水無月ばけらのえび日記

ぱにぽに11

公開: 2024年4月20日19時55分頃

ぱにぽにも11巻が出ておりまして。

• ぱにぽに 11 (www.amazon.co.jp)
• ぱにぽに 11 初回限定特装版 (www.amazon.co.jp)

初回限定特装版のほうを購入。本編の作中に登場する「レベッカ宮本大百科」が付録としてついております。

しかし、ぱにぽにはしばらく読まないと登場人物誰が誰やら分からなくなるなぁ。

※それにしても、Amazonの初回限定特装版 (www.amazon.co.jp)は何かおかしくないですか? そこらで普通に定価762円で売っておりますが……。

• 「ぱにぽに11」にコメントを書く

関連する話題: マンガ / 買い物

苺ましまろ6

公開: 2024年4月20日19時5分頃

6巻出てた! 沢渡真雪先生 (www.misuzilla.org)にご指摘されて気づきましたよ。危ない。

• 苺ましまろ6 (www.amazon.co.jp)

帯のコピーが「いま、売れてます!」ならぬ「いま、笑われてます!!」。表紙絵だけでは、ギャグ系のマンガだと分からないですからね。

そのギャグは今回も秀逸。初っぱな扉絵の美羽でいきなり笑ってしまった……。というか、一話まるまるコントすんな! あと、美羽がイロモネアのモノボケを延々やるとか……。

個人的にいちばん面白かったのは、「この写真を横から撮れてる時点で……」「あっそうか!」というやりとりかなぁ。千佳の天然ボケは珍しいかも。

• 「苺ましまろ6」にコメントを書く

関連する話題: マンガ / 買い物 / 苺ましまろ

SQLのエラーで分かったり分からなかったり

公開: 2024年4月20日18時25分頃

「続:SQLのバインド機構は「エスケープ処理された値」をはめ込むのか (d.hatena.ne.jp)」。

たとえば、普通に検索すると「見つかりません」になるのに、シングルクォートを含む検索では「メンテナンス中です」という表示になる、なんて検索システムがあったりしますね。何故かシングルクォートを偶数個連続して入れると「見つかりません」に、奇数個だと「メンテナンス中」になるという。こういう場合、SQLインジェクションが強く疑われます。が、「メンテナンス中」の場合であっても「見つかりません」と表示するようにしておけば、SQLインジェクションがバレにくいというわけですね。

※まあ、バレなきゃ良いという話ではないのですが。

もっとも、届出者の立場としては、大胆なエラーが出てくれた方がありがたかったりもします。基本的にSQLインジェクションは脆弱なのかどうか分からない、疑惑段階での届出になるのですが、希に脆弱性の存在をほぼ確信できる場合があります。それはたとえば、以下のような場合です。

• 組み立て後のSQL文がそのまんまエラーメッセージとして表示されている
• エラーメッセージにソースコードのファイル名(拡張子.inc)と行番号が表示されており、相当するURLにアクセスしてみたら実際にソースが見えて、SQL文組み立て周辺のコードが確認できた

たとえば、こんな感じのエラーですね。

こういう場合はかなりの自信を持って脆弱だと言えるので、ある意味、ありがたいと言えます。

※届出する人だけでなく、攻撃者にも情報与えすぎですが。恐ろしいことに、私はいずれのケースも複数見たことがあります。

ところで余談ですが、

JISハンドブックでJIS X 0401の都道府県コードを確認しましたが、やはり01～47しか定義されていないですね。48番目は「あなたシナリオ」かもしれません……。

※四八(仮) (www.amazon.co.jp)ネタ。

• 「SQLのエラーで分かったり分からなかったり」にコメントを書く

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

森の生活 97日目: 雪解け

公開: 2024年4月20日23時50分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、97日目。

おや? 村の様子が……。

……雪が解けておりますね。

• 「森の生活 97日目: 雪解け」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

すもももももも12

公開: 2024年4月20日16時35分頃

最終巻。

• すもももももも12 (www.amazon.co.jp)

うーむ。もも子にもう少し活躍してほしかったなぁと思います。サブタイトルは「地上最強のヨメ」なのですし。

というか、目からビームは……。個人的には、物理的に強くなるのではない方向に向かって欲しかった。まあ、武術を封じられたライバル達はそうなったのですけどね。

• 「すもももももも12」にコメントを書く

関連する話題: マンガ / 買い物

森の生活 95日目: カーニバル

更新: 2009年2月25日23時43分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、95日目。

起動すると村に謎の紙吹雪が舞っており、カーニバルなのですよ……。

基本的には、クジャクのベルリーナがひたすら踊るイベントです。

で、カーニバルシリーズの家具がもらえます。住人とゲームで勝負→勝つとアメをもらえる→特定の色のアメを3つ集めてベルリーナに渡す→家具ゲット、となるのですが。

この家具がまたランダムなので、かぶることかぶること。数時間かけて40個近くゲットしたのですが、結局、「カーニバルテーブルL」が一つもゲットできずにコンプリートは断念。カーニバルの床7つとか要らないし! (しかも床は売っても1800ベルと安い)

……っていうかですね、住人とのゲームがつまらないんですよ! ハッキリ言って苦痛なんですよ! ゲームと言ってもジャンケンとかコイン当てとかで、選択肢ランダムなのです。それを数回ならともかく、100回以上ですよ? まあ、結局、ボタン連打になりますわな。

※というか、100回以上やってもコンプリートできない仕様がおかしいというか、ゆきだるまシリーズのようにカタログにないやつから優先的に渡してくれればいいのに……。

• 「森の生活 95日目: カーニバル」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

12の悪いくせ

公開: 2024年4月20日15時45分頃

読み終わったのでメモ。

• クレヨン王国の12か月 (www.amazon.co.jp)

「12の悪いくせ」の内容を確認するために購入。一覧にするとこんな感じ。

• 1月 - 白 - ちらかしぐせ
• 2月 - 黄色 - おねぼう
• 3月 - ピンク - うそつき
• 4月 - 草色 - 自慢屋
• 5月 - 黒 - ほしがりぐせ
• 6月 - 肌色 - 偏食
• 7月 - 緑 - 意地っぱり
• 8月 - 青 - ゲラゲラ笑いのすぐ怒り
• 9月 - 水色 - けちんぼ
• 10月 - 赤 - 人のせいにする
• 11月 - 茶色 - うたがいぐせ
• 12月 - 灰色 - お化粧三時間

※最後の癖、「夢のクレヨン王国 (www.amazon.co.jp)」のシルバー王女は「おしゃれ三時間」ですが、原作のシルバー王妃は「お化粧三時間」となっております。

• 「12の悪いくせ」にコメントを書く

関連する話題: 本 / 買い物

情報セキュリティ早期警戒パートナーシップを始めたのは中川昭一

公開: 2024年4月20日22時45分頃

まったくどうでも良い与太話ですが、「情報セキュリティ早期警戒パートナーシップ」の運用開始について (www.meti.go.jp)のPDFを見ると、こんなふうに書いてあるのですね。

経済産業大臣の名前に刮目せよ。17日に財務・金融担当相を辞任した中川昭一氏ですが、当時は経済産業大臣だったわけですね。つまり、「情報セキュリティ早期警戒パートナーシップを始めたのは中川昭一」という、どうでも良いトリビアがここに成立するわけです。

この事実に気付いたら、急に届出する気がなくなってきました。:-)

※……というのは嘘で、今日も一件届け出ましたが。

• 「情報セキュリティ早期警戒パートナーシップを始めたのは中川昭一」にコメントを書く

関連する話題: 与太話 / 情報セキュリティ早期警戒パートナーシップ

QRコード上書きでフィッシング

公開: 2024年4月20日13時30分頃

「QRコードを使ったフィッシングに気をつけろ！ (slashdot.jp)」。ポスターなどのQRコードを物理的に上書きして偽サイトに誘導する……という攻撃が既に行われているらしいというお話。

結局、URLを確認するしかないということですかね。たいていの機種では、QRコードを読み取ったときにURLが表示されると思うので、それを見る、と……。

※なお、QRコードは(株)デンソーウェーブの登録商標です。らしいです。

• 「QRコード上書きでフィッシング」へのコメント (2件)

関連する話題: Web / セキュリティ

Amazonに凄い商品が登場

公開: 2024年4月20日17時20分頃

なんだこれ。

• Webセキュリティ診断・初診コース（基本） (www.amazon.co.jp)

買ったら何が起きるのだろう……。ほしい物リストに追加したりもできるようですが。:-)

• 「Amazonに凄い商品が登場」へのコメント (3件)

関連する話題: セキュリティ

太陽光発電のコスト

公開: 2024年4月20日16時25分頃

へぇと思ったのでメモ : 「武蔵野市　太陽光発電の売電に補助　関連事業費に５００万円計上 (www.tokyo-np.co.jp)」

そういえば、15年くらい前に「太陽光発電では生み出されるエネルギーよりも設備の設置・維持にかかるエネルギーの方が大きいので全く意味がない」なんていう議論を聞いたことがありましたが、産総研の「太陽光発電のエネルギー収支」 (unit.aist.go.jp)によれば、

ということで、エネルギー収支的には3年あれば元が取れて、最終的には10倍以上のエネルギーが得られるようですね。さすがは21世紀?

※15年前の話は「資源が少ない日本でも高速増殖炉でウマー」という話とセットだったような気がしますが、そっち方面はもんじゅがいまだ停止中で先が見えない状況なのですよね。

• 「太陽光発電のコスト」にコメントを書く

関連する話題: メモ / 科学 / 原子力

夜は短し歩けよ乙女

公開: 2009年2月18日23時55分頃

読み終わったのでメモ。

• 夜は短し歩けよ乙女 (www.amazon.co.jp)

宮崎アニメのような雰囲気の、謎めいたファンタジー。面白いのですが、オカルト嫌いな人には合わないかも。

おともだちパンチは、殴る側が怪我をする可能性があるのでオススメしません。腕力のない人がこんにゃくを殴る分には良いと思いますが、人間を殴ったりすべきではないでしょう。

• 「夜は短し歩けよ乙女」にコメントを書く

関連する話題: 本 / 買い物

森の生活 86日目: バレンタインデー

公開: 2024年4月20日13時45分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、86日目。

すっかり忘れていましたがバレンタインデーのようで。住民からチョコもらいました。

マスターまでバレンタインモードですよ。

• 「森の生活 86日目: バレンタインデー」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

ドラクエ9延期

公開: 2009年2月14日13時30分頃

ドラクエ9 (www.amazon.co.jp)、私はずっと前から予約していたのに……。「「ドラクエIX」発売延期の理由は　「油断していた」と和田社長 (www.itmedia.co.jp)」。

通信系のバグが手強いようで。まあ、そうでしょうね。世には「通信するとアイテムが消滅」とか「通信によってアイテムを増殖できる」とかいう不具合も結構あったりしますしね。

しかし、「ドラゴンクエストのチームとしては未開拓」というのが微妙すぎる話だと思うわけです。スクエニ全体としてはぜんぜん未開拓ではないはずなのでして、つい最近もFFCCエコーズ・オブ・タイム (www.amazon.co.jp)を出したばっかりですよね。

「傲慢（ごうまん）だったと反省している」「開発現場に突っ込みは入れにくい」などという言葉を見るにつけ、ドラクエの開発チームに何か問題があるのではないか……などと深読みしたくなってきてしまうわけですけれども。

• 「ドラクエ9延期」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

森の生活 82日目: 化石コンプリート

公開: 2009年2月14日1時0分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、82日目。

化石「アンキロのしっぽ」が出て……。

ついに化石コンプリートしました!

今後は化石は売るだけなので、ちょっと寂しい?

• 「森の生活 82日目: 化石コンプリート」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

Google謎の謝罪

公開: 2024年4月20日20時40分頃

こんなのが出ていますね: 「Google Japan Blog: Google のマーケティング活動について (googlejapan.blogspot.com)」。

これだけ読んでも何が何に違反したのかさっぱり分からないわけで、コミュニケーションがあまりにも不透明だと思いますが……。

幸いにして、CNETに詳しい話が出ていますね。

• グーグル、プロモーションで謝罪--抵触したサーチガイドラインとは (japan.cnet.com)

要はこういう事のようで。

• Googleがブロガーにお金を払って記事を書いてもらっていた
• しかしGoogleの検索ガイドラインでは、そのような行為はペナルティ対象とされている

別に法的にまずいことをしたわけでもないのですし、ちゃんとペナルティを課せば良いだけでしょう。GoogleのサイトがGoogle検索の結果に一切出ないようになれば、それでOKかと。

• 「Google謎の謝罪」へのコメント (2件)

関連する話題: Web / Google / SEO

IPAを騙る標的型攻撃の分析

公開: 2024年4月20日17時5分頃

「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策 －脆弱性を狙った脅威の分析と対策について－ (www.ipa.go.jp)」。

IPAの名を騙るメールが届き、添付されているPDFを開くとAdobe Readerの脆弱性を突いた攻撃が発動、バックドアが作動……というシナリオのようで。なかなか興味深いです。HTTP Proxyに関する話も興味深いところですね。

基本的には、Adobe Readerをきちんとアップデートしていれば喰らわずに済む話ではあるのですが。

※MS製品ならMicrosoft Update一発でおおむね安心なのですが、それ以外をちゃんとアップデートできているかと言われると、なかなか自信を持って答えられないですね。JREとかFlash PlayerとかQuick Timeとかいろいろありますし、それらが全てのマシンでちゃんとアップデートできているのかと問われると……。

• 「IPAを騙る標的型攻撃の分析」にコメントを書く

関連する話題: セキュリティ

脆弱性を見つけるのは法的に黒っぽい?

公開: 2024年4月20日18時30分頃

「セキュリティ&プログラミングキャンプキャラバン2008　レポート (blog.s21g.com)」。

ふぇー。黒っぽいですか。情報セキュリティ早期警戒パートナーシップガイドラインの付録には「不正アクセス禁止法に抵触しないと推察される行為の例」というのが出ていたりしますが、園田さんの「早期警戒パートナーシップ」という発言はその話ですかね。ちなみにこんな感じです。

まあ、抵触しないと推察されるというだけなので、グレーですけれども。ここに書かれているのはあくまで一例で、基本的には、

• Webサイトの運営者や利用者に迷惑をかけないこと
• 不正アクセス禁止法の構成要件を満たさないようにすること

という2点に注意すれば良いのかなと思っています。後者はけっこう難しいですが。

すぐ仕様と言ってくるならまだ良いのですが、「脆弱性みつかったお→修正しました→なおってないお→修正しました→なおってないお→仕様です」とか対応されると、修正を諦めて仕様と言い張ることにしたとしか見えなかったりしますよね……。

• 「脆弱性を見つけるのは法的に黒っぽい?」にコメントを書く

関連する話題: セキュリティ

国語入試問題必勝法

公開: 2024年4月20日19時35分頃

えむけいさんに送っていただきました (ありがとうございます)。

• 国語入試問題必勝法 (www.amazon.co.jp)

短編集なのですね。それぞれメモ。

• 「国語入試問題必勝法」へのコメント (2件)

関連する話題: 本 / 買い物

森の生活 80日目: 銀の斧

公開: 2009年2月9日1時15分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、80日目。

ぎんのおのを入手しました!

噴水ができたのは31日目ですが、それからほぼ毎日斧を投げていたわけで……。大変でした。

※でも、まだ金の斧もあるはず。

• 「森の生活 80日目: 銀の斧」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

書籍の脆弱性: Ajaxセキュリティ

公開: 2024年4月20日16時50分頃

徳丸さんの書籍の脆弱性シリーズ:「書籍『Ajaxセキュリティ』に関する残念なお知らせ (d.hatena.ne.jp)」。

何故か入力値を検証してシングルクォートを含むデータをエラーにするという話。ちゃんと処理すれば良いだけですよね。

「' SELECT * FROM tblCreditCards」という姓の人がいても良いじゃないですか。何が駄目なんですかと。こういう事を書かれると、本当にそういう名前にしたくなってきますね。

そういえば、先週末の懇親会でも「Let's Noteが検索できない」とかいう話が出ていましたが。

※関連するかも: 偽偽夜食日記: Ajaxセキュリティ (rryu.sakura.ne.jp)

• 「書籍の脆弱性: Ajaxセキュリティ」にコメントを書く

関連する話題: Web / セキュリティ / 本 / 書籍の脆弱性 / Ajaxセキュリティ

パスワード盗み返し

更新: 2024年4月20日16時20分頃

「ハッカー」に逆襲、パスワード盗み返す　中３書類送検 (www.asahi.com)

パスワードを盗んだとしても、それだけでは不正アクセス禁止法の言う不正アクセス行為にはならないはずです。三条で定義されている不正アクセス行為は、以下の三つだけです。

そんなわけで、検挙の理由は「パスワードを盗んだから」ではなくて、「盗んだパスワードを入力してアクセスしたから」でなければならないはずです。

ところで、技術的に興味深いのはこれですね。

キーロガーを分析して分かったというこれ、何のパスワードなんですかね。キーロガーのデータ送信用にパスワードが必要なのかという疑問が沸くわけですが。どこかのメールサーバを経由してメールを送るようになっていて、SMTP認証が必要だったとか? なんか、キーロガーが脆弱なのではないかという気がしてきますが。

• 「パスワード盗み返し」へのコメント (2件)

関連する話題: セキュリティ

理由あって冬に出る

公開: 2024年4月20日22時45分頃

読み終わったのでメモ。

• 理由あって冬に出る (www.amazon.co.jp)

わりと普通の物理トリックものですね。最後のオチ(?)で「うしろに立つ少女 (www.amazon.co.jp)」を思い出しましたが。

しかし、この作品最大の謎は、「表紙の女子は誰なのか?」という点ではないでしょうか。けっこう背が高いようなので、柳瀬さんですかね?

• 「理由あって冬に出る」にコメントを書く

関連する話題: 本 / 買い物

森の生活 75日目: 節分

公開: 2009年2月4日22時35分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)、75日目。節分ですね。

村長から鬼のお面がもらえましたが……。

あれ、これだけ?

• 「森の生活 75日目: 節分」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

IE8のクリックジャッキング対策

公開: 2009年2月3日17時25分頃

「IE8 Security Part VII: ClickJacking Defenses (blogs.msdn.com)」。HTTP応答ヘッダで X-FRAME-OPTIONS: DENY や X-FRAME-OPTIONS: SAMEORIGIN を出力しておくと、フレームの中での参照が制限されるというお話のようで。

試してみると、こんな風に表示されます。

iframeだけでなく、frameでも同様にブロックされますね。これはクリックジャッキング対策に限らず、いろいろ役に立つかも。

• 「IE8のクリックジャッキング対策」にコメントを書く

関連する話題: Web / セキュリティ / Internet Explorer / フレーム

オンラインゲームの脆弱性

公開: 2009年2月3日15時15分頃

「裏技」でも「利用ダメ」――オンラインゲームにおけるバグ利用がアウトなワケ (plusd.itmedia.co.jp)。

なんか脆弱性関連情報みたいな扱いですね。悪用されるとゲーム世界が破綻するようなバグ、ということなら脆弱性といえなくもないですね。

ところで、

マリオの無限増殖は有名だと思いますが、ひとしこのみ技ってそんな有名なんですかね?

※ひとしこのみ技……SFC版のドラクエ5において、主人公が一定のアイテムを一定の順で持っていると、全ての攻撃が必ず会心の一撃+仲間にできるモンスターが必ず仲間になるという現象。おそらくはデバッグ用の機能。そのアイテムが「ひのきのぼう」「とがったホネ」「しあわせのぼうし」「こんぼう」「のこぎりがたな」「みかわしのふく」であるため、頭文字を取って「ひとしこのみ」と呼ばれます。詳しくは「各種ゲームのプログラム解析 - モンスターが必ず仲間になる裏技 (s-endo.skr.jp)」を参照。

• 「オンラインゲームの脆弱性」にコメントを書く

関連する話題: ゲーム / セキュリティ / ドラクエ / ドラクエ5

ぼくらの10

公開: 2009年2月2日19時40分頃

購入。

• ぼくらの 10 (www.amazon.co.jp)

タイトルが出ましたね。「ぼくらの――」「で、その後は?」というやりとりの後が何とも。

• 「ぼくらの10」にコメントを書く

関連する話題: マンガ / 買い物