2009年3月

あと、ゼッケンの交換・破棄の条件が明確になっていないのが気になりますね……。当初の説明では、ゼッケン交換には津隠問答が必要で、しかも負けた側に必ず×が付けられるという風に思えますが、後で明らかに勝負しないで(×をつけないで)ゼッケンを交換しています。それが許されるのか許されないのかで、かなり戦略が変わってくると思うわけで。

※まあ、先生が見てないところで交換すればバレやしないという判断なのかもしれませんが。

それから、特定ゼッケンの人をファミレスに缶詰にする作戦ですが、リスクが大きすぎると思います。情報が漏れれば、いつきがそのファミレスに乗り込んできて津隠問答でゼッケンをもぎ取っていく可能性が高いでしょう。「居場所を人に話してはいけない」とは一言も言われていないので、井波さんが電話して「何処にいるの?」と聞くだけで終了します。

ですので、単に全員のゼッケンを回収してしまった方が良かったのではないかと思います。ゼッケンがないと棄権とみなされるのかもしれませんが、レース終了直前にゴール地点で返す約束にすれば良いでしょう。ゴール地点からチェックポイントまでは距離があるので、ゴール直前にゼッケンを奪われてもポイントされません。

カメダイブゲーム

濡れたものにはガムはくっつかないと思いますが、亀は既に十分に甲羅干ししていたのでしょうね。

指定かくれんぼ

指定かくれんぼは棟方先輩が考えたものだそうで。でもアレ、「いつきは裏文化祭に乗り込む際、赤外線スコープを持ってくる」という前提を織り込んだパズルなので、裏文化祭以外では使い道ないと思いますけどね。

アルファベット分類ゲーム

水じゃなくてビーズのようなものが溜まるかどうかだと言われていたら、いつきの負けなのではないかと。

メニュー当てゲーム

いやー、このやり方では駄目でしょう。特徴のないものを選ばせるのなら良いのですが、「アイス・かき氷・コーラから一つ」などと言われると、人は「じゃあコーラ」などと考えてしまいます。その後、マジシャンズ・セレクトでアイスを選ばせようとしても、「いや、私はコーラを選びたかったんですけど」と言われて終わってしまいます。

いつきもいつきです。この紙袋、どう見てもテイクアウト用に買ったものに見えます (実際、88ページでいつきがテイクアウトしている)。テイクアウト用にアイスやかき氷を買った場合、店内で食べる場合とは違う容器に入れて、氷やアイスが紙袋についたりしないようにするはずです。さらに、保冷剤も入れてくれている可能性が高いでしょう。

そうだとすると、ミルクやシロップがしみ出してくる可能性はほとんどないと思います。しみ出してくるのは、空気中の水分が凝結した水だけでしょう。

カーナンバーランダム乗算

二人ともすごいなぁ。

ちなみにこのゲーム、好きなナンバーを選べる上に、ナンバーを選ぶ時間にも制限がないので、ナンバーを選びながら事前に全桁を計算しておいた方が早いです。うまいナンバーを選べれば、素人でもあっさり計算できます。

試しに、浜松町駅から会社までの道のりでクルマのナンバーを観察してみました。見たのは数十台程度だと思いますが、「2000」「1001」「64」を見つけることができました。本当は「1」が見つけられたら最強だったのですけれど、「1001」と「64」の組み合わせでも十分でしょう。

※クルマのナンバーって希望して取れたりするので、きりの良い数字が意外に多いのですよね。「8888」なんてのが2台もありました。

1379集め

うーん、「持ち時間2分」というのは「2分以内」という意味であって、2分をフルに使わなければいけない訳ではないと思うのですよ。「持ち時間は2分フルに使わなければならず、その間、相手にターンを回せない」なんてルールだったらメチャクチャ不自然ですよね。最初からそんな不自然なルールだったらギャラリーもおかしいと思うでしょうし、何か説明があるはずでしょう。だから、棟方先輩がさっさと選んでターンを終わらせてしまえば、いつきのつくったサイクルはあっさりずれるはず。

また、時計がOKと判明した時点で、誰かがデジタル時計を持っていないか探すべきだと思いますね。秒を表示するデジタル時計を誰かが持っていたら、それだけで1～59が簡単に調達できます。いや、デジタル時計は最近あんまり見ないかな……。まあ、時計がOKなのですから、携帯電話でもOKでしょう。最近の携帯電話にはたいていカレンダーの機能がついていますから1～31は調達できますし、携帯電話は数字だらけですから他の数字も何とかなるのでは?

※あと、地味ですが、レース用のカードにゼッケン番号を書く欄があります。この場にそのゼッケンの人がいなくても、誰かのカードにゼッケン番号が書かれている可能性は残されています。

「論理少女2」へのコメント (2件)

関連する話題: マンガ / 買い物 / 論理少女 / 論理

2009年3月22日(日曜日)

コンバイン

公開: 2024年12月21日21時40分頃

クイズで稲刈り機を「コンバイン」と答えさせる問題が出ていましたが、稲刈り機は「バインダー」で、稲刈り機に脱穀機能をプラスしたものが「コンバイン」だという話をどこかで聞いた気がします。そもそも、combineって組み合わせるという意味ですし。

……と思って調べたら、「バインダー」というのも刈取+結束の機械で、単なる刈取機は「リーパー」という模様。確かにbindは縛るという意味ですね。

つまり、combine < binder < reaper という継承の関係にあるということで。

「コンバイン」にコメントを書く

2009年3月20日(金曜日)

容疑者xの献身が舞台に

公開: 2024年12月21日13時35分頃

容疑者xの献身 (engekilife.com)……って舞台になるのですね。普段あんまり演劇は見ないのですが、原作 (www.amazon.co.jp)にはかなり衝撃を受けたので、これはちょっと見たいかも。

「容疑者xの献身が舞台に」にコメントを書く

IE8正式版

公開: 2024年12月21日13時25分頃

Internet Explorer 8、正式版公開 (slashdot.jp)ということで入れてみました。

気のせいかも知れませんが、RCよりかなりレンダリングが速くなったような。

「IE8正式版」へのコメント (1件)

2009年3月19日(木曜日)

かけおち18歳

公開: 2024年12月21日16時50分頃

「とらドラ!」原作とアニメでは微妙に展開が違うのですね。アニメだと駆け落ちして18になったら結婚とはっきり言っていましたが、実は民法737条にはこういう規定があります。

第七百三十七条　未成年の子が婚姻をするには、父母の同意を得なければならない。
２　父母の一方が同意しないときは、他の一方の同意だけで足りる。父母の一方が知れないとき、死亡したとき、又はその意思を表示することができないときも、同様とする。

駆け落ち状態では、18歳になっても婚姻できません。事実婚で良ければ問題ありませんが、そうなのであれば18歳まで待つ必要もないわけです。

もっとも、竜児がこの条文を知っているとも思えませんし、行動に矛盾があるという訳でもないのですが。

「かけおち18歳」へのコメント (1件)

関連する話題: とらドラ! / アニメ

秋期限定栗きんとん事件下

公開: 2024年12月21日13時35分頃

読み終わったので。

秋期限定栗きんとん事件下 (www.amazon.co.jp)

一気に読みました。犯人とかおおむね予想どおりでしたが、面白かったです。

でも瓜野は許されなかったのね。これが小佐内さんの本気か……。

「秋期限定栗きんとん事件下」にコメントを書く

関連する話題: 本 / 買い物

2009年3月18日(水曜日)

秋期限定栗きんとん事件上

公開: 2009年3月19日0時10分頃

とりあえず上巻は読み終わったので。

秋期限定栗きんとん事件上 (www.amazon.co.jp)

別れた二人がどうなるのかと思ったら、「小鳩&小佐内」ではなくて「小鳩vs小佐内」風の展開なのですね。それはそれで面白い。ていうか小鳩、クラスメイトの名前覚えろよ! いくら何でもひどすぎます。

そして瓜野。小佐内さんになんてことを……。小佐内さんのナイスディフェンスで、たぶん瓜野自身が命拾いをしたはず。

ともあれ、このまま下巻を読みます。

「秋期限定栗きんとん事件上」にコメントを書く

関連する話題: 本 / 買い物

「成立しない」の意味

公開: 2009年3月19日0時10分頃

XSS脆弱性の危険性に関連して、ockeghemのブックマーク - 2009年3月17日 (b.hatena.ne.jp)のブックマークコメントの意味が一瞬分からなかったので、反応してみたり。

最近頻発しているとLAC社が伝えるサイト改ざんによるマルウェア埋め込みはSQLインジェクションが直接原因だが、XSSもないと成立しない。参考 http://d.hatena.ne.jp/ockeghem/20080718/p1　http://itpro.nikkeibp.co.jp/article/COLUMN/20080624/309303/ 2009/03/17

最初「成立しない」という意味が分からなかったのですが、これはSQLインジェクションで「<script>……」とか「<iframe>……」とかいう文字列をひたすらDBにつっこんで、それがサイト上にそのまま表示されることを期待する攻撃ですね。この攻撃でDBに「<script>……」と入れられても、XSS脆弱性がないサイトであれば、それは「<script>……」と出力されるはずです。その場合スクリプトは動作しませんから、XSSがなければ、攻撃者の用意したスクリプトは実行されない、と言えます。

ただ、SQLインジェクションが成立した時点でDBのデータは壊されてしまいますので、明らかに被害は発生します。これを「攻撃が成立しない」と言ってしまって良いのか、やや微妙に思います。徳丸さんは「攻撃者の意図は完遂されない」という意味で「成立しない」と言われているのだと思いますので、それはそれで正しいと思いますが。

※ただ、可能性としては、「入力時に一律HTMLエンコードを行い、DBにはエンコード後の文字列を格納する」というポリシーで設計されている可能性もあって、その場合には、この攻撃は成立するけれどもXSS脆弱性があるとは言えない、ということもあり得ると思います。いや、もちろんそんな変な設計は推奨しませんけれども。

「「成立しない」の意味」にコメントを書く

XSS脆弱性の危険性

公開: 2024年12月21日16時10分頃

「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？ (www.atmarkit.co.jp)」。

脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。

緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。

緊急: 今すぐサイトを閉鎖して対応しなければならないもの
重要: 早急に対応しなければならないもの
要対応: 急ぎではないが、対応が必要と考えられるもの
対応不要: 対応が不要と考えられるもの

SQLインジェクションで実際に攻撃が行われた場合や、サーバが不正アクセスされたような場合は「緊急」。SQLインジェクションが発見されたが攻撃はされていないと考えられるような場合は、緊急と言いたいところですが、実際は「重要」レベルの対応になるでしょう。XSSはたぶん「要対応」レベルですね。ただ、川口さんが元記事にも書かれているように、持続型XSSの場合は脅威の度合いは少し高いのではないかと思います (予告.inみたいなケースもあるので)。

ところで、通常のXSS脆弱性の特徴は、なんといっても「発見しやすい」という事だと思います。

脆弱性を見つける“だけ”なら技術力がなくてもある程度発見可能

というのはまったくその通りだと思いますが、通常、ウェブアプリケーションの開発には「テスト」という工程があるはずで、そのテストにおいてもXSS脆弱性は発見されやすいはずです。そして普通、XSSは単なる実装上のバグに過ぎず、簡単に修正できます。

※もっとも、「このXSSを修正するためには設計を見直す必要があるので今は修正できません」という主旨のことを言われた経験もありますが。

ですから、まともにテストをやっていれば、簡単なXSS脆弱性は残らないと思うわけです。XSSは、まともにテストをやっているかどうかという点を見るためのバロメータになると思います。というわけで個人的には、外注先を選定するような場合、XSS脆弱性があるかどうかという点は結構重視しています。

※判断基準にできるくらい見つかってしまうのもおかしいとは思うのですけれど。

……あと、たまに、IPAに届け出られたXSS脆弱性の件数を「被害件数」と思っている人がいて、「XSSの被害はたくさん発生している」と誤解されている場合もあったりしますね。

「XSS脆弱性の危険性」にコメントを書く

関連する話題: セキュリティ / クロスサイトスクリプティング脆弱性

2009年3月16日(月曜日)

faviconを南京錠にして安心感を演出

公開: 2024年12月21日16時0分頃

「南京錠の画像でだます：新たな中間者攻撃にはEV SSLの活用を――ベリサイン (www.itmedia.co.jp)」。

って、どこかで聞いた話だなぁと思ったら、えむけいさんの投稿でしたね。

Firefox 3がロケーションバーの色替えや鍵アイコンをやめたのは、暗号化されているだけで「安心」感を与えすぎかねないことと、Faviconを鍵アイコンにするフィッシングサイトが登場したからだそうです(もちろん本物の鍵アイコンとは位置が違いますが、素人をだますには十分です)。

「faviconを南京錠にして安心感を演出」にコメントを書く

phpbbのパスワード

公開: 2024年12月21日15時30分頃

「phpbb.comから流出したパスワード、その傾向は？ (slashdot.jp)」

これはなかなか興味深いですね。ネタ元のPHPBB Password Analysis (www.darkreading.com)を見ると、

1 character 0.34%
2 characters 0.54%
3 characters 2.92%
4 characters 12.29%
5 characters 13.29%
6 characters 35.16%
7 characters 14.60%
8 characters 15.50%
9 characters 3.81%
10 characters 1.14%
11 characters 0.22%

なんとパスワードが1文字という人が0.34%いる!

多くの場合、パスワードの複雑性に関するポリシーというものがあって、あまりにも短いパスワードや単純なパスワードは設定させないようにするわけです。ポリシーは場合によって違いますが、厳しめな場合だと「長さ8文字以上」かつ「大文字、小文字、数字、記号のうち3種類以上を使う」かつ「アカウント名やメールアドレスと同一の文字列は不可」といった感じになっていることが多いでしょうか。

サービスの性質によってはもっとゆるくても良いと思いますが、それでも「6文字以上」とか、そのくらいのポリシーはあっても良さそうなものです。それが何も無いと、こんな酷いことになってしまうわけですね。

※実は「複雑性の要求って意味があるのか? 設定する人の自己責任で良いのではないか?」……などと考えていたりもしたのですが、これを見ると、やっぱり必要な感じがしますね。

「phpbbのパスワード」にコメントを書く

輸血拒否への対抗策

公開: 2024年12月21日15時10分頃

「父母の１歳児治療拒否は『虐待』　半日で親権停止し救命 (www.tokyo-np.co.jp)」だそうで。

子どもの治療には通常、親の同意が必要で、主治医は緊急輸血が必要だと両親を再三説得したが「宗教上の理由」として拒否された。病院から通報を受けた児相は、児童虐待の一種である「医療ネグレクト」と判断した。
(～中略～)
家裁は六、七時間程度の審理で、親の意思より子どもの福祉が優先すると判断、その日夜に保全処分を認めた。
病院はこれを受け、家裁が選任した親権代行者である弁護士の同意を得た上で治療を実施。

昔、「説得～エホバの証人と輸血拒否事件 (www.amazon.co.jp)」というドラマがありましたが……。なるほど、こんな手があったのですね。

少し調べてみると、2008年2月に「宗教的輸血拒否に関するガイドライン (www.jssoc.or.jp)」というのがでているようで、

しかし、最近に至り、人命にかかわる緊急性の高い手術のケースについて、児童相談所長からの親権喪失宣告申立を本案とする親権者の職務執行停止・職務代行者選任の申立を認容する審判前の仮処分（家事審判法15 条の3・家事審判規則74 条）が、各地の家庭裁判所で相次いで出されている

と書かれているので、こういう感じの対応は少し前から行われているようですね。

「輸血拒否への対抗策」にコメントを書く

2009年3月14日(土曜日)

とある職務質問の様子

公開: 2024年12月21日16時20分頃

「警官の「職質動画」YouTubeに投稿で物議 (www.itmedia.co.jp)」だそうで。これですね……職務質問兵庫県警新港交番 (www.youtube.com)。

警察官の発言は収録されているものの、質問されている側が言った内容はカットされているようで、やりとりの内容は良く分からないですね。ただ、0:56あたりで「警職法7条ですよ」と言ってから「2条ですよ」と言い直しているのが興味深いです。それぞれこんな条文です。

第七条　警察官は、犯人の逮捕若しくは逃走の防止、自己若しくは他人に対する防護又は公務執行に対する抵抗の抑止のため必要であると認める相当な理由のある場合においては、その事態に応じ合理的に必要と判断される限度において、武器を使用することができる。但し、刑法（明治四十年法律第四十五号）第三十六条（正当防衛）若しくは同法第三十七条（緊急避難）に該当する場合又は左の各号の一に該当する場合を除いては、人に危害を与えてはならない。

以上、警察官職務執行法より

7条は武器使用についての規定でした。職務質問で武器使おうとしないでくださいよ……。まあこれは言い間違いということで、職務質問の根拠条文は2条ですね。

第二条　警察官は、異常な挙動その他周囲の事情から合理的に判断して何らかの犯罪を犯し、若しくは犯そうとしていると疑うに足りる相当な理由のある者又は既に行われた犯罪について、若しくは犯罪が行われようとしていることについて知つていると認められる者を停止させて質問することができる。
２　その場で前項の質問をすることが本人に対して不利であり、又は交通の妨害になると認められる場合においては、質問するため、その者に附近の警察署、派出所又は駐在所に同行することを求めることができる。
３　前二項に規定する者は、刑事訴訟に関する法律の規定によらない限り、身柄を拘束され、又はその意に反して警察署、派出所若しくは駐在所に連行され、若しくは答弁を強要されることはない。
４　警察官は、刑事訴訟に関する法律により逮捕されている者については、その身体について凶器を所持しているかどうかを調べることができる。

以上、警察官職務執行法より

3項がポイント。警察官は職務質問をして良いのですが、質問された側は答弁を強要されないことになっています。つまり、これが警察官職務執行法に基づく職務質問なのであれば、「答えたくなければ答えなくて良い」ということになるはずなのですね。

「とある職務質問の様子」にコメントを書く

2009年3月13日(金曜日)

とらドラ10!

公開: 2009年3月14日16時20分頃

読み終わり。

とらドラ10! (www.amazon.co.jp)

こう来ましたか。

大河の親とのやりとりをもう少し見たかったかも。というか、大河の母って名前すら明かされないのね。別の機会に描かれるのでしょうか。

※行かせる意味は分かるのだけど、一人で行かせる意味がちょっと分からなかったかも。

「とらドラ10!」にコメントを書く

関連する話題: 本 / 買い物 / とらドラ!

2009年3月11日(水曜日)

図書カード

公開: 2024年12月21日23時32分頃

図書カードというものが存在することは知っていましたが、書店のレジでそれを使っている人を見た記憶はありませんでした。もっとも、他人様の精算をきっちり観察しているわけでもないので、単に私が意識していないだけで、結構使われているのかも知れませんが……。

そして今日、はじめてレジで図書カードを使っている人を見ました。

……まあ、実は私が自分で使ったのですけどね。

というわけでこんなのを購入。

秋期限定栗きんとん事件上 (www.amazon.co.jp)
秋期限定栗きんとん事件下 (www.amazon.co.jp)
とらドラ10! (www.amazon.co.jp)

「秋季限定……」はアホみたいに平積みされていたのに、とらドラ10がなかなかなくて、本屋を渡り歩いてしまいましたよ。

「図書カード」へのコメント (2件)

関連する話題: 本 / 買い物

アイマス系更新

公開: 2024年12月21日0時12分頃

脈絡がありませんが、アイマス x Perfume マッシュアップ (blog.n1n9.jp)という話を見て、そういえばPSP版が出たりしたのにアイドルマスター動画リンクを全くメンテしていなかったことに気付いたので少しだけ更新。

「アイマス系更新」にコメントを書く

関連する話題: ゲーム / アイドルマスター

2009年3月9日(月曜日)

制御文字をどうするのか

公開: 2009年3月11日0時12分頃

正規表現で「制御文字以外」のチェック (d.hatena.ne.jp)

個人的には、RLO(U+202E)みたいなUnicode系の制御文字をどう扱うべきなのかで悩みますね。入れられると困る気もするし、入れられないと困るような気もするし……。結局入れられるようにしてしまう事が多いのですが、RLOを入れられると表示が乱れたりする事があるわけで。

「制御文字をどうするのか」にコメントを書く

2009年3月6日(金曜日)

森の生活 106日目: 青いバラ

公開: 2009年3月7日0時15分頃

街へいこうよどうぶつの森 (www.amazon.co.jp)、106日目。

青いバラが咲きましたよ。

紫のバラと黒いバラの交配。金のバラよりもレアで、DS版 (www.amazon.co.jp)では咲かせられなかったのですよね。

「森の生活 106日目: 青いバラ」にコメントを書く

ささらさや

公開: 2024年12月21日16時25分頃

読み終わったので。

ささらさや (www.amazon.co.jp)

これはなかなか。面白かったというより、温かい気持ちになります。謎解き自体は分かりやすい話で、「志村、うしろうしろ」と思いながら読む感じですが、主人公が良い感じの性格なので気にならないですね。三人組がまた良いキャラで、FF3 (www.amazon.co.jp)を思い出しましたが。

「ささらさや」にコメントを書く

関連する話題: 本 / 買い物

2009年3月5日(木曜日)

セッションIDが視認できると問題がある?

公開: 2009年3月5日18時25分頃

「【PHPで作る】初めての携帯サイト構築第5回　携帯サイトでセッションを取り扱う (gihyo.jp)」という記事があるのですが、よく分からないところが。

セッションIDは視認できてしまうとセキュリティ上問題があるため，PCのWeb上では一般的にCookieを利用してセッションを管理しています。

これ、どういう問題があるのでしょうか。URLにセッションIDをつけるのが危険なのは「見えるから」ではなく「漏れるから」であって、自分のセッションIDが視認できてもそれ自体は特に問題ないように思うのですが……。

まあ、見えたIDを誰かに書き留められたりするとマズイでしょうけれど。ただ、パスワードと違って永続しない上に覚えにくい文字列だと思うので、自分で見えるというだけではそんなに大きな危険はないように思うのですよね。

※ちなみに、Cookieに格納されたセッションIDは、アドレスバーにjavascript:alert(document.cookie)と入れるだけで視認できます。

「セッションIDが視認できると問題がある?」にコメントを書く

関連する話題: セキュリティ / Perl

2009年3月3日(火曜日)

DBIx::Class::ResultSetのsearch_literalをSQLインジェクションで突破

公開: 2009年3月5日0時25分頃

DBIx::Class::ResultSetでsearch()を使うとき、第二引数に{rows=>10}などを渡すと簡単にLIMITが指定できます。が、同じ事をsearch_literal()でやろうとすると、可変個のバインド変数を受け取るためかうまく行かず……。DBIx::Class::ResultSetの説明 (search.cpan.org)を読むと、search()の引数が「$cond, \%attrs?」なのに対してsearch_literal()の引数は「$sql_fragment, @bind_values」となっていて、そもそも\%attrsを渡せるようにはなっていないようですね。

……で、いろいろ調べていたら、こんな書き込みを発見しました。

$rs->search_literal('id = ?) FOR UPDATE; --', $id);
search_literalは与えた文字列のまわりを括弧でくるんでくれるので、 FOR UPDATEの部分を外に出すために途中で括弧を閉じ、そのままだとお尻の括弧が余るのでコメントにして無視させるというかなり強引なトリックです。

以上、Perl::DBI より

これはすごい。search_literalの引数はWHEREの後ろに括弧で括られて出力されるので、引数に「)」を混ぜることによってその括弧を閉じてしまい、さらに後ろにいろいろ指定できるようにするという「強引な」技です。要はSQLインジェクションでやりたいことを実現するという……。