlResolver = nullを推奨、と言いたいのですが、XHTMLの場合はなかなか難しいものがあります。DTDをスルーしてWell-formedなXMLとして処理しようとすると、&copy;などの実体参照が展開できずに残念なことになってしまうのです。XHTMLなどの代表的なDTDは取りに行かずに自前で処理してくれるXmlResolverが用意されていれば良いのに……と思ったら、こんなのがありました。

これは素晴らしい! 今すぐ使うべし! ……と思いきや、これ、今のところSilverlight専用なのですね。次期の.NET Framework 4には入るらしいので、首を長くして待ちましょう。

関連する話題: HTML / XML

2009年10月20日(火曜日)

届出状況2009Q3/脆弱性の再指摘

公開: 2017年9月23日10時30分頃

出ていましたね。

驚いたのはこれ。

IPAがウェブサイト運営者に脆弱性の存在を指摘し、運営者が脆弱性を修正後、脆弱性の発見者に修正完了の報告を行った際、2009年1月から9月末までの修正完了779件のうち、発見者から120件(15%)の再指摘がありました(図1)。

以上、ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第3四半期(7月~9月)] より

再指摘がなんと15%もある!!

ということは、修正完了の報告が来た際に、届出者がちゃんと再確認しているケースが多いということです。これは驚きました。

先に言い訳をするとですね、修正完了の報告ってほとんどの場合、届出から何ヶ月も経ってから来るわけですよ。そうすると、もはや届出時の状況なんて覚えていませんし、「あれ、こんなの届け出ていたっけ?」なんてこともしばしばです。修正されているか確認するためには、状況を思い出すところから始める必要がありまして、まあ、非常にめんどくさいわけです。

というわけで私の場合、印象に残っていない脆弱性については、修正完了の報告をスルーしてしまうことが多くて、ほとんど確認していないわけですね。

※もっとも、印象に残っていた脆弱性の場合は私もちゃんと確認するわけで、その結果として再指摘になったことは結構あります。Websig24/7の時のお話で紹介したケースとか、トレンドマイクロのサイトの件とか。「問題ない」という返答が返ってきたのでちゃんと追試したら駄目だった、なんてのもありますね。

……まあ、ともあれ、「届出者もちゃんと確認しようね」ということですよね。すみません。どこかのタイミングで、過去の届出も全て整理したいですね。

関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ

2009年10月19日(月曜日)

Winny観測システムにおける裸族の活躍

更新: 2009年10月19日15時45分頃

誤報是正「無罪判決でWinny利用者増加」は誤り (takagi-hiromitsu.jp)」。

内容より、観測システムの写真が興味深いと思ってしまいました。:-)

1.5TBのハードディスクがごろごろ、そして裸族 (たぶん、裸族のお立ち台DJ CROS2EU2 (www.amazon.co.jp))。裸族シリーズはこういう用途には向いていそうですね。

※追記: 右側のケースも裸族でしたか……裸族の村 (www.amazon.co.jp)。こちらは知りませんでした。

センチュリー 裸族のお立ち台DJ CROS2EU2

関連する話題: 思ったこと

2009年10月16日(金曜日)

玻璃の天

公開: 2009年10月17日11時45分頃

読み終わったので。

街の灯の続編。謎の多い人物であるベッキーさんの素性が明らかに。最後まで読んでから読み直すと、周囲の人々の行動の意味が分かるという仕組みですね。そしてついに殺人事件が……。

「善く敗るる者は亡びず」という言葉が印象に残りました。

関連する話題: / 買い物 / 北村薫

Twitter携帯版のXHTMLが残念

公開: 2017年9月23日23時15分頃

「Twitter」携帯版がオープン (internet.watch.impress.co.jp)だそうですが、アクセスしてみるとこんなことになっていますね。

<!DOCTYPE html PUBLIC "-//i-mode group (ja)//DTD XHTML i-XHTML(Locale/Ver.=ja/2.3) 1.0//EN" "i-xhtml_4ja_10.dtd">

<?xml version="1.0" encoding="UTF-8"?>

<html xmlns="http://www.w3.org/1999/xhtml">

逆です、逆。端末によって文書型宣言を出し分けているようですが、いずれにしてもXML宣言のほうが先にないと駄目です……。でも、携帯端末はきっと全力でスルーして、ふつうに読めるのでしょうね。

※そもそも端末ごとに文書型宣言を出し分ける意味があるのかどうか。XHTML1.0の文書型宣言で問題が起きた経験はありませんが。

関連する話題: HTML / Twitter

2009年10月13日(火曜日)

ファイルアップローダから情報漏洩

公開: 2009年10月16日0時15分頃

関西 DTP 大手のカンプリで顧客情報漏洩 (slashdot.jp)」。

いわゆる公開アップローダのフリーCGIプログラムを改造して、ダウンロードできなくした……わけではなくて、単にダウンロード機能を見えなくしただけで使っていたという話の模様。アプリケーションの脆弱性というより、「ファイルの誤った公開」に近い話ですね。

関連する話題: セキュリティ

2009年10月12日(月曜日)

サンシャイン牧場 畜産開始

公開: 2009年10月14日21時30分頃

mixiの「サンシャイン牧場」ですが、「牧場」と言うわりに、最初は畑しかいじれないという……。畜産ができるようになるためには、畑のレベルが10になる必要があります。

レベル10なんてすぐ……と思いきや、これが厳しいこと。今日、ようやくレベル10になって畜産ができるようになりましたが、9月29日に始めたので、2週間かかっています。

関連する話題: ゲーム / サンシャイン牧場

時計ズレまくり

公開: 2009年10月13日0時45分頃

時計ズレでトラブルが発生したので時計を合わせたのですが、1日経ったらまた18分もずれていました。これはもう駄目かも。

※とりあえず、レジストリをいじってWindows Timeの同期頻度を上げるという手はありますが: 「W32Time サービスのレジストリ エントリ (support.microsoft.com)

関連する話題: bakera.jp

2009年10月11日(日曜日)

橋下知事にメール返信で厳重注意処分

公開: 2009年10月11日17時5分頃

こんな記事が: 「橋下知事に「『お前』メール」 府職員に100人もいる! (www.j-cast.com)

橋下知事のメールに対して「何が言いたいのかさっぱり分からない、時間の無駄だ」というような主旨の返信を送った人がいて、「一般常識を逸脱している」という理由で厳重注意処分になったらしいというお話。

記事から橋下知事の発言部分を読み取ると……。

まず、上司に対する物言いを考えること。私は、あなたの上司です。その非常識さを改めること。これはトップとして厳重に注意します。あなたの言い分があるのであれば、知事室に来るように。聞きましょう

(~中略~)

「どうなんですかね。こんなもんなんですか?『愚痴はブログで言ってください』とか社長に言うことは。言えます?『メールを読むのは時間のムダだ』って(社長に)言えます?」

(~中略~)

『お前』というのも頻繁にあります。『お前』って、社長とかに言えますかね?『お前の考えていることはおかしい』って

つまり、こういう主張ですよね。

これ、最初から最後まで「知事に対する態度が悪い」と言い続けているだけですよね。言葉を換えて何度も言っているあたり、よほど気に障ったのでしょうね。

府民に対して横柄な態度を取ったら問題ですが、知事をバカにするのは別に問題ないのではないか……などと思ってしまう私もまた、一般常識を逸脱しているのでしょう。橋下知事の下で働くのは大変そうですね。

関連する話題: 思ったこと

bakera.jpの不具合

公開: 2009年10月11日16時10分頃

本日昼頃、以下のような問題が発生していました。

現在ではおそらく解消しています。時系列順に言うと、こんな感じのことが起きていました。

時計がズレるとAmazonのAPIが使えなくなるのですね。最近導入された認証の仕組みで、リクエストに時刻を含めて送るようになりましたが、ある程度以上ずれていると400エラーが返るようです。本番環境だけ時計がずれていたので、テスト環境では再現しなかったと。

※時計がずれていた原因は不明。2日前に同期していたので、2日で30分ずれたことになりますが……。手動で同期しただけで時計は合ったので、NTP関係のトラブルでも無さそうな。

関連する話題: hatomaru.dll / bakera.jp

2009年10月10日(土曜日)

カイジ 和也編

公開: 2009年10月11日14時45分頃

出ていたので購入。

賭博堕天録カイジ (www.amazon.co.jp)は、十七歩に勝利したあと、和也と「勝負だ」と言った所で終わっていました。本作はその続きで、和也との勝負を描く作品……のはずなのですが、ぜんぜん勝負してないですね。和也が書いたという小説「愛よりも剣」の話がメインになっています。

地の文で「やっぱり愛とかなんとか超くだらないです……」「はっきり言ってうざいですこの女」ってすごいなぁ。これ、小説ということになっていますが、文章が下手なのに妙な圧力があるというあたり、「実話でした」という話になるのだろうなぁ。某組長の話のはずなのに、剣を刺す係の人は帝愛の黒服にしか見えませんし、センスが兵藤ぽいですしね。

「愛よりも剣」のゲーム(?)ですが、穴がそれぞれ7個に対して剣が9本なので、どうあれ最低2本は受けなければなりません。女の方が「足でも死んじゃう」と言っていますが、これは不可避ですね。

賭博堕天録カイジ 和也編(1) (ヤンマガKCスペシャル)

関連する話題: マンガ / 買い物 / カイジ

らき☆すた7

公開: 2009年10月11日12時0分頃

出ていたので購入。

大学生になっても続くわけですが、相変わらずマニアックなネタが多いなぁ。アイマスDS (www.amazon.co.jp)とかモンハン (www.amazon.co.jp)とかのネタがあってドラクエ (www.amazon.co.jp)ネタがないのは意図的なのでしょうか……。

らき☆すた (7) (角川コミックス)ドラゴンクエストIX 星空の守り人

関連する話題: マンガ / 買い物 / らき☆すた

リアルすべてがF

公開: 2009年10月11日10時20分頃

英刑務所、受刑者に所内システムをダウンさせられる (slashdot.jp)」。

なんとまあ、見事に「すべてがFになる (www.amazon.co.jp)」を連想させる事件ですね。あの小説ではもっと巧妙な事が行われていましたが……。

すべてがFになる (講談社文庫)

関連する話題: セキュリティ / 思ったこと

2009年10月9日(金曜日)

Winnyは暴露ウィルス問題を解決できるのか?

公開: 2009年10月10日21時0分頃

Winny裁判は高裁では無罪ということで、まあ妥当な判断だろうと思います。それはそれとして……「この5年間は裁判に勝つことが自分の仕事だった」無罪判決を受け、Winny開発者・金子勇氏が会見 (internet.watch.impress.co.jp)

一審の最終意見陳述で金子氏は、「情報漏えい問題に対応した改良版のWinnyを開発したが、現状ではこれを公開することもできない」と語っていた。判決が確定すれば改良版のWinnyを公開するかという問いに対しては、金子氏は「何がベストかを良く検討したい」とコメント。壇弁護士は「今回の判決であれば、情報セキュリティの観点からは、少なくとも(Winnyの)バッファオーバーフローの脆弱性については対応したい」と語った。

漏洩問題に対応というのが、具体的にどういう内容なのかが気になりますね。

Winnyにはバッファオーバーフローの脆弱性があることが知られています (JVN#74294680 Winny におけるバッファオーバーフローの脆弱性 (jvn.jp))。後半の話はこれを修正するという話で、それはそれで良いと思います。

が、現在問題になっているWinnyの暴露ウィルスは、バッファオーバーフローとは全く関係ないのですね。脆弱性を突いて感染しているわけではなく、ダブルクリックなどで開くことが感染の契機になります。要は、電子メールの添付ファイルから感染するのと全く同じパターンです。

電子メールに関しては「怪しいファイルを開かない」という事が鉄則になっていますが、Winnyの利用者は怪しげなファイルを積極的に開こうとする傾向があるようで……。身元が完全に分かっているファイルを交換するだけなら、割と安全なはずなのですけどね。

そして以前にも書きましたが、Winny暴露ウィルスの最大の問題は、暴露されたら事実上回収不能になるということです。この問題を解決する方法が考えられているのであれば、それは興味深いですね。

関連する話題: セキュリティ / Winny

台風の影響でJRだけが運休

公開: 2009年10月10日17時0分頃

台風、動かなかったJR…突風事故教訓に「安全を優先」 (www.asahi.com)

東京都と神奈川県を結ぶ京急電鉄は午前9時半から約1時間半、運転を見合わせた。だが、同社は「運休したJRからの振り替え輸送客で混雑したことが原因。社内で規定する運転規制の風速には達していなかった」と説明する。

昨日はJRだけが止まって私鉄・地下鉄は動いていたので、振り替え輸送の人々が殺到して大変なことになったというお話。

新宿駅でも丸ノ内線の入場制限が行われていて、入場待ちの人が改札の外にあふれて大変なことになっていましたね。「モノ売るってレベルじゃねえぞ!」と叫び出したくなる感じでした。

※モノを売っていたわけではないので正しいのですが。

関連する話題: 出来事

2009年10月8日(木曜日)

かなめも3

公開: 2009年10月10日16時0分頃

引き続き3巻。

はるかは素面だと普通の人なのですね。:-)

関連する話題: マンガ / 買い物 / かなめも

PHPの残念なお話

更新: 2009年10月11日18時20分頃

こんなお話が。

それを受けてこんなお話も。

まあ、もとより、修正する義務もないわけですしね。

ただ理由はどうあれ、結果として「対応しない」という事なのですから、その事実をふまえて判断しなければなりません。

先行バイトで巻き込むタイプのXSSは、HTMLの構造によっては成立しない場合も多いですし、そこを慎重に判断した上で「気にしない」という選択をするのであれば、それはそれで問題ないでしょう。

気にする人は、例えば、PHPを避けるという対応を選択することになって「残念」と感じるかも知れませんが、まあ、それはそれで仕方ないのではないでしょうか。

※2009-10-11追記: 結局、PHP側で対応されたようです……「htmlspecialcharsに関する素敵なお知らせ (d.hatena.ne.jp)」。

関連する話題: PHP / セキュリティ

2009年10月7日(水曜日)

かなめも2

公開: 2009年10月9日0時10分頃

引き続き購入。

2巻になって、いい話が増えた気がしますね。朝顔の話とか、日記の話とか。

※146cm・47kgはBMIだと22.05で標準ですが、ローレル指数だと151.02で太り気味になるなぁ。

かなめも (2) (まんがタイムKRコミックス)

関連する話題: マンガ / 買い物 / かなめも

週刊ダイヤモンド JR特集

公開: 2017年9月23日14時25分頃

週刊ダイヤモンド 2009年10/10号 (www.amazon.co.jp)がJR特集なのですが、「スジ屋」の話がちょっと面白かったですね。事故時には人間が引くという話は聞いたことがありましたが、平常時のダイヤはプログラム生成で、その名前が「スジックス」って……。

「テツ族」分類というのも面白かったのですが、ここに分類されていない「線路マニア」という人が存在するようで、私の近くにはこんな本たちが。

最後の本は一般の人が読んでも面白いと思いますが、他はちょっとマニアックすぎます……。

週刊 ダイヤモンド 2009年 10/10号 [雑誌]配線略図で広がる鉄の世界図説 鉄道工学日本の“珍々”踏切

関連する話題: / 線路マニア

2009年10月6日(火曜日)

すれ違い人数≠通信回数

公開: 2017年9月23日13時15分頃

ドラクエ9持って人だかり 「すれちがい通信」大人気 (www.asahi.com)」。って何でこのタイミングで朝日がドラクエ9 (www.amazon.co.jp)を、と思いつつ。

スクエニによると、ドラクエ9の国内出荷本数は7月の発売以来400万本を突破。50万人分のデータを集計したところ、9月までに東京都で1489万回通信があった。

1489万という数字は「すれ違い人数」の合計です。すれ違いが成立すると、双方のすれ違い人数が+1されますから、通信1回につき+2ということになります。通信回数ということなら、2で割る必要がありますね。

もっとも、「一度に3人以上来ると3人しか増えない」「すれ違い後、セーブしないで電源を切ると増えない」といった現象もありますから、厳密に求めるのは難しいでしょうけれど。

ドラゴンクエストIX 星空の守り人

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年10月4日(日曜日)

かなめも1

公開: 2009年10月6日0時20分頃

何となく購入。

ちょ、守備範囲7歳~15歳って何ですか。そういう系統のマンガでしたか。

いちおう新聞配達マンガ(?)で、細かい描写がなかなか面白いですね。

関連する話題: マンガ / 買い物 / かなめも

美味しんぼ103

公開: 2017年9月23日16時40分頃

少し迷いつつも、いちおう購入。

「文化のない新聞はインターネット以下」という発言に吹きました。どんだけ上から目線なのかと。

「茶粥をすすって会社を建て直す」なんて勇ましく言いますが、茶粥をすすることになるのは社主ではなく、従業員なのではないかと思ったり。

関連する話題: マンガ / 買い物

bAもグッドデザイン賞を受賞

公開: 2017年9月23日1時35分頃

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「「美人時計」がグッドデザイン賞受賞、等身大ガンダムは大賞候補 (internet.watch.impress.co.jp)」だそうで。

さらに、「ネットワーク領域/デジタルコンテンツ」では、株式会社美人時計の「美人時計」、マピオンの地図サイト「Mapion」、ライブドアのRSSリーダー「livedoor Reader」、ミクシィおよび博報堂DYメディアパートナーズの「ミクシィ年賀状」、モリサワのサイト「モリサワ フォントパーク 2.0」なども選ばれている。

実はひっそりと弊社 (www.b-architects.com)も受賞していたりします。

「など」に含まれてしまったのが残念というか惜しいというか。

関連する話題: Web / BA

2009年10月3日(土曜日)

Microsoft Security Essentials

公開: 2017年9月23日20時35分頃

Microsoft Security Essentials (www.microsoft.com)、出ましたね。以前から話題になっていた、MS製の無料アンチウィルスソフトです。

手元のマシンに入れて、とりあえず完全スキャンを実施してみました。10時間以上かかって、38個のウィルスを検出。意図的に保存しておいたPoCコードがヒット……したのは数件だけで、ほとんどはspamメールの添付ファイルでした。要らないのでばっさり削除。

今のところ特に問題なく動いているようですが、はてさて。

yaraiの時も思いましたが、アンチウィルスの評価って難しいですよね。全く何も起きないのが最良ですし。

関連する話題: セキュリティ / Microsoft / yarai

2009年10月2日(金曜日)

Wii Fit Plus 2日目

公開: 2009年10月3日17時20分頃

Wii Fit Plus (www.amazon.co.jp)2日目。

夕方頃から肩が重いような気がしていたのですが、夜になって、Wii Fit Plusをやってみて原因が分かりました。前日の「パタパタ飛行」でした……。

「パタパタ飛行」をやってみると、鎖骨とか首とかではなくて、肩の尖ったところ(?)がかなり痛い。かなり効いているようです。

関連する話題: ゲーム / Wii / Wii Fit / 買い物 / 任天堂

はてなが不正アクセスされた?

公開: 2009年10月3日16時35分頃

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。

はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。

つまり、こういうことですね。

これ自体はよくあることです。PCサイトであればCookieを使うところですが、現状、docomo端末の多くはCookieに対応していません。そのため、セッションIDを引き継ぐためにはURLに含めるか、hiddenを使うことになります。hiddenを使うとすべての遷移をPOSTにする必要があり、画面の設計が大幅に制限されるため、URLに含めてしまうのが一般的です。

そしてどうやら、こういうことが起きたらしい?

こうなると、単にリンクを辿っただけで、他のユーザのセッションIDを含むURLにアクセスすることになります。これであっさりセッションハイジャックが起きるわけですね。ただ、この場合、故意にセッションハイジャックが行われたという話ではないように思います。はてな側の不具合で、たまたま他人のセッションを乗っ取ってしまった人がいたという話のような……。

そうだとすると理解できないのはこれ。

本件は、不正アクセス禁止法違反等に該当しますため、所轄の警察署ならびにIPAに届出をいたします。

何度も書いているような気がしますが、不正アクセス禁止法の言う「不正アクセス」は世間一般のイメージとは異なるもので、「管理者の想定していないことをしたら不正アクセス」なんてことにはなりません。基本的には、他人の識別符号(パスワードなど)を使うか、あるいは不正な指令などでアクセス制御を突破することが要件となります。また、過失や未遂を罰する規定はありません。

今回のケースでは、アクセス制御機能はあったと言って良いと思うのですが、他人の識別符号を入れたとか、何らかの指令を送ってそれを回避したとか、そういった事実は無いように思うのですけれど。

※とはいえ、実際には別途不正アクセスが行われているけれども詳細は公表していない、という可能性もありますね。こういうケースでは、警察から情報を公表しないように指導されている事も多いので……。

関連する話題: セキュリティ

2009年10月1日(木曜日)

Wii Fit Plus

公開: 2009年10月3日0時20分頃

Wii Fit Plus (www.amazon.co.jp)を購入。正確には、ソフト単品 (www.amazon.co.jp)のほうですが。

実は密かにWii Fit (www.amazon.co.jp)は続けていたのですが、少し困っていたのが「からだ測定」の時刻。毎日測るわけですが、零時前後に帰ってくる場合には困ったことが起きます。零時を1秒でも過ぎると翌日の測定ということになってしまうので、たとえば、以下のような感じになると……。

この場合、10月2日の記録はなしになり、3日の夜の計測は前回の計測を上書きする形になります (上書きするかどうか確認されるので、黙って上書きされることはありません)。毎日測って記録を残したいのに、これでは困るわけです。

仕方がないので、「たとえ23時頃に帰ってきても、0時過ぎるまで待ってから計測する」と決めて毎日測っていましたが……なんで意味もなく待たなければならないのかと、ずっと不満に思っていたのですね。

そしてなんと、Wii Fit Plusではこの問題が解決されています。ズバリ、「3時に日付が変わる」というモードが選べるようになっているのです。これは素晴らしい。「キター」という感じです。

Wii Fitのセーブデータがあると、初回起動時に認識して自動的に記録を引き継いでくれます。引き継ぎの場合には更新されたポイントを教えてくれるなど、引き継ぎ専用の動作がある模様。そして驚いたことに、「前回の計測時間が00:30でした。夜型のようですから、3時に日付が変わるモードを使ってみませんか?」というような主旨のことをちゃんと案内してくれるのですね。おかげて、迷わずに設定することができました。

新規追加されたトレーニングをいくつかやってみましたが、新しい筋トレはかなりきついですね。サイドランジとか、もう初っぱなから「効いている」感じがありありと。「トレーニング+」では「パタパタ飛行」「サイクリング」「セグウェイチャレンジ」などをやってみましたが、パタパタ飛行はちょっと楽しいかも。

関連する話題: ゲーム / Wii / Wii Fit / 買い物 / 任天堂

マークアップエンジニアが知っておきたい3つの脆弱性:補足

公開: 2009年10月2日0時30分頃

先月「マークアップエンジニアが知っておきたい3つの脆弱性」という資料を公開しました。これは実際に話を聞いた参加者の方が後で話を思い出したりするために……という意図しかなかったのですが、特に深く考えずに公開したところ、予想以上に反響や反応をいただきました。ありがとうございます。

せっかくなので、この場でいくつか補足しておきます。

&の扱いについて

これはそのとおりですね。私のミスで、単純に抜けていました。ごめんなさい。

#PCDATAに限らず、属性値の中でも & は文字参照に (&amp;や&#38;などに) 変換する必要があります。そうしないと不正な実体参照が挿入されてinvalidになってしまうおそれがありますし、HTMLの話やプログラミングの話を書き込みたいときなどに "&" という文字列がうまく表現できなくなったりして困ります。

※もっとも、セキュリティ上の問題はあまりない気がするので、それを忘れたから脆弱、ということにはならないだろうと思います。また、たいていのテンプレート言語は一発で < も & も変換してくれると思うので、< だけ変換して & を忘れるということは滅多に起きないでしょう。イマドキ自力で変換したりしないですよね?

128bit最強伝説について

128bit最強伝説って何、というお話しがちらほらありましたが、画像が削除されているので分かりにくいですよね。

とりあえず「最強の128bitSSL」で検索してみてください。銀行のサイトの説明が大量にヒットするはずです。128bitRC4を臆面もなく「最強」と称しているわけですが、現在では256bitAESに対応しているケースが珍しくありません。

まあ、128bitRC4はいちおう電子政府推奨暗号リスト (www.cryptrec.go.jp)にも載っていますし (SSL/TLSで使われているので当面認める、という注釈付きですが)、現時点で危険ということは無いと思いますが、「最強」は違うだろう、いつの話だよ、とツッコミを入れたくなるわけです。そういう文言がチェックなしに使い回されていることは問題ではないか、というお話です。

お仕事のご依頼について

聞きたかった、というコメントもいただいています(ありがとうございます)。

講演のご依頼はウェルカムですので、スケジュール等の条件が合えばまたお話しさせていただきます。よろしければご検討ください。もちろん、他の話題が良いという場合もご相談させていただければと思います。ちなみに、このお話は1時間半くらいでしゃべっています。

※ウェルカム感(?)を出すために、「お仕事のご依頼」というページを作ってメニューにも追加してみました。

関連する話題: セキュリティ / 講演

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト