水無月ばけらのえび日記

Winnyの情報ばらまきの脅威

公開: 2009年9月3日15時0分頃

「ダウンロード違法化反対家の知られるべき実像 (takagi-hiromitsu.jp)」。

タイトルは微妙ですが、要するに「Winnyを使っていると、何をダウンロードしようとしているのか第三者に丸わかりになってしまう事がある」という話ですね。「高木さん怖い」という感想を持たれた方もいらっしゃるようですが、任意の悪意ある人が同じ事を実行できるわけで、「Winny怖い」と考えるほうが妥当でしょう。ウィルスに感染していなくても情報が漏れている、という点がポイントです。

ずっと昔はWinnyは匿名性が強いなどと言われていましたが、今や情報だだ漏れということで……。

• 「Winnyの情報ばらまきの脅威」にコメントを書く

関連する話題: セキュリティ / Winny

レベル99のドルマゲスを撃破

更新: 2009年9月22日12時35分頃

ドラクエ9 (www.amazon.co.jp)には過去作の魔王が登場する宝の地図があって、現時点ではバラモス、ムドー、ドルマゲス、竜王、デスピサロ、ミルドラースと戦うことができます。これらの魔王は最初は弱いのですが、戦闘に勝つと相手をレベルアップさせることができて、レベル99まで成長させることができます。

というわけで、ドルマゲスをレベル99まで上げてみました。行動はこんな感じ。

• 打撃 …… バトルマスターが喰らうと350程度、僧侶が喰らうと400超のダメージ。盾ガード・みかわし可能
• ドルマドン …… 闇属性単体攻撃。ダークフォースを使用していると2桁ダメージですが、切れていると400を超えるダメージに。実は盾ガード可能
• マヒャデドス …… 氷属性全体攻撃。耐性装備で40%軽減しても300程度のダメージ。マヒャドと違って盾ガード不可能の模様
• れんごく火炎 …… 炎の全体攻撃、330程度のダメージ。みかわし可能。
• ラッシュ …… 100程度の打撃を4回。全弾が一人に集中すると危険ですが、たいてい何とかなります。盾ガード・みかわし可能。
• フェザースコール …… 全体攻撃、360程度のダメージ。たぶん無属性。盾ガードもみかわしも不可
• 凍てつく波動 …… 全体の補助効果無効、テンションリセット。ダメージはありませんが厳しいです。テンションが溜まっているときに使われると泣きたくなります。
• 超おたけび …… 全体に1ターン休み効果。スーパーリングを装備していれば効きにくくなる模様

で、1ターン3回行動です。これはひどい。痛恨の一撃がないのが救いです。

私が挑んだときのパーティーは賢者・僧侶・バトルマスター×2で、行動はこんな感じ。

• 1ターン目 …… 賢者は「ダークフォース」、僧侶は「たたかいのうた」、バトルマスターは「テンションバーン」
• 2ターン目以降 …… 僧侶「ベホマズン」、他3人「はやぶさ斬り」。死者が出たり凍てつく波動を使われたりしたら適宜対応。

実にシンプルですが、ドルマゲスの攻撃がきついので、僧侶は毎ターンベホマズンを強いられます。ベホマズンがあれば安定、と言いたいところですがフェザースコール+マヒャデドス+打撃が来るとHP840のバトルマスターも1ターンで死亡しますし、ドルマゲスは素早いので僧侶より先に行動されてしまうことがあります (ちなみに僧侶はガルーダの爪+ファントムマスク+武闘家の証で素早さ強化済み)。超おたけびで僧侶が行動不能になってもアウトです。凍てつく波動を連発されると戦闘が長引き、僧侶のMPが尽きることもあります (ベホマズンの消費MPは128、賢者スキルで軽減しても96)。

というわけで運頼みの戦いになりますが、まあなんとか撃破。初回撃破時は凍てつく波動を連発されて8ターンもかかりましたが、再挑戦では4ターン撃破。テンションバーンを使用しているので、運良くスーパーハイテンションになれればもっと短いターンで撃破できるかと思います。

※賢者はザオリク要員というより「好きだから」入れているだけなので、僧侶2人にして世界樹の葉で蘇生した方が安定すると思います。あと、パラディンを入れて必殺技「パラディンガード」を使うようにすると楽かも。

• 「レベル99のドルマゲスを撃破」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

ゴールデンスライムの地図 その2

公開: 2009年8月30日1時50分頃

ドラクエ9 (www.amazon.co.jp)。以前ゴールデンスライムの地図を入手しましたが、今度はまた異なるタイプのゴールデンスライム地図を入手しました。「大いなる大地の地図Lv72」、発見者「ヨウスケ」となっているこの地図は氷マップで、地下14階がゴールデンスライムオンリーとなっています。

前の地図とはお供として出るザコ敵が全く違っていて、こちらはかなり戦いやすいです。……と思いきや、ロードコープスにザラキーマを使われて仲間がバタバタと死んでいったり。即死耐性のある装備をちゃんと固められれば、かなり狩りやすいと思います。

※とはいえ、もう1000万ゴールド貯金済みなので、さらにゴールデンスライムを狩ろうとは思いませんが。

• 「ゴールデンスライムの地図 その2」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

ドラクエ9 レア装備収集 その3

公開: 2009年8月25日17時45分頃

ドラクエ9 (www.amazon.co.jp)レア装備収集中。メチャクチャ苦労しましたが、なんとか「天使のローブ」入手。錬金で「大天使のローブ」に。

デザインというか色合いがかなり微妙で、悪いわけではないのですが、ちょっと他の装備と合わせにくい色ですね。とりあえず、これまた合わせにくい「ふゆぞらのぼうし」とセットにしてみました。

これで宝の地図の洞窟のボスから取れる装備はひととおり集まりました。ついでに竜王の地図も自力入手したので、ちょっと魔王でも狩ってみますかね。

• 「ドラクエ9 レア装備収集 その3」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

あずまんが大王 3年生

公開: 2009年8月25日17時45分頃

今回もさくっと購入。

• あずまんが大王 3年生 (www.amazon.co.jp)

ピカニャー関係がいろいろ直されていますね。榊さんが「西表島の頂点」とか言ってしまうのは面白かったです。

今回補講は2倍増量ですかね。大阪さんが「かおりんは○○?」とか言ってしまうのが……。

• 「あずまんが大王 3年生」にコメントを書く

関連する話題: マンガ / 買い物 / あずまんが大王 / あずまきよひこ

ドラクエ9 レア装備収集続き

公開: 2009年8月21日2時40分頃

ドラクエ9 (www.amazon.co.jp)レア装備収集中。本日はアトラスから「そらのトーガ」を入手。

これで武闘家でも格好がつく感じです。武闘家は「おうじゃのマント」を装備できなくて、ずっと残念な思いをしていたのですよね。いちおうシェンロンローブが装備できるのですが、武闘家に装備させると攻撃魔力上昇効果がもったいないので……。

残りは「天使のローブ」かぁ。

※ちなみに「めいじんのてぶくろ」「ふめつのズボン」はそれぞれ「わざしのてぶくろ」「むてきのズボン」から錬金で作成しました。「はるかぜのぼうし」のレシピを応用してオーブの色を変えたりすると、各々のレア装備に適用できるようです。

• 「ドラクエ9 レア装備収集続き」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

ニセ民主党ロゴ

公開: 2009年8月19日16時40分頃

日の丸切って民主党旗、候補者が陳謝 (www.asahi.com)。

なんというかそれ以前の問題として、そもそも、これ民主党のロゴになっていないですよね。本来の民主党のロゴは下半分がガタガタしているのですが、そのガタガタには意味があるとされています。

円を2つくっつけただけでは民主党のロゴにはならず、それは似て非なるものです。そんなものを平気で掲げてしまうことが理解できませんが、民主党も「アレは違う」とは言っていないようなのですよね。ひょっとして、代用として認められているのですかね?

※そんなことはないと思いますが。

• 「ニセ民主党ロゴ」にコメントを書く

関連する話題: 思ったこと

ドラクエ9 レア装備収集

公開: 2009年8月19日16時22分頃

ドラクエ9 (www.amazon.co.jp)はよく考えたら1ヶ月以上やっていますが、終わる気配が全くないですね。

現在はお金を稼ぎつつ、レア装備を収集中。宝の地図の洞窟のボスが2%の確率でドロップ、なーんて簡単に言ってくれますが、これがまたキツイこと。かなり頑張ってそれなりに集めましたが……。

あとはりせいのサンダル、はるかぜのぼうしを入手済み。残りはそらのトーガ、てんしのローブ。

※といいつつ、季節のおしゃれ帽子コンプリートのためには「はるかぜのぼうし」が4つ必要だったりしますよね。いつ終わるのかと。

• 「ドラクエ9 レア装備収集」へのコメント (2件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

ドラクエ9 ゴールデンスライムの地図

公開: 2009年8月17日12時32分頃

すれ違い通信をしていたら、発見者「レフィカル」の「残された魂の地図Lv83」をいただきました。メタルキングの地図というのがありましたが、この地図は地下16階がゴールデンスライムのみとなっています。ゴールデンスライムは経験値6000しかありませんが、お金を10080ゴールド持っているのでお金稼ぎに最適です。

というわけでしばらく狩ってみましたが、飽きる……。メタルキング狩りではレベルがみるみる上がるので面白いのですが、ゴールデンスライム狩りは非常に地味なのですね。しかも、お供のザコ敵が面倒すぎる。

• サタンメイル …… ゴールデンスライムをかばう、しかも盾ガード率高い
• まおうのかめん …… やけつく息(マヒ)、まぶしい光(マヌーサ)、回避率高い
• ボーンスパイダ …… 完全2回行動、閃光弾(マヌーサ)
• ビュアール …… 完全2回行動、強制催眠、津波、ベホマズン

こっちが死ぬような攻撃はないのですが、無駄に時間がかかる行動が多すぎです。特にビュアール! 強制催眠+打撃とか、ふざけているのかと。こいつさえいなければ、ドラクエ9はもっとストレスの少ない良ゲーだったのに。

• 「ドラクエ9 ゴールデンスライムの地図」へのコメント (2件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

○本の住人3

公開: 2009年8月16日23時45分頃

出ていたので。

• ○本の住人3 (www.amazon.co.jp)

1人でも危険なティルトウェイトさんがもう1人!? これはヤバイ。「ドメインやるから」には爆笑させられてしまいました……。

• 「○本の住人3」にコメントを書く

関連する話題: マンガ / 買い物

Aamzon APIの認証に対応

公開: 2009年8月16日23時45分頃

Amazonから「15日までに署名認証に対応しないとAPIが使えなくなる」という旨のメールが来ていたので、仕方なく対応。

C#のRESTのサンプル (developer.amazonwebservices.com)があるのでそのまんまパクって実装すればOK……と思いきや、日本語の検索文字列を渡すと認証に失敗するという問題が発生。まあ、海外の人は多バイト文字使ったテストなんて一切やりませんよね。

いろいろ調べたところ、URLエンコードされた文字列を大文字にする処理が完全にバグっていたので、そこを書き直して解決。

というわけでアマ検あたりは見た目一緒ですが、バックエンドのコードが大幅に入れ替わっております。例によってバグっていたらごめんなさい。

• 「Aamzon APIの認証に対応」へのコメント (2件)

関連する話題: Amazon / プログラミング / C#

jCryptionはどんなとき使うのだろう

公開: 2024年12月21日18時2分頃

セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「JavaScript暗号化ライブラリ「jCryption 1.0」が登場 (sourceforge.jp)」というお話が。

「認証の機能がない」というのは、サーバ証明書を確認するような処理がないのでなりすましや中間者攻撃を防ぐ術がない、という理解で良いのですかね。

よく分からないのですが、「暗号化はしたいが、なりすましや中間者攻撃を受けてもOK」なんて状況があり得るのでしょうか。どういうシチュエーションで使うことを想定しているのでしょうね?

• 「jCryptionはどんなとき使うのだろう」へのコメント (1件)

関連する話題: セキュリティ

ドラクエ9 モンスター撃破数

公開: 2024年12月21日13時52分頃

「ゲームは本題から外れた楽しみ方こそ面白い？ (slashdot.jp)」という話題でドラクエ9 (www.amazon.co.jp)ネタが。

ドラクエ9は明らかに「クリア以外の楽しみ」を狙って作られているので、本題から外れているのかどうかは議論の余地がありそうですけどね。私の周囲を見ても、余裕でクリアできるレベルなのに、クリアしようとしない人が多数……。うっかりするとラスボスが一撃で沈んだりするので、ほどほどにお願いしたいところです。

こういう話も出ていますが、

ドラクエ9で残念なのは、この手の撃破数が自慢しにくいということなのですよね。何故かというと、撃破数の表示がたったの999でカンストしてしまうからです。称号とアイテムを得るために全職業をレベル99にしましたが、メタルキングの撃破数がとっくの昔に1000を超えたということしか分かりません。全職業をレベル99なんてのは普通のことだと思うのですが (ですよね?)、普通の事をやっただけでカンストというのは悲しいです。もう一桁増やして欲しかったですね。

※ちなみに、アイテムドロップ数はわずか99でカンストします。

• 「ドラクエ9 モンスター撃破数」へのコメント (2件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

ムダヅモ無き改革2

公開: 2009年8月11日14時35分頃

出ているという情報をいただいたので(ありがとうございます)、購入。

• ムダヅモ無き改革 2 (www.amazon.co.jp)

ストーリーのぶっ飛びぶりが物凄いですね。11話とか、どう見ても麻雀マンガじゃないですよ……。登場人物がいろいろな意味で超人化しすぎです。

1巻の轟盲牌や天地創世(ビギニング オブ ザ コスモス)のような、強烈な麻雀的ギャグが見られなかったのは少し残念かも。劣化ウラン牌と見せかけて……というネタもありましたが、あれは麻雀じゃなくて物理攻撃ですよね (いや、轟盲牌は麻雀なのかと言われると難しいですけれど)。

• 「ムダヅモ無き改革2」にコメントを書く

関連する話題: マンガ / 買い物 / ムダヅモ無き改革

意図せぬレスポンスボディを含むリダイレクト応答

更新: 2024年12月21日21時6分頃

「ダチョウ式リダイレクトと名付けてみる修行 (d.hatena.ne.jp)」。

ここで言っている「ダチョウ式リダイレクト」とは、リダイレクト応答のレスポンスボディに意図せぬものが出力されている状態を指します。「頭隠して尻隠さず」という言葉がありますが、英語では "To bury one's head ostrich-like in the sand." と言うそうで、ostrich はダチョウですね。

ステータスコードが 301 や 302 などになっていて、Location: フィールドが出力されていれば、レスポンスボディが何であれリダイレクトは行われます。この場合、多くのブラウザではレスポンスボディは見えませんが、パケットを見ればレスポンスボディは丸見えという状態です。普通にブラウザで見ていても分からないので、テストでも発見しにくい厄介な不具合になります。

特に注意したいのは、ログインが必要なページで、未ログイン時にログインフォームへリダイレクトしているようなケース。このようなケースで「ダチョウ式」が発生すると、未ログイン時にはアクセスを拒否してリダイレクトしている……と思わせつつ、実はレスポンスボディにはログイン後画面の内容が出力されてしまっている、などという事が発生し得ます。ログインしていないのにログイン後画面の内容が取得できてしまうので、大変まずいことになります。

ところで、Perlのフレームワークとして有名なものにCatalystというものがあります。Catalystで認証機能を実装したいなぁ、などと考えて「Catalyst 認証」で検索すると、「Catalyst::Manual::Cookbook - Catalystクックブック (www.tcool.org)」がヒットします。これは、少し古い Catalyst-5.62 の Catalyst::Manual::Cookbook の和訳です。

このドキュメントには「ユーザにかならずログインしてもらう」という項目があって、以下のようなサンプルコードが掲げられています。

  sub auto : Private {
    my ($self, $c) = @_;
    my $login_path = 'user/login';

    # 実際にログインページにたどり着けるようにします!
    if ($c->req->path eq $login_path) {
      return 1;
    }

    # ユーザが登録されていればOKです
    if ( $c->req->user ) {
      $c->session->{'authed_user'} =
        MyApp::M::MyDB::Customer->retrieve(
          'username' => $c->req->user
        );
    }

    # そうでなければログインしていないということ
    else {
      # force the login screen to be shown
      $c->res->redirect($c->req->base . $login_path);
    }

    # 処理を続行します
    return 1;
  }

このコードには大いなる罠が潜んでいるわけです。ログインしていないとき、$c->res->redirect($c->req->base . $login_path); でリダイレクトしていますが、その後に return 0; していないので、autoの前処理が終わった後に普通の処理が実行されます。つまり、リダイレクト応答しつつも、ログインしているときと同様のレスポンスボディが出力されてしまう可能性があります。

※もっとも、ログインしていることを前提とした処理になっている場合、ログインセッションがないために例外になってセーフ、ということもあります。その辺りは運です。:-)

単に return 0; が抜けただけのケアレスミスだと思うのですが、そのまま使うと大変です。ちなみに、最新のCatalyst::Manual::Cookbook (search.cpan.org)では、このコードはなくなっているようです。

※そういえばhatomaru.dllもリダイレクト応答はだいぶ手抜きですね。まあ、リダイレクト以外も全体的に手抜きですが。

※追記: CWE では "Redirect Without Exit" と呼ばれている模様: CWE-698: Redirect Without Exit (cwe.mitre.org)

• 「意図せぬレスポンスボディを含むリダイレクト応答」にコメントを書く

関連する話題: セキュリティ / Web

新たに話題の地図を入手……してた

公開: 2024年12月21日17時50分頃

「【ゲーム×コンボ】ドラクエ9で新たなレア地図が出回る！　その名も『川崎ロッカーの地図』 (news.livedoor.com)」。

なんか聞いたことあるなぁと思い、手元の地図一覧を見たところ、発見者「さわぴ」の「あらぶる光の地図 Lv86」ありました……。すれ違いで受け取り済みだったようですね。これはさっそく潜らないと!

※すれ違っていると地図だらけになって、手持ちの地図が管理しきれなくなる……。

• 「新たに話題の地図を入手……してた」へのコメント (1件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

ケータイの流儀を常識と思いこむのは危険

公開: 2009年8月6日14時10分頃

「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。

iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。

脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。

ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる認証というのは、完全にケータイサイト固有の流儀です。重要なのは、その流儀が成立するにはシビアな条件があるということで、一言で言えば

• 端末固有IDが他人に漏れないか、あるいは詐称されないことが保証されている

ということです。この条件がないと、他人の端末固有IDを詐称して認証を突破することができてしまいます。多くのケータイサイトは、以下のような立場を取ります。

• キャリアのゲートウェイから来た通信においては、端末固有IDが詐称されていることはないはずである。
• よって、通信がキャリアのゲートウェイから来ているかどうかをチェックし、そうでなければアクセスを拒否すれば良い。

ただし、以下のような場合には問題が起こり得ます。

• 「キャリアから来ている」ことを判別する手法に問題がある場合 …… たとえば、キャリアのゲートウェイアドレスの廃止に対応できていなかったり、何らかの理由で正しくないゲートウェイアドレスが設定されてしまったような場合。
• そもそも、「キャリアから来ているから端末固有IDは詐称されていない」という前提が成立しない場合 …… ケータイ端末以外でもキャリアのゲートウェイアドレスからアクセスできるような場合。

※また、「キャリアから来ている」だけをチェックしている場合、「ケータイのスクリプトの機能を使用して別キャリアの端末に成りすます」という手法によって問題が起きるケースがあることが指摘されています。参考: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 (www.tokumaru.org)

というわけで、端末固有IDによる認証というのは、かなりシビアな条件の下でギリギリ成立しているような状態です。

そして当然ですが、キャリアから来ているかどうかチェックするという手法は、ケータイサイトでしか使えません。そもそも今回の話では、iPhone・iPod Touchはケータイではないのですから、このような条件が成立する余地がありません。ケータイでないものにケータイの流儀を持ち込んでしまった時点でNGなのであって、「ケータイの流儀はケータイサイト以外には通用しない」ことを理解していなかったことが問題であると言えます。そういう意味では、「流儀が違う」ことが問題だったという評価は正しいわけです。

もっとも、「退化といいきる傲慢さ」という評価は何だかなぁと思うわけで。高木さんが「退化」と言われているのは、「ケータイの流儀はケータイでしか通用しない、特別な、きわどいものである」という認識が薄い開発者が増えてきているのではないか、ということでしょう。

ケータイ端末には大きな制約があり、PCサイトで普通に使用できる方法 (たとえばCookieによるセッション追跡) が使えないことがあります。そのため、「端末IDを使う」などという方法が編み出されているわけですが、それは決して喜んで採用しているわけではないのですね。本当は、PCサイトと同じ認証方法を採用したいのです。しかし、それができないから、仕方なく端末固有IDを使っている……と、多くの開発者はそう認識していたと思うのです。

ただ、最近はこんなコメントを書いたりする人もいらっしゃるようで……。

何なのでしょうね、この違和感は。というか、そもそも、PCサイトのWeb開発に携わっている人のほとんどは、大なり小なりモバイルサイトの開発経験も持っていると思いますけれど……。完全に住み分けられていると思われている?

• 「ケータイの流儀を常識と思いこむのは危険」へのコメント (2件)

関連する話題: セキュリティ / Apple

僧侶は使える子

公開: 2009年8月5日19時0分頃

ドラクエ9 (www.amazon.co.jp)ですが、しばらく前から私の中では「僧侶は使えない子」という説が有力でした。

• 「ちから」が思ったよりも低く、攻撃力がなさすぎる。3の僧侶はもう少し力があった気がします。
• 固有スキル「しんこう心」に役立つ技が全くない。MP増加と回復魔力アップは有用ですが……。
• 今作では薬草が安い上、上薬草・いやし草・特薬草が容易に入手できるのでベホイミなどはなくても問題ない。
• 終盤はベホマラーが必要になってくるが、終盤になると賢者が使えるようになり、賢者もベホマラーを覚える。

特に賢者と比較すると、「ザオリクを覚えない」「スクルトを覚えない」「マジックバリアを覚えない」と、悲しいことずくめ。賢者と比較したときの僧侶のメリットには以下のようなものがあります。

• 賢者より素早さが高い
• ベホマ・ベホマズンを覚える
• ザキ系呪文を覚える
• フバーハを覚える

ただこれらも微妙です。ベホマズンはHP完全回復なので強力なのですが、消費MPが128というものすごさ。しかも、ストーリー終盤だと普通はおそらくHPが200前後くらいで、このくらいだとベホマラーでほぼ全快します。ベホマズンなんて全く必要性がないわけです。

……そう考えていた時期が私にもありました……。

「全体200ダメージの攻撃をしてきて3回行動」なんて人と戦ってみると、ベホマラーでは間に合わないのですね。素早さも重要で、先攻してベホマズンを使ってもらわないと死ぬという状況が普通にあります。どんだけ強いんだよ……。

• 「僧侶は使える子」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9