水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年8月

2009年8月

2009年8月31日(月曜日)

Winnyの情報ばらまきの脅威

公開: 2009年9月3日15時0分頃

ダウンロード違法化反対家の知られるべき実像 (takagi-hiromitsu.jp)」。

タイトルは微妙ですが、要するに「Winnyを使っていると、何をダウンロードしようとしているのか第三者に丸わかりになってしまう事がある」という話ですね。「高木さん怖い」という感想を持たれた方もいらっしゃるようですが、任意の悪意ある人が同じ事を実行できるわけで、「Winny怖い」と考えるほうが妥当でしょう。ウィルスに感染していなくても情報が漏れている、という点がポイントです。

ずっと昔はWinnyは匿名性が強いなどと言われていましたが、今や情報だだ漏れということで……。

関連する話題: セキュリティ / Winny

2009年8月28日(金曜日)

レベル99のドルマゲスを撃破

更新: 2009年9月22日12時35分頃

ドラクエ9 (www.amazon.co.jp)には過去作の魔王が登場する宝の地図があって、現時点ではバラモス、ムドー、ドルマゲス、竜王、デスピサロ、ミルドラースと戦うことができます。これらの魔王は最初は弱いのですが、戦闘に勝つと相手をレベルアップさせることができて、レベル99まで成長させることができます。

というわけで、ドルマゲスをレベル99まで上げてみました。行動はこんな感じ。

で、1ターン3回行動です。これはひどい。痛恨の一撃がないのが救いです。

私が挑んだときのパーティーは賢者・僧侶・バトルマスター×2で、行動はこんな感じ。

実にシンプルですが、ドルマゲスの攻撃がきついので、僧侶は毎ターンベホマズンを強いられます。ベホマズンがあれば安定、と言いたいところですがフェザースコール+マヒャデドス+打撃が来るとHP840のバトルマスターも1ターンで死亡しますし、ドルマゲスは素早いので僧侶より先に行動されてしまうことがあります (ちなみに僧侶はガルーダの爪+ファントムマスク+武闘家の証で素早さ強化済み)。超おたけびで僧侶が行動不能になってもアウトです。凍てつく波動を連発されると戦闘が長引き、僧侶のMPが尽きることもあります (ベホマズンの消費MPは128、賢者スキルで軽減しても96)。

というわけで運頼みの戦いになりますが、まあなんとか撃破。初回撃破時は凍てつく波動を連発されて8ターンもかかりましたが、再挑戦では4ターン撃破。テンションバーンを使用しているので、運良くスーパーハイテンションになれればもっと短いターンで撃破できるかと思います。

※賢者はザオリク要員というより「好きだから」入れているだけなので、僧侶2人にして世界樹の葉で蘇生した方が安定すると思います。あと、パラディンを入れて必殺技「パラディンガード」を使うようにすると楽かも。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月26日(水曜日)

ゴールデンスライムの地図 その2

公開: 2009年8月30日1時50分頃

ドラクエ9 (www.amazon.co.jp)。以前ゴールデンスライムの地図を入手しましたが、今度はまた異なるタイプのゴールデンスライム地図を入手しました。「大いなる大地の地図Lv72」、発見者「ヨウスケ」となっているこの地図は氷マップで、地下14階がゴールデンスライムオンリーとなっています。

前の地図とはお供として出るザコ敵が全く違っていて、こちらはかなり戦いやすいです。……と思いきや、ロードコープスにザラキーマを使われて仲間がバタバタと死んでいったり。即死耐性のある装備をちゃんと固められれば、かなり狩りやすいと思います。

※とはいえ、もう1000万ゴールド貯金済みなので、さらにゴールデンスライムを狩ろうとは思いませんが。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月24日(月曜日)

ドラクエ9 レア装備収集 その3

公開: 2009年8月25日17時45分頃

ドラクエ9 (www.amazon.co.jp)レア装備収集中。メチャクチャ苦労しましたが、なんとか「天使のローブ」入手。錬金で「大天使のローブ」に。

(現在取得済み: えいえんの盾、ふゆぞらのぼうし、大天使のローブ、めいじんのてぶくろ、ふめつのズボン、しんりのサンダル)

デザインというか色合いがかなり微妙で、悪いわけではないのですが、ちょっと他の装備と合わせにくい色ですね。とりあえず、これまた合わせにくい「ふゆぞらのぼうし」とセットにしてみました。

これで宝の地図の洞窟のボスから取れる装備はひととおり集まりました。ついでに竜王の地図も自力入手したので、ちょっと魔王でも狩ってみますかね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月20日(木曜日)

あずまんが大王 3年生

公開: 2009年8月25日17時45分頃

今回もさくっと購入。

ピカニャー関係がいろいろ直されていますね。榊さんが「西表島の頂点」とか言ってしまうのは面白かったです。

今回補講は2倍増量ですかね。大阪さんが「かおりんは○○?」とか言ってしまうのが……。

関連する話題: マンガ / 買い物 / あずまんが大王 / あずまきよひこ

ドラクエ9 レア装備収集続き

公開: 2009年8月21日2時40分頃

ドラクエ9 (www.amazon.co.jp)レア装備収集中。本日はアトラスから「そらのトーガ」を入手。

(現在取得済み: はるかぜのぼうし、そらのトーガ、めいじんのてぶくろ、ふめつのズボン、りせいのサンダル)

これで武闘家でも格好がつく感じです。武闘家は「おうじゃのマント」を装備できなくて、ずっと残念な思いをしていたのですよね。いちおうシェンロンローブが装備できるのですが、武闘家に装備させると攻撃魔力上昇効果がもったいないので……。

残りは「天使のローブ」かぁ。

※ちなみに「めいじんのてぶくろ」「ふめつのズボン」はそれぞれ「わざしのてぶくろ」「むてきのズボン」から錬金で作成しました。「はるかぜのぼうし」のレシピを応用してオーブの色を変えたりすると、各々のレア装備に適用できるようです。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月19日(水曜日)

ニセ民主党ロゴ

公開: 2009年8月19日16時40分頃

日の丸切って民主党旗、候補者が陳謝 (www.asahi.com)

なんというかそれ以前の問題として、そもそも、これ民主党のロゴになっていないですよね。本来の民主党のロゴは下半分がガタガタしているのですが、そのガタガタには意味があるとされています。

2つの円は、「民の力」の結合の象徴を表している。また、下側の円の輪郭線ががたがたになっているのは、円がみなぎる力で動いたり、育ったりして、生命体のように成長しつつ、融合して新しい形を生み出す様子を表している。

以上、民主党:民主党の新しいロゴマーク発表 より

円を2つくっつけただけでは民主党のロゴにはならず、それは似て非なるものです。そんなものを平気で掲げてしまうことが理解できませんが、民主党も「アレは違う」とは言っていないようなのですよね。ひょっとして、代用として認められているのですかね?

※そんなことはないと思いますが。

関連する話題: 思ったこと

2009年8月17日(月曜日)

ドラクエ9 レア装備収集

公開: 2009年8月19日16時22分頃

ドラクエ9 (www.amazon.co.jp)はよく考えたら1ヶ月以上やっていますが、終わる気配が全くないですね。

現在はお金を稼ぎつつ、レア装備を収集中。宝の地図の洞窟のボスが2%の確率でドロップ、なーんて簡単に言ってくれますが、これがまたキツイこと。かなり頑張ってそれなりに集めましたが……。

(現在取得済み: りんねの盾、じあいのかぶと、しょうりのよろい、カグツチのこて、むてきのズボン、えいゆうのブーツ)

あとはりせいのサンダル、はるかぜのぼうしを入手済み。残りはそらのトーガ、てんしのローブ。

※といいつつ、季節のおしゃれ帽子コンプリートのためには「はるかぜのぼうし」が4つ必要だったりしますよね。いつ終わるのかと。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月15日(土曜日)

ドラクエ9 ゴールデンスライムの地図

公開: 2009年8月17日12時32分頃

すれ違い通信をしていたら、発見者「レフィカル」の「残された魂の地図Lv83」をいただきました。メタルキングの地図というのがありましたが、この地図は地下16階がゴールデンスライムのみとなっています。ゴールデンスライムは経験値6000しかありませんが、お金を10080ゴールド持っているのでお金稼ぎに最適です。

というわけでしばらく狩ってみましたが、飽きる……。メタルキング狩りではレベルがみるみる上がるので面白いのですが、ゴールデンスライム狩りは非常に地味なのですね。しかも、お供のザコ敵が面倒すぎる。

こっちが死ぬような攻撃はないのですが、無駄に時間がかかる行動が多すぎです。特にビュアール! 強制催眠+打撃とか、ふざけているのかと。こいつさえいなければ、ドラクエ9はもっとストレスの少ない良ゲーだったのに。

関連する話題: ゲーム / ドラクエ / ドラクエ9

○本の住人3

公開: 2009年8月16日23時45分頃

出ていたので。

1人でも危険なティルトウェイトさんがもう1人!? これはヤバイ。「ドメインやるから」には爆笑させられてしまいました……。

関連する話題: マンガ / 買い物

2009年8月14日(金曜日)

Aamzon APIの認証に対応

公開: 2009年8月16日23時45分頃

Amazonから「15日までに署名認証に対応しないとAPIが使えなくなる」という旨のメールが来ていたので、仕方なく対応。

C#のRESTのサンプル (developer.amazonwebservices.com)があるのでそのまんまパクって実装すればOK……と思いきや、日本語の検索文字列を渡すと認証に失敗するという問題が発生。まあ、海外の人は多バイト文字使ったテストなんて一切やりませんよね。

いろいろ調べたところ、URLエンコードされた文字列を大文字にする処理が完全にバグっていたので、そこを書き直して解決。

というわけでアマ検あたりは見た目一緒ですが、バックエンドのコードが大幅に入れ替わっております。例によってバグっていたらごめんなさい。

関連する話題: Amazon / プログラミング / C#

2009年8月13日(木曜日)

jCryptionはどんなとき使うのだろう

公開: 2017年11月24日18時2分頃

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「JavaScript暗号化ライブラリ「jCryption 1.0」が登場 (sourceforge.jp)」というお話が。

SSLがない状態でもデータを高速かつシンプルに暗号化できることが特徴だが、認証の機能がないことなどから、SSLの代わりにはならないとしている。

「認証の機能がない」というのは、サーバ証明書を確認するような処理がないのでなりすましや中間者攻撃を防ぐ術がない、という理解で良いのですかね。

よく分からないのですが、「暗号化はしたいが、なりすましや中間者攻撃を受けてもOK」なんて状況があり得るのでしょうか。どういうシチュエーションで使うことを想定しているのでしょうね?

関連する話題: セキュリティ

2009年8月12日(水曜日)

ドラクエ9 モンスター撃破数

公開: 2017年11月24日13時52分頃

ゲームは本題から外れた楽しみ方こそ面白い? (slashdot.jp)」という話題でドラクエ9 (www.amazon.co.jp)ネタが。

ドラクエ9は明らかに「クリア以外の楽しみ」を狙って作られているので、本題から外れているのかどうかは議論の余地がありそうですけどね。私の周囲を見ても、余裕でクリアできるレベルなのに、クリアしようとしない人が多数……。うっかりするとラスボスが一撃で沈んだりするので、ほどほどにお願いしたいところです。

こういう話も出ていますが、

同様に、各職業固有スキルを上げていたら、はぐれメタルの撃破数が500を越えていました。

以上、Re:最近で言えばドラクエⅨか より

ドラクエ9で残念なのは、この手の撃破数が自慢しにくいということなのですよね。何故かというと、撃破数の表示がたったの999でカンストしてしまうからです。称号とアイテムを得るために全職業をレベル99にしましたが、メタルキングの撃破数がとっくの昔に1000を超えたということしか分かりません。全職業をレベル99なんてのは普通のことだと思うのですが (ですよね?)、普通の事をやっただけでカンストというのは悲しいです。もう一桁増やして欲しかったですね。

※ちなみに、アイテムドロップ数はわずか99でカンストします。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月7日(金曜日)

ムダヅモ無き改革2

公開: 2009年8月11日14時35分頃

出ているという情報をいただいたので(ありがとうございます)、購入。

ストーリーのぶっ飛びぶりが物凄いですね。11話とか、どう見ても麻雀マンガじゃないですよ……。登場人物がいろいろな意味で超人化しすぎです。

1巻の轟盲牌や天地創世(ビギニング オブ ザ コスモス)のような、強烈な麻雀的ギャグが見られなかったのは少し残念かも。劣化ウラン牌と見せかけて……というネタもありましたが、あれは麻雀じゃなくて物理攻撃ですよね (いや、轟盲牌は麻雀なのかと言われると難しいですけれど)。

関連する話題: マンガ / 買い物 / ムダヅモ無き改革

意図せぬレスポンスボディを含むリダイレクト応答

更新: 2017年11月24日21時6分頃

ダチョウ式リダイレクトと名付けてみる修行 (d.hatena.ne.jp)」。

ここで言っている「ダチョウ式リダイレクト」とは、リダイレクト応答のレスポンスボディに意図せぬものが出力されている状態を指します。「頭隠して尻隠さず」という言葉がありますが、英語では "To bury one's head ostrich-like in the sand." と言うそうで、ostrich はダチョウですね。

ステータスコードが 301 や 302 などになっていて、Location: フィールドが出力されていれば、レスポンスボディが何であれリダイレクトは行われます。この場合、多くのブラウザではレスポンスボディは見えませんが、パケットを見ればレスポンスボディは丸見えという状態です。普通にブラウザで見ていても分からないので、テストでも発見しにくい厄介な不具合になります。

特に注意したいのは、ログインが必要なページで、未ログイン時にログインフォームへリダイレクトしているようなケース。このようなケースで「ダチョウ式」が発生すると、未ログイン時にはアクセスを拒否してリダイレクトしている……と思わせつつ、実はレスポンスボディにはログイン後画面の内容が出力されてしまっている、などという事が発生し得ます。ログインしていないのにログイン後画面の内容が取得できてしまうので、大変まずいことになります。

ところで、Perlのフレームワークとして有名なものにCatalystというものがあります。Catalystで認証機能を実装したいなぁ、などと考えて「Catalyst 認証」で検索すると、「Catalyst::Manual::Cookbook - Catalystクックブック (www.tcool.org)」がヒットします。これは、少し古い Catalyst-5.62 の Catalyst::Manual::Cookbook の和訳です。

このドキュメントには「ユーザにかならずログインしてもらう」という項目があって、以下のようなサンプルコードが掲げられています。

  sub auto : Private {
    my ($self, $c) = @_;
    my $login_path = 'user/login';

    # 実際にログインページにたどり着けるようにします!
    if ($c->req->path eq $login_path) {
      return 1;
    }

    # ユーザが登録されていればOKです
    if ( $c->req->user ) {
      $c->session->{'authed_user'} =
        MyApp::M::MyDB::Customer->retrieve(
          'username' => $c->req->user
        );
    }

    # そうでなければログインしていないということ
    else {
      # force the login screen to be shown
      $c->res->redirect($c->req->base . $login_path);
    }

    # 処理を続行します
    return 1;
  }

このコードには大いなる罠が潜んでいるわけです。ログインしていないとき、$c->res->redirect($c->req->base . $login_path); でリダイレクトしていますが、その後に return 0; していないので、autoの前処理が終わった後に普通の処理が実行されます。つまり、リダイレクト応答しつつも、ログインしているときと同様のレスポンスボディが出力されてしまう可能性があります。

※もっとも、ログインしていることを前提とした処理になっている場合、ログインセッションがないために例外になってセーフ、ということもあります。その辺りは運です。:-)

単に return 0; が抜けただけのケアレスミスだと思うのですが、そのまま使うと大変です。ちなみに、最新のCatalyst::Manual::Cookbook (search.cpan.org)では、このコードはなくなっているようです。

※そういえばhatomaru.dllもリダイレクト応答はだいぶ手抜きですね。まあ、リダイレクト以外も全体的に手抜きですが。

※追記: CWE では "Redirect Without Exit" と呼ばれている模様: CWE-698: Redirect Without Exit (cwe.mitre.org)

関連する話題: セキュリティ / Web

2009年8月6日(木曜日)

新たに話題の地図を入手……してた

公開: 2017年11月24日17時50分頃

【ゲーム×コンボ】ドラクエ9で新たなレア地図が出回る! その名も『川崎ロッカーの地図』 (news.livedoor.com)」。

なんか聞いたことあるなぁと思い、手元の地図一覧を見たところ、発見者「さわぴ」の「あらぶる光の地図 Lv86」ありました……。すれ違いで受け取り済みだったようですね。これはさっそく潜らないと!

※すれ違っていると地図だらけになって、手持ちの地図が管理しきれなくなる……。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年8月5日(水曜日)

ケータイの流儀を常識と思いこむのは危険

公開: 2009年8月6日14時10分頃

やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。

iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。

脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。

流儀が違うことからくるトラブルを片方を基準に退化とかいいきる傲慢さ。

以上、はてなブックマーク - kawangoのブックマーク - 流儀が違うことからくるトラブルを片方を基準に退化とかいいきる傲慢さ。 より

ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる認証というのは、完全にケータイサイト固有の流儀です。重要なのは、その流儀が成立するにはシビアな条件があるということで、一言で言えば

ということです。この条件がないと、他人の端末固有IDを詐称して認証を突破することができてしまいます。多くのケータイサイトは、以下のような立場を取ります。

ただし、以下のような場合には問題が起こり得ます。

※また、「キャリアから来ている」だけをチェックしている場合、「ケータイのスクリプトの機能を使用して別キャリアの端末に成りすます」という手法によって問題が起きるケースがあることが指摘されています。参考: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 (www.tokumaru.org)

というわけで、端末固有IDによる認証というのは、かなりシビアな条件の下でギリギリ成立しているような状態です。

そして当然ですが、キャリアから来ているかどうかチェックするという手法は、ケータイサイトでしか使えません。そもそも今回の話では、iPhone・iPod Touchはケータイではないのですから、このような条件が成立する余地がありません。ケータイでないものにケータイの流儀を持ち込んでしまった時点でNGなのであって、「ケータイの流儀はケータイサイト以外には通用しない」ことを理解していなかったことが問題であると言えます。そういう意味では、「流儀が違う」ことが問題だったという評価は正しいわけです。

もっとも、「退化といいきる傲慢さ」という評価は何だかなぁと思うわけで。高木さんが「退化」と言われているのは、「ケータイの流儀はケータイでしか通用しない、特別な、きわどいものである」という認識が薄い開発者が増えてきているのではないか、ということでしょう。

ケータイ端末には大きな制約があり、PCサイトで普通に使用できる方法 (たとえばCookieによるセッション追跡) が使えないことがあります。そのため、「端末IDを使う」などという方法が編み出されているわけですが、それは決して喜んで採用しているわけではないのですね。本当は、PCサイトと同じ認証方法を採用したいのです。しかし、それができないから、仕方なく端末固有IDを使っている……と、多くの開発者はそう認識していたと思うのです。

ただ、最近はこんなコメントを書いたりする人もいらっしゃるようで……。

ただ、あなたはモバイルの常識を知らない。

あなたにはモバイルサイトの構築はできないでしょう。出来たとしても、セキュリティ意識が皆無の技術者が作る物にも遠く及ばないでしょう。

それぐらい、モバイルは一般のwebアプリの常識が通用しないものです。

以上、ockeghem(徳丸浩)の日記 携帯電話向けWebアプリのセッション管理はどうなっているか へのコメント より

何なのでしょうね、この違和感は。というか、そもそも、PCサイトのWeb開発に携わっている人のほとんどは、大なり小なりモバイルサイトの開発経験も持っていると思いますけれど……。完全に住み分けられていると思われている?

関連する話題: セキュリティ / Apple

2009年8月1日(土曜日)

僧侶は使える子

公開: 2009年8月5日19時0分頃

ドラクエ9 (www.amazon.co.jp)ですが、しばらく前から私の中では「僧侶は使えない子」という説が有力でした。

特に賢者と比較すると、「ザオリクを覚えない」「スクルトを覚えない」「マジックバリアを覚えない」と、悲しいことずくめ。賢者と比較したときの僧侶のメリットには以下のようなものがあります。

ただこれらも微妙です。ベホマズンはHP完全回復なので強力なのですが、消費MPが128というものすごさ。しかも、ストーリー終盤だと普通はおそらくHPが200前後くらいで、このくらいだとベホマラーでほぼ全快します。ベホマズンなんて全く必要性がないわけです。

……そう考えていた時期が私にもありました……。

「全体200ダメージの攻撃をしてきて3回行動」なんて人と戦ってみると、ベホマラーでは間に合わないのですね。素早さも重要で、先攻してベホマズンを使ってもらわないと死ぬという状況が普通にあります。どんだけ強いんだよ……。

関連する話題: ゲーム / ドラクエ / ドラクエ9

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト