水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年2月

2009年2月

2009年2月27日(金曜日)

ぱにぽに11

公開: 2017年9月23日19時55分頃

ぱにぽにも11巻が出ておりまして。

初回限定特装版のほうを購入。本編の作中に登場する「レベッカ宮本大百科」が付録としてついております。

しかし、ぱにぽにはしばらく読まないと登場人物誰が誰やら分からなくなるなぁ。

※それにしても、Amazonの初回限定特装版 (www.amazon.co.jp)は何かおかしくないですか? そこらで普通に定価762円で売っておりますが……。

ぱにぽに 11 (ガンガンファンタジーコミックス)

関連する話題: マンガ / 買い物

苺ましまろ6

公開: 2017年9月23日19時5分頃

6巻出てた! 沢渡真雪先生 (www.misuzilla.org)にご指摘されて気づきましたよ。危ない。

帯のコピーが「いま、売れてます!」ならぬ「いま、笑われてます!!」。表紙絵だけでは、ギャグ系のマンガだと分からないですからね。

そのギャグは今回も秀逸。初っぱな扉絵の美羽でいきなり笑ってしまった……。というか、一話まるまるコントすんな! あと、美羽がイロモネアのモノボケを延々やるとか……。

個人的にいちばん面白かったのは、「この写真を横から撮れてる時点で……」「あっそうか!」というやりとりかなぁ。千佳の天然ボケは珍しいかも。

苺ましまろ 6 (電撃コミックス)

関連する話題: マンガ / 買い物 / 苺ましまろ

SQLのエラーで分かったり分からなかったり

公開: 2017年9月23日18時25分頃

続:SQLのバインド機構は「エスケープ処理された値」をはめ込むのか (d.hatena.ne.jp)」。

概ねよいのだが、『ブラウザ上には、処理が失敗したことが分かる程度の簡単なエラーメッセージを表示』という部分がよくない。処理が『失敗した』ことが分かれば、攻撃に対するヒントになり、ブラインドSQLインジェクションに利用される場合もあるだろう。処理が失敗したのか、入力値検証ではじいたのかを含めて、もっと大雑把なメッセージにしたほうがよい。

たとえば、普通に検索すると「見つかりません」になるのに、シングルクォートを含む検索では「メンテナンス中です」という表示になる、なんて検索システムがあったりしますね。何故かシングルクォートを偶数個連続して入れると「見つかりません」に、奇数個だと「メンテナンス中」になるという。こういう場合、SQLインジェクションが強く疑われます。が、「メンテナンス中」の場合であっても「見つかりません」と表示するようにしておけば、SQLインジェクションがバレにくいというわけですね。

※まあ、バレなきゃ良いという話ではないのですが。

もっとも、届出者の立場としては、大胆なエラーが出てくれた方がありがたかったりもします。基本的にSQLインジェクションは脆弱なのかどうか分からない、疑惑段階での届出になるのですが、希に脆弱性の存在をほぼ確信できる場合があります。それはたとえば、以下のような場合です。

たとえば、こんな感じのエラーですね。

Warning: db2_exec() [function.db2-exec]: Statement Execute Failed in /www/htdocs/sqlexecution.inc on line 11
SELECT goods_status FROM goods_table WHERE goods_id = test

こういう場合はかなりの自信を持って脆弱だと言えるので、ある意味、ありがたいと言えます。

※届出する人だけでなく、攻撃者にも情報与えすぎですが。恐ろしいことに、私はいずれのケースも複数見たことがあります。

ところで余談ですが、

日本には、47の都道府県があるのだから、説明なしに「01~48」とすると読者は面食らう。私の身の回りでは、48番目の県について「海外を示す」とか「いや、ぷりぷり県だ」とか、さまざまな憶測があったが、説明がないので本当のところは不明だ。

JISハンドブックでJIS X 0401の都道府県コードを確認しましたが、やはり01~47しか定義されていないですね。48番目は「あなたシナリオ」かもしれません……。

四八(仮) (www.amazon.co.jp)ネタ。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2009年2月25日(水曜日)

森の生活 97日目: 雪解け

公開: 2017年9月23日23時50分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、97日目。

おや? 村の様子が……。

……雪が解けておりますね。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

すもももももも12

公開: 2017年9月23日16時35分頃

最終巻。

うーむ。もも子にもう少し活躍してほしかったなぁと思います。サブタイトルは「地上最強のヨメ」なのですし。

というか、目からビームは……。個人的には、物理的に強くなるのではない方向に向かって欲しかった。まあ、武術を封じられたライバル達はそうなったのですけどね。

すもももももも~地上最強のヨメ~ 12 (ヤングガンガンコミックス)

関連する話題: マンガ / 買い物

2009年2月23日(月曜日)

森の生活 95日目: カーニバル

更新: 2009年2月25日23時43分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、95日目。

起動すると村に謎の紙吹雪が舞っており、カーニバルなのですよ……。

基本的には、クジャクのベルリーナがひたすら踊るイベントです。

で、カーニバルシリーズの家具がもらえます。住人とゲームで勝負→勝つとアメをもらえる→特定の色のアメを3つ集めてベルリーナに渡す→家具ゲット、となるのですが。

この家具がまたランダムなので、かぶることかぶること。数時間かけて40個近くゲットしたのですが、結局、「カーニバルテーブルL」が一つもゲットできずにコンプリートは断念。カーニバルの床7つとか要らないし! (しかも床は売っても1800ベルと安い)

……っていうかですね、住人とのゲームがつまらないんですよ! ハッキリ言って苦痛なんですよ! ゲームと言ってもジャンケンとかコイン当てとかで、選択肢ランダムなのです。それを数回ならともかく、100回以上ですよ? まあ、結局、ボタン連打になりますわな。

※というか、100回以上やってもコンプリートできない仕様がおかしいというか、ゆきだるまシリーズのようにカタログにないやつから優先的に渡してくれればいいのに……。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

12の悪いくせ

公開: 2017年9月23日15時45分頃

読み終わったのでメモ。

「12の悪いくせ」の内容を確認するために購入。一覧にするとこんな感じ。

※最後の癖、「夢のクレヨン王国 (www.amazon.co.jp)」のシルバー王女は「おしゃれ三時間」ですが、原作のシルバー王妃は「お化粧三時間」となっております。

クレヨン王国の十二か月 (講談社文庫)

関連する話題: / 買い物

2009年2月22日(日曜日)

情報セキュリティ早期警戒パートナーシップを始めたのは中川昭一

公開: 2017年9月23日22時45分頃

まったくどうでも良い与太話ですが、「情報セキュリティ早期警戒パートナーシップ」の運用開始について (www.meti.go.jp)のPDFを見ると、こんなふうに書いてあるのですね。

○経済産業省告示第二百三十五号

ソフトウエア等脆弱性関連情報取扱基準を次のように定めたので、告示する。

平成十六年七月七日

経済産業大臣 中川 昭一

経済産業大臣の名前に刮目せよ。17日に財務・金融担当相を辞任した中川昭一氏ですが、当時は経済産業大臣だったわけですね。つまり、「情報セキュリティ早期警戒パートナーシップを始めたのは中川昭一」という、どうでも良いトリビアがここに成立するわけです。

この事実に気付いたら、急に届出する気がなくなってきました。:-)

※……というのは嘘で、今日も一件届け出ましたが。

関連する話題: 与太話 / 情報セキュリティ早期警戒パートナーシップ

2009年2月21日(土曜日)

QRコード上書きでフィッシング

公開: 2017年9月23日13時30分頃

QRコードを使ったフィッシングに気をつけろ! (slashdot.jp)」。ポスターなどのQRコードを物理的に上書きして偽サイトに誘導する……という攻撃が既に行われているらしいというお話。

結局、URLを確認するしかないということですかね。たいていの機種では、QRコードを読み取ったときにURLが表示されると思うので、それを見る、と……。

※なお、QRコードは(株)デンソーウェーブの登録商標です。らしいです。

関連する話題: Web / セキュリティ

2009年2月19日(木曜日)

Amazonに凄い商品が登場

公開: 2017年9月23日17時20分頃

なんだこれ。

納品物

-診断結果報告 1通

診断を行ったWebページに対して「どのパラメータ」に「どんな問題点があるか」など、診断実施結果が記載されています。

-納品書 1通

-領収書 1通

※Amazonの仕様上、「動作環境:CD-ROM」とありますが、本サービスの納品物にCD-ROMは含まれませんので、あらかじめご了承ください。

買ったら何が起きるのだろう……。ほしい物リストに追加したりもできるようですが。:-)

関連する話題: セキュリティ

太陽光発電のコスト

公開: 2017年9月23日16時25分頃

へぇと思ったのでメモ : 「武蔵野市 太陽光発電の売電に補助 関連事業費に500万円計上 (www.tokyo-np.co.jp)

太陽光パネルの設置費用は約二百万円。市の試算では、費用を回収するには三十年以上かかるが、七年前から実施されている設置費の補助と、今回の売電補助を合わせると、約二十二年に回収期間を短縮できるという。

そういえば、15年くらい前に「太陽光発電では生み出されるエネルギーよりも設備の設置・維持にかかるエネルギーの方が大きいので全く意味がない」なんていう議論を聞いたことがありましたが、産総研の「太陽光発電のエネルギー収支」 (unit.aist.go.jp)によれば、

現在広く普及している技術で寿命30年とおいた場合(*2)、日本におけるEPTは1~3年程度、EPRは12~21倍(寿命20年でも8~14倍)と見積もられます。また最近実用化された技術では、EPRは10数倍~30倍程度に達すると見積もられます。これは既に一般的な火力発電の性能(EPRで6~21倍程度)を超えつつあり、今後も伸びる見込みです。

以上、産総研:太陽光発電研究センター 「太陽光発電のエネルギー収支」 より

ということで、エネルギー収支的には3年あれば元が取れて、最終的には10倍以上のエネルギーが得られるようですね。さすがは21世紀?

※15年前の話は「資源が少ない日本でも高速増殖炉でウマー」という話とセットだったような気がしますが、そっち方面はもんじゅがいまだ停止中で先が見えない状況なのですよね。

関連する話題: メモ / 科学 / 原子力

2009年2月16日(月曜日)

夜は短し歩けよ乙女

公開: 2009年2月18日23時55分頃

読み終わったのでメモ。

宮崎アニメのような雰囲気の、謎めいたファンタジー。面白いのですが、オカルト嫌いな人には合わないかも。

おともだちパンチは、殴る側が怪我をする可能性があるのでオススメしません。腕力のない人がこんにゃくを殴る分には良いと思いますが、人間を殴ったりすべきではないでしょう。

関連する話題: / 買い物

2009年2月14日(土曜日)

森の生活 86日目: バレンタインデー

公開: 2017年9月23日13時45分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、86日目。

すっかり忘れていましたがバレンタインデーのようで。住民からチョコもらいました。

マスターまでバレンタインモードですよ。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

2009年2月13日(金曜日)

ドラクエ9延期

公開: 2009年2月14日13時30分頃

ドラクエ9 (www.amazon.co.jp)、私はずっと前から予約していたのに……。「「ドラクエIX」発売延期の理由は 「油断していた」と和田社長 (www.itmedia.co.jp)」。

実装が済み、本格的なデバッグに入った段階で「手強いバグがいくつもあることが判明した」という。バグの量は「とてもお客様に出せる状態ではない」ほど大量。「もう少しチューニングしようというレベルではなく、今出すべきでないことは明らかと判断した」

特に「ドラゴンクエストのチームとしては未開拓の通信分野」が強敵。「ゲーム全体でもまだまだバグは取り切れておらず、まして通信についてかなり掘り下げる必要があるため、十分な期間を取った」という。

通信系のバグが手強いようで。まあ、そうでしょうね。世には「通信するとアイテムが消滅」とか「通信によってアイテムを増殖できる」とかいう不具合も結構あったりしますしね。

しかし、「ドラゴンクエストのチームとしては未開拓」というのが微妙すぎる話だと思うわけです。スクエニ全体としてはぜんぜん未開拓ではないはずなのでして、つい最近もFFCCエコーズ・オブ・タイム (www.amazon.co.jp)を出したばっかりですよね。

「傲慢(ごうまん)だったと反省している」「開発現場に突っ込みは入れにくい」などという言葉を見るにつけ、ドラクエの開発チームに何か問題があるのではないか……などと深読みしたくなってきてしまうわけですけれども。

ドラゴンクエストIX 星空の守り人

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年2月10日(火曜日)

森の生活 82日目: 化石コンプリート

公開: 2009年2月14日1時0分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、82日目。

化石「アンキロのしっぽ」が出て……。

ついに化石コンプリートしました!

今後は化石は売るだけなので、ちょっと寂しい?

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

Google謎の謝罪

公開: 2017年9月23日20時40分頃

こんなのが出ていますね: 「Google Japan Blog: Google のマーケティング活動について (googlejapan.blogspot.com)」。

Google Japan では、製品を多くのユーザーに知ってもらうために、さまざまなプロモーション活動を実施しています。

今回、そのプロモーション活動の一部でブログを活用したことが、Google のサーチに関するガイドラインに違反することが判明し、このプロモーションに関しては中止しました。ご迷惑をかけた関係者各位とユーザーの皆さまにお詫びするとともに、再発防止に向けて、透明性の高いコミュニケーションに努めてまいります。

これだけ読んでも何が何に違反したのかさっぱり分からないわけで、コミュニケーションがあまりにも不透明だと思いますが……。

幸いにして、CNETに詳しい話が出ていますね。

要はこういう事のようで。

別に法的にまずいことをしたわけでもないのですし、ちゃんとペナルティを課せば良いだけでしょう。GoogleのサイトがGoogle検索の結果に一切出ないようになれば、それでOKかと。

関連する話題: Web / Google / SEO

IPAを騙る標的型攻撃の分析

公開: 2017年9月23日17時5分頃

ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 -脆弱性を狙った脅威の分析と対策について- (www.ipa.go.jp)」。

IPAの名を騙るメールが届き、添付されているPDFを開くとAdobe Readerの脆弱性を突いた攻撃が発動、バックドアが作動……というシナリオのようで。なかなか興味深いです。HTTP Proxyに関する話も興味深いところですね。

しかし、本マルウェアは、感染したコンピューターのインターネット接続設定を確認し、HTTP Proxy サーバーが利用されていた場合、それを利用してインターネット上に存在する攻撃者用制御サーバーと通信する機能を備えています。そのため、HTTP Proxy サーバーを導入するだけでは、本マルウェアによる脅威を低減することは困難です。

(~中略~)

認証付きのHTTP Proxy サーバーを導入することで、本マルウェアとインターネット上に存在する攻撃者用制御サーバーの通信を防止することが可能です。

(~中略~)

しかし、技術的には、認証付きHTTP Proxy による対策を回避することも可能なため過信は禁物です。

基本的には、Adobe Readerをきちんとアップデートしていれば喰らわずに済む話ではあるのですが。

※MS製品ならMicrosoft Update一発でおおむね安心なのですが、それ以外をちゃんとアップデートできているかと言われると、なかなか自信を持って答えられないですね。JREとかFlash PlayerとかQuick Timeとかいろいろありますし、それらが全てのマシンでちゃんとアップデートできているのかと問われると……。

関連する話題: セキュリティ

脆弱性を見つけるのは法的に黒っぽい?

公開: 2017年9月23日18時30分頃

セキュリティ&プログラミングキャンプキャラバン2008 レポート (blog.s21g.com)」。

脆弱性を見つけるのは法的に黒っぽいですが、みなさん、どうしてるんですか?

ふぇー。黒っぽいですか。情報セキュリティ早期警戒パートナーシップガイドラインの付録には「不正アクセス禁止法に抵触しないと推察される行為の例」というのが出ていたりしますが、園田さんの「早期警戒パートナーシップ」という発言はその話ですかね。ちなみにこんな感じです。

1) ウェブアプリケーションの利用権者が、正規の手順でログインするなどして通常のアクセスをした際に、ブラウザとサーバとの通信の内容を観察したところ、それだけで脆弱性の存在を推定できた場合。

2) ウェブページのデータ入力欄にHTML のタグを含む文字列を入力したところ、入力した文字列がそのまま表示された。この段階ではアクセス制御

機能の制限を回避するに至らなかったが、悪意ある者に別の文字列を入力されれば、このサイトにセキュリティ上の問題が引き起こされかねないと予想できた場合。

3) アクセス制御による制限を免れる目的ではなく、通常の自由なページ閲覧を目的として、日付やページ番号等を表すと推察されるURL 中の数字列を、別の数字に差し替えてアクセスしてみたところ、社会通念上、本来は利用できてはならないはずと推定される結果が、偶発的に起きてしまった場合。(ただし、積極的に多数の数字列を変えて試す行為等は、制限を免れる目的とみなされる可能性があります。

以上、情報セキュリティ早期警戒パートナーシップガイドライン より

まあ、抵触しないと推察されるというだけなので、グレーですけれども。ここに書かれているのはあくまで一例で、基本的には、

という2点に注意すれば良いのかなと思っています。後者はけっこう難しいですが。

脆弱性みつかったお! → 仕様です

すぐ仕様と言ってくるならまだ良いのですが、「脆弱性みつかったお→修正しました→なおってないお→修正しました→なおってないお→仕様です」とか対応されると、修正を諦めて仕様と言い張ることにしたとしか見えなかったりしますよね……。

関連する話題: セキュリティ

2009年2月9日(月曜日)

国語入試問題必勝法

公開: 2017年9月23日19時35分頃

えむけいさんに送っていただきました (ありがとうございます)。

短編集なのですね。それぞれメモ。

猿蟹合戦とは何か

猿蟹合戦のフロイト的解釈。太宰治のお伽草紙 (www.aozora.gr.jp)のパロディですね。仮名遣いまでパロっているので若干読みにくいですが。栗の解釈の話が妙にアレで笑えます。

国語入試問題必勝法

表題作。これは面白いです。特に「六字以内でまとめよ」は爆笑。要約の最後の方のやる気のなさも良いです。

※ちなみに「英語語源日本語説」は「蕎麦ときしめん (www.amazon.co.jp)」に所収の作品ですね。これは「トンデモ本の世界 (www.amazon.co.jp)」でも紹介されていましたが、未読です。

長短除外の法則は、割と納得。あとがきでは信じるなと言われていますが、どうしても分からないときの非常手段としては有効だと思いますね。そういえば、数学のマークシート問題では「1」の出現率が高い、という研究もあったような。

時代食堂の特別料理

おふざけテイストの話の中に普通の小説が混じっていると、妙にがっかりした気になるのはどうしてなのでしょうね。

話自体は面白いのですが。

靄の中の終章

老人の堂々巡り。最初は笑えるのですが、読んでいるとだんだん怖くなってきます。これはホラーと言っても良いのでは。

ブガロンチョのルノワール風マルケロ酒煮

題名からして、もう……。水晶魚はちょっとおいしそうで、宮沢賢治の「銀河鉄道の夜」に出てくる砂糖菓子を連想しました。

いわゆるひとつのトータル的な長嶋節

ちゃんと長嶋っぽく見えるのが不思議。いや、べつに不思議でもないですけど。

ただ、野球人には詳しくないのでイマイチ楽しめなかった感も。

人間の情景

老人達によるリレー小説の話。これは面白かったです。あるいは表題作以上かも。何の脈絡もなく出てくる号令とか、思わず笑ってしまいました。ちなみに別な方面では四倍角とか爆発音で稼ぐとかこまめに改行するとかいう変な技もあるようですが。

※ちなみに私はいつも長く書きすぎてしまって、短くするのに苦労します。

最後の方の観光案内っぽい展開、なぜか「四八(仮) (www.amazon.co.jp)」を思い出してしまいました……。

国語入試問題必勝法 (講談社文庫)蕎麦ときしめん (講談社文庫)トンデモ本の世界―MONDO TONDEMO

関連する話題: / 買い物

2009年2月8日(日曜日)

森の生活 80日目: 銀の斧

公開: 2009年2月9日1時15分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、80日目。

ぎんのおのを入手しました!

噴水ができたのは31日目ですが、それからほぼ毎日斧を投げていたわけで……。大変でした。

※でも、まだ金の斧もあるはず。

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

2009年2月6日(金曜日)

書籍の脆弱性: Ajaxセキュリティ

公開: 2017年9月23日16時50分頃

徳丸さんの書籍の脆弱性シリーズ:「書籍『Ajaxセキュリティ』に関する残念なお知らせ (d.hatena.ne.jp)」。

何故か入力値を検証してシングルクォートを含むデータをエラーにするという話。ちゃんと処理すれば良いだけですよね。

ユーザーの姓として、O'Brien なら有効な値でしょうが、' SELECT * FROM tblCreditCards はまず違うでしょう。

「' SELECT * FROM tblCreditCards」という姓の人がいても良いじゃないですか。何が駄目なんですかと。こういう事を書かれると、本当にそういう名前にしたくなってきますね。

そういえば、先週末の懇親会でも「Let's Noteが検索できない」とかいう話が出ていましたが。

※関連するかも: 偽偽夜食日記: Ajaxセキュリティ (rryu.sakura.ne.jp)

関連する話題: Web / セキュリティ / / 書籍の脆弱性 / Ajaxセキュリティ

パスワード盗み返し

更新: 2017年9月23日16時20分頃

「ハッカー」に逆襲、パスワード盗み返す 中3書類送検 (www.asahi.com)

インターネットのIDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は5日、兵庫県尼崎市の中学3年の少年(15)を不正アクセス禁止法違反の疑いで書類送検した。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。

パスワードを盗んだとしても、それだけでは不正アクセス禁止法の言う不正アクセス行為にはならないはずです。三条で定義されている不正アクセス行為は、以下の三つだけです。

2  前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。

一  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)

二  アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

三  電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為

以上、不正アクセス行為の禁止等に関する法律 第三条 より

そんなわけで、検挙の理由は「パスワードを盗んだから」ではなくて、「盗んだパスワードを入力してアクセスしたから」でなければならないはずです。

ところで、技術的に興味深いのはこれですね。

操作の履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したという。

キーロガーを分析して分かったというこれ、何のパスワードなんですかね。キーロガーのデータ送信用にパスワードが必要なのかという疑問が沸くわけですが。どこかのメールサーバを経由してメールを送るようになっていて、SMTP認証が必要だったとか? なんか、キーロガーが脆弱なのではないかという気がしてきますが。

関連する話題: セキュリティ

2009年2月4日(水曜日)

理由あって冬に出る

公開: 2017年9月23日22時45分頃

読み終わったのでメモ。

わりと普通の物理トリックものですね。最後のオチ(?)で「うしろに立つ少女 (www.amazon.co.jp)」を思い出しましたが。

しかし、この作品最大の謎は、「表紙の女子は誰なのか?」という点ではないでしょうか。けっこう背が高いようなので、柳瀬さんですかね?

理由(わけ)あって冬に出る (創元推理文庫)

関連する話題: / 買い物

2009年2月3日(火曜日)

森の生活 75日目: 節分

公開: 2009年2月4日22時35分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、75日目。節分ですね。

村長から鬼のお面がもらえましたが……。

あれ、これだけ?

街へいこうよ どうぶつの森(ソフト単品)

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

IE8のクリックジャッキング対策

公開: 2009年2月3日17時25分頃

IE8 Security Part VII: ClickJacking Defenses (blogs.msdn.com)」。HTTP応答ヘッダで X-FRAME-OPTIONS: DENY や X-FRAME-OPTIONS: SAMEORIGIN を出力しておくと、フレームの中での参照が制限されるというお話のようで。

試してみると、こんな風に表示されます。

このコンテンツはフレーム内で表示できません。

この Web サイトに入力する情報のセキュリティを保護するため、このコンテンツの発行者はフレーム内での表示を許可していません。

iframeだけでなく、frameでも同様にブロックされますね。これはクリックジャッキング対策に限らず、いろいろ役に立つかも。

関連する話題: Web / セキュリティ / Internet Explorer / フレーム

2009年2月2日(月曜日)

オンラインゲームの脆弱性

公開: 2009年2月3日15時15分頃

「裏技」でも「利用ダメ」――オンラインゲームにおけるバグ利用がアウトなワケ (plusd.itmedia.co.jp)

もしも、プレイ中に偶然こうしたバグを見つけてしまった場合、悪用したり、誰かに教えたりするのではなく、素直にGMや問い合わせフォームなどを通じて、「こんなバグがありました」と報告することをオススメする。

なんか脆弱性関連情報みたいな扱いですね。悪用されるとゲーム世界が破綻するようなバグ、ということなら脆弱性といえなくもないですね。

ところで、

「スーパーマリオブラザーズ」の“無限1UP”や、「ドラゴンクエストV」の“ひとしこのみ”のような裏技を見つけてしまっても、それを悪用してお金や経験値、アイテムなどを増やしたりしてはダメというわけだ。

マリオの無限増殖は有名だと思いますが、ひとしこのみ技ってそんな有名なんですかね?

※ひとしこのみ技……SFC版のドラクエ5において、主人公が一定のアイテムを一定の順で持っていると、全ての攻撃が必ず会心の一撃+仲間にできるモンスターが必ず仲間になるという現象。おそらくはデバッグ用の機能。そのアイテムが「ひのきのぼう」「とがったホネ」「しあわせのぼうし」「こんぼう」「のこぎりがたな」「みかわしのふく」であるため、頭文字を取って「ひとしこのみ」と呼ばれます。詳しくは「各種ゲームのプログラム解析 - モンスターが必ず仲間になる裏技 (s-endo.skr.jp)」を参照。

関連する話題: ゲーム / セキュリティ / ドラクエ / ドラクエ5

2009年2月1日(日曜日)

ぼくらの10

公開: 2009年2月2日19時40分頃

購入。

タイトルが出ましたね。「ぼくらの――」「で、その後は?」というやりとりの後が何とも。

ぼくらの 10 (IKKI COMIX)

関連する話題: マンガ / 買い物

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト