水無月ばけらのえび日記

mixiアプリ「サンシャイン牧場」

公開: 2009年9月30日1時10分頃

「サンシャイン牧場」というmixiアプリが話題になっていたのでやってみることに。

しかしmixiアプリは実は非常に面倒なのですね。一見すると普通にmixi上にあるように見えますが、実はiframeで別ドメインのコンテンツを読み込んでいる形になっています。まあ、そうしないとmixi.jpドメイン上で第三者のスクリプトが動作してしまうわけで、必要な措置ではあるのですが。

mixiアプリ本体は http://*.app0.mixi-platform.comというドメインに置かれるようです。*部分は40桁の16進数で、おそらくランダム。というわけで、普段スクリプト無効の私がmixiアプリを動作させるためには、信頼済みサイトゾーンに*.app0.mixi-platform.comを追加する必要があります。

さらに面倒なことに、そのドメイン上で完結していなかったりするのですよね……。これはアプリによると思いますが、「サンシャイン牧場」の場合はhttp://i.rekoo.com/からJSファイルを読み込んでいるので、そのドメインも信頼してやる必要があります。

というわけで、"*.app0.mixi-platform.com"と"i.rekoo.com"を信頼してやっと動作。

• 「mixiアプリ「サンシャイン牧場」」へのコメント (2件)

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ

ドラクエ9国勢調査

公開: 2024年12月21日1時0分頃

「「ドラクエIX」すれ違い来客数に“地域格差”　スク・エニが集計 (www.itmedia.co.jp)」だそうな。たぶん私のデータも含まれているはず。

すれ違い通信はまあ予想通りとして、討伐モンスターランキングが面白いですね。そんなデータまで送られていたのか……と思いつつ、順位が興味深いです。以下、括弧内は私の現在の討伐数。

• スライム (477)
• メタルスライム (564)
• ウパパロン (132)
• はぐれメタル (770)
• メタルキング (999)
• スライムベス (347)
• ベホマスライム (999)
• リビングスタチュー (124)
• ピンクモーモン (50)
• ベホイミスライム (240)
• キングスライム (556)
• デビルスノー (165)
• もみじこぞう (98)
• ようがんピロー (110)
• ピンクモーモン (266)
• スーパーテンツク
• メイジキメラ (103)
• メタルハンター (162)
• メーダロード (73)
• ゴーレム (130)

ランクインの理由を分析するとこんな感じ?

• メタル系 …… メタルスライム、はぐれメタル、メタルキング
• メタル系のお供として出現 …… スライム、スライムベス、ベホマスライム、ベホイミスライム(ウォルロ地方)、リビングスタチュー(魔獣の洞窟)
• 一度に大量に出現したり仲間を呼んだりするモンスター …… スライム(合体)、ウパパロン、デビルスノー、もみじこぞう、ようがんピロー
• クエストで大量に狩る必要がある …… メイジキメラ、メタルハンター、ゴーレム

じごくのメンドーサはよく分かりませんが私も知らないうちに結構狩っていたので、「あっちこっちで出てくるから」というような理由で多いのでしょうか。ピンクモーモンとメーダロードはよく分かりませんね。

メタル系が軒並みランクインしている、と思いきやメタルブラザーズはランク外だったり。メタルキングがランクインしている割にゴールデンスライムがランクインしていませんが、ゴルスラ狩りは一般的ではないということなのでしょうね。

• 「ドラクエ9国勢調査」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

レベル99バラモス撃破

公開: 2024年12月21日23時45分頃

ドラクエ9 (www.amazon.co.jp)。ミルドラースに引き続き……何故かバラモスを。

バラモスはドラクエ3 (www.amazon.co.jp)の魔王。バラモス自身も印象的でしたし、なにより撃破後の流れが衝撃的でしたね。ちなみに、戦闘の音楽はSFC版 (www.amazon.co.jp)ベースになっています。

そんなバラモスですが、レベル99になるとこんな感じの行動をします。

• 打撃 …… 220くらいのダメージ。みかわし・盾ガード可能。
• 痛恨の一撃 …… 720くらいのダメージ。みかわし・盾ガード可能。
• れんごく火炎 …… 全体に300前後のダメージ。みかわし可能。
• メラガイアー …… 単体に400前後のダメージ。盾ガード可能。
• イオグランデ …… 全体に300前後のダメージ。
• イオナズン …… 全体に70前後のダメージ。
• 凍てつく波動 …… おなじみ。補助効果とテンションを無効にします。

3回行動。実はミルドラースとほとんどかぶっているのですが、違うのは、ルカナン、暗黒の霧、めいそう、マホカンタといった非ダメージ行動がないということ。常にダメージを与えてくるため隙がありません。また、ミルドラースとは弱点が異なるので(バラモスの弱点は氷)、弱点のフォースではイオグランデを防ぐことができません。イオグランデを連打されるとやや厳しいです。イオグランデ+打撃+イオグランデなんて行動もあるので要注意です。

とは言ってみたものの、やはり最初に戦うことになる魔王ということで、ぶっちゃけ楽勝です。打撃の威力が他の魔王と比べるとかなり弱く、打撃3連続コンボが当たっても耐えられますし、痛恨もそれ単独なら耐えられます(いずれも、喰らったのがバトルマスターの場合。僧侶だとさすがに死ぬ)。しかも、ときどきイオグランデではなくイオナズンを使ってきたり。油断していなければ特に問題ないでしょう。

耐久力も他の魔王より低いです。私の場合、たたかいのうたとアイスフォースを使ってはやぶさ斬り、で3ターン撃破。3ターン目の2人目の行動で撃破できたので、テンションバーンを絡めてうまくやれば、2ターン撃破もできそうですね。

• 「レベル99バラモス撃破」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

公開: 2009年9月24日14時30分頃

「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 (d.hatena.ne.jp)」。

RailsのXSS脆弱性がRuby1.9で影響無しとされるのは、Ruby1.9で対策されているからと言うより、たまたま例外が出るから……という話。blank? メソッドの実装がたままた正規表現マッチになっているので、たまたま例外が出るわけですね。どう見ても意識した対策ではなくて、たまたま死んでいるだけですね。

たまたまといえば、某所のアプリは私が昔書いたコードの影響で、冗長なUTF-8シーケンスを食わせると "redundant UTF-8 sequence" という例外が発生します。これも、特に意識して対策したわけではなくて、たまたま死んでいるケースですね。

※あくまで偶然な上に例外で死んでいるのですが、いちおう脆弱性の影響は受けないと判断。:-)

• 「Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然」にコメントを書く

関連する話題: セキュリティ / Ruby

レベル99ミルドラース撃破

公開: 2009年9月23日2時30分頃

ドラクエ9 (www.amazon.co.jp)。昨日はデスタムーアを撃破したので、本日はミルドラースを。

ミルドラースはドラクエ5 (www.amazon.co.jp)のラスボスですが、姿を見たときの感想は「あれ、こんなのだったっけ?」というものでした。中ボスであるはずのゲマやイブールはハッキリと印象に残っているのに、ミルドラースは名前しか覚えていないという……。

ともあれ、レベル99のミルドラースの行動はこんな感じ。

• 打撃 …… 450くらいのダメージ。みかわし・盾ガード可能。なんかミルドラース自身の顔面を殴っているように見えるのは私だけ?
• 痛恨の一撃 …… こちらが受けるダメージの上限が確認できる攻撃。つまり999ダメージ。防御していれば、あるいはスーパーハイテンション状態なら軽減できると思うのですが未確認です。みかわし・盾ガード可能。
• れんごく火炎 …… 全体に330前後のダメージ。みかわし可能。
• メラガイアー …… 単体に400超のダメージ。盾ガード可能。
• イオグランデ …… まともに喰らうと全体に300超のダメージ、ですがストームフォースで軽減できて、ダメージを2桁におさえられます。
• ルカナン …… ふつうのルカナン。全体に守備力低下の効果。ダメージはありません。
• 暗黒の霧 …… 全体に攻撃ダウン + 攻撃魔力ダウン効果。ダメージはありません。
• マホカンタ …… 攻撃呪文を反射するバリアを張ります。余談ですが、今作のマホカンタは味方からの回復・補助呪文を反射しなくなったので使いやすくなりました。
• めいそう …… HPを500ポイント回復。味方が使うと80くらいしか回復しないのに。ちなみにHPが全く減っていなくても使用します。
• 凍てつく波動 …… おなじみ。補助効果とテンションを無効にします。

ダメージを与えない行動が多いのが特徴。1ターン3回行動ですが、ルカナン+霧+マホカンタ、なんて事もあります。これはゆるすぎる……と思いきや、れんごく火炎+イオグランデ+れんごく火炎とか、イオグランデ×3なんて事も。幸いにして風が弱点なので、ストームフォースを使っておけばイオグランデのダメージは大幅に軽減できます。

※ちなみにストームフォースの防御効果は風&雷耐性+50で、元の耐性が50%以上あればノーダメージになります。

そして何より厳しいのは痛恨の一撃。999ダメージなので当たったら死にます。マルチプレイでない限り盾の秘伝書 (痛恨完全ガード効果) は1つしか持てませんので、みかわしと盾ガードに賭けるしかありません。「ラッキーペンダント」をつけておくと、みかわし率アップしつつルカナンと暗黒の霧も効きにくくなるのでオススメです。

メンバーはいつもと同じで、ストームフォース、たたかいのうた、はやぶさ斬り×2。非ダメージ行動が多いので、テンションバーンは使用しませんでした。痛恨と凍てつく波動さえ来なければ何ら問題ありませんし、非ダメージ行動が多いと回復が不要になることさえあります。が、痛恨と凍てつく波動を連打されると、途端に苦しくなります。つまりは運ゲーです。

私は4ターンで撃破。テンションバーンを使用して、運良くイオグランデが連打されれば速攻撃破できるかも。

• 「レベル99ミルドラース撃破」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

どうぶつの森 バースデーケーキ

公開: 2009年9月23日1時40分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。バースデーケーキをもらったので……その場で食べました。

顔が「ｳﾏｰ」って感じになるのですね。

関係ありませんが、お金のなる木が生えました。

なっている実は、ひとつぶ3万ベル。

• 「どうぶつの森 バースデーケーキ」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

レベル99デスタムーア撃破

公開: 2009年9月22日12時35分頃

ドラクエ9 (www.amazon.co.jp)ですが、最近になってデスタムーアの地図とシドーの地図が多く出回るようになりました。これは9月11日以降、モンスターバトルロード2との連動で入手できるようになったものです。

※「データを改造したゲームソフトとの通信にお気を付けください！ (www.dqix.jp)」の地図リストも9月11日付けで更新されています。

というわけでデスタムーアの地図を持っていたわけですが、成功率50%のローブ錬金を2連続で失敗して残念な思いをしたので、ついカッとなってデスタムーアをレベル99まで上げました。デスタムーアといえばドラクエ6 (www.amazon.co.jp)のラスボスですが、戦った記憶よりも「ダークドレアムに瞬殺された人」という印象の方が強いですね。

※ちなみに、Amazonには既にDS版の商品ページ (www.amazon.co.jp)があるのですね……。

さてそんなデスタムーアですが、右手、左手、本体に分かれて登場します。それぞれの行動はこんな感じです。

• (本体の行動)
  • 打撃 …… 450くらいのダメージ。みかわし・盾ガード可能。
  • れんごく火炎、かがやくいき …… それぞれ全体に300強のダメージ。みかわし可能。
  • バギムーチョ …… 全体に300強のダメージですがダメージ幅が大きく、平均240程度で済むこともあります。回避不能。
  • メラガイアー …… 単体に400超のダメージ。盾ガード可能。
  • おぞましいおたけび …… 全体360程度のダメージ。回避不能。
  • 強制催眠 …… 目が光るアレ。一人が強制的に眠らされます。回避不能。目覚ましリングで睡眠耐性をつけても防げません (パラディンガードや精霊の守りで防ぐことは可能)。
  • マダンテ …… 全体に500近いダメージ。回避不能。これを使った後、本体の行動は魔力回復となります。
  • 凍てつく波動 …… おなじみのアレ。補助効果とテンションを無効にします。
• (右手の行動)
  • 打撃、鋭い爪、たたきつけ …… 単体攻撃で、それぞれ 250前後、300超、400超のダメージ。みかわし・盾ガード可能。
  • ベホマラー …… 本体が倒されると使用? 回復量は2桁で、ほとんど無意味な行動です。
• (左手の行動)
  • 打撃、鋭い爪、たたきつけ …… 右手と同様。
  • ザオリク …… 本体が倒されると使用し、本体を蘇生します。右手を蘇生するかどうかは未確認

ドルマゲスと比較すると、攻撃はかなりゆるく感じます。それぞれ1回しか行動しませんし、全体攻撃を持っているのは本体だけなので、1ターンに全体攻撃が複数来ることはないのです。打撃が一人に集中するとあっさり死にますし、マダンテを使われたときに手が残っていると死者が出ますが、だいたい立て直せます。回復と蘇生をきちんとしていれば、全滅することはほとんどないでしょう。

こちらのパーティーと行動はドルマゲス戦とほぼ同じで、初回ターンでダークフォース・たたかいのうた・テンションバーンを使用します。あとははやぶさ斬りで攻めていきますが、ザオリクを使う左手を先に撃破する必要があります。左手を撃破するとかなり楽になり、あとは本体、右手の順に倒すだけです (右手と本体は逆でも可)。

攻撃はゆるいのですが、3体いるので長期戦になります。私が撃破したときは7ターン。早く倒したければ、全員賢者にしてテンションをためてマダンテ、という戦法もありそうですね。

• 「レベル99デスタムーア撃破」へのコメント (2件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

空の下屋根の中

公開: 2009年9月22日2時1分頃

久々のジャケ買い。

• 空の下屋根の中1 (www.amazon.co.jp)

表紙のうつろな感じが印象強すぎで、つい購入。「日常」っぽいシュールなものを期待していましたが、わりと普通でした。ニートマンガ……というのもちょっと違うような。

• 「空の下屋根の中」にコメントを書く

関連する話題: マンガ / 買い物 / 空の下屋根の中

あたしンち15

公開: 2009年9月21日2時5分頃

出ていたので購入。

• あたしンち15 (www.amazon.co.jp)

今回は笑えるネタが多かったですね。「ジーコ」で爆笑してしまった……。

※Amazonを見て知りましたが、限定版 (www.amazon.co.jp)も存在するのですね。もやしもん商法?

• 「あたしンち15」にコメントを書く

関連する話題: マンガ / 買い物 / あたしンち / あたしンち

資料を公開

公開: 2024年12月21日14時5分頃

W2C (www.w2c.jp)のマークアップエンジニア・ワーキンググループで「マークアップエンジニアが知っておきたい3つの脆弱性」と題してお話ししたのですが、資料公開の要望が多かったので公開しておきます。

• W2Cマークアップエンジニア・ワーキンググループ 「マークアップエンジニアが知っておきたい3つの脆弱性」

ちなみに内容としては特に目新しいものではありません。WebSigのときのやつと似たような話ですが、事例などは新しめのものに入れ替えています(画面キャプチャ抜きなので、資料だけ見ても分からないと思いますが)。

• 「資料を公開」にコメントを書く

関連する話題: セキュリティ / 講演

不適切な入力時validate

公開: 2009年9月17日13時30分頃

スクウェア・エニックスのサイトでドラクエ9 (www.amazon.co.jp)のアンケートが実施されていたので回答したら、こんなエラーが。

すれ違い通信の人数は普通に4桁行くんですケド。1000人突破で称号もあるんですケド。

仕方ないので999と入力して、自由記入欄に「1519人なんですケド」という旨を書いておきましたが。validateの仕様をテキトーに決めると、利用者が残念な思いをしたり正確なアンケートが採れなかったりするので注意したいということで。

• 「不適切な入力時validate」にコメントを書く

関連する話題: ゲーム / ドラクエ / ドラクエ9

どうぶつの森 虫コンプリート/きんのあみ

公開: 2009年9月13日14時40分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。ようやくテイオウムカシヤンマを捕獲して、虫コンプリート達成。

というわけで、きんのあみを入手しました。

だいたいひととおりやりつくした感じ?

• 「どうぶつの森 虫コンプリート/きんのあみ」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

RailsのXSS脆弱性

公開: 2009年9月10日15時10分頃

• Rails 2系すべてのブランチに脆弱性、Ruby 1.9ユーザはアップグレード注意 (journal.mycom.co.jp)
• XSS Vulnerability in Ruby on Rails (weblog.rubyonrails.org)

どうも不正なUTF-8で突破されるという話の模様ですが、PoCなどの詳しい情報が出ていないのでイマイチ分からず。

とりあえず手元のいくつかのRailsアプリに不正なUTF-8シーケンスを投入してみたところ、以下のような感じの動作になりました。

• Rails1系……そのままブラウザに出力される
• Rails2系……不正な部分が削除されて出力される(サニタイズ!)

うーん、この手のサニタイズはいろいろ問題になりそうな気がするわけですが、それが実際に問題になったということなのですかね……。

• 「RailsのXSS脆弱性」にコメントを書く

関連する話題: セキュリティ / Ruby / クロスサイトスクリプティング脆弱性

改造データとの通信に注意

公開: 2009年9月7日1時30分頃

ドラクエ9 (www.amazon.co.jp)ですが、こんな注意喚起が出ています……「データを改造したゲームソフトとの通信にお気を付けください！ (www.dqix.jp)」。

私もすれ違いで「ゾーマの地図」「オルゴ・デミーラの地図」を受け取ったことがありますが、速攻で捨てました。個人的には改造自体を否定するつもりはなく、個人的に楽しんだり、解析して情報を得たりするのは良いと思うのですが、他人を巻き込むのはやめて欲しいですね。

個人的によく分からないのは、セーブデータを改造して、そのデータを自慢しようという人がいるらしいこと。今まですれ違った中には、以下のような方がいました。

• 錬金作成コンプ率100%、宝の地図クリア数23回 …… 錬金作成コンプ率100%を自慢したかったのでしょうが、錬金作成コンプ率100%を達成するためには大量のオーブが必要になります。宝の地図クリア数23回では達成不可能で、改造確定です。
• 錬金回数99999、プレイ時間100時間台 …… 10万回の錬金にかかる時間は、1回5秒としても約140時間。実際には材料のアイテムを集めたりする時間もあるはずなので、まず無理ですね。ちなみに、錬金では1度に複数のアイテムを作ることが可能ですが、1度に9つ作っても1回とカウントされます。

こういうのを見せられても、「ふーん改造だね。さようなら」という感想しか持てないわけで、ぜんぜん自慢になっていないと思うのですけどね。

• 「改造データとの通信に注意」へのコメント (1件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

ATOKによく分からない脆弱性

公開: 2024年12月21日15時15分頃

ATOKに脆弱性だそうで。

• JVN#57040664 ATOK におけるスクリーンロックの制限回避が可能な脆弱性 (jvn.jp)
• [JS09003] ATOKの脆弱性を悪用した不正なプログラムの実行危険性について (www.justsystems.com)

JVNの方を読むと、スクリーンロック時にロックを貫通してアプリケーションを実行できる話のように読めますね。ロック時には通常アプリケーションは起動できませんが、IMEは動くので、IMEにランチャーっぽい機能があるとそこからアプリケーションが起動されてしまう……という話なのかと想像してみました。

が、ジャストシステム側の発表では「悪意のある第三者によってコンピュータを完全に制御されてしまう」となっていて、もっと深刻な話であるように読めます。実際のところはどうなのですかね?

……あと、ATOK2005がリストにないのですが、これは「この脆弱性の影響を受けない」のか、「サポート対象外」なのか、どちらなのですかね。実はまだ使っているのですけど、捨てる必要があるのかどうか判断しかねるなぁ。

• 「ATOKによく分からない脆弱性」へのコメント (5件)

関連する話題: ATOK / ジャストシステム

どうぶつの森 魚コンプリート/きんのつりざお

公開: 2009年9月3日15時5分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。ドラクエに押されつつも地道にプレイは続けていて、昨日ついに魚コンプリート達成。

というわけで、本日、きんのつりざおを入手しました。

※しかし虫コンプリートができない……。あとはテイオウムカシヤンマだけなのですが、それがなかなか。

• 「どうぶつの森 魚コンプリート/きんのつりざお」にコメントを書く

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森