水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2009年のえび日記 > 2009年9月

2009年9月

2009年9月29日(火曜日)

mixiアプリ「サンシャイン牧場」

公開: 2009年9月30日1時10分頃

「サンシャイン牧場」というmixiアプリが話題になっていたのでやってみることに。

しかしmixiアプリは実は非常に面倒なのですね。一見すると普通にmixi上にあるように見えますが、実はiframeで別ドメインのコンテンツを読み込んでいる形になっています。まあ、そうしないとmixi.jpドメイン上で第三者のスクリプトが動作してしまうわけで、必要な措置ではあるのですが。

mixiアプリ本体は http://*.app0.mixi-platform.comというドメインに置かれるようです。*部分は40桁の16進数で、おそらくランダム。というわけで、普段スクリプト無効の私がmixiアプリを動作させるためには、信頼済みサイトゾーンに*.app0.mixi-platform.comを追加する必要があります。

さらに面倒なことに、そのドメイン上で完結していなかったりするのですよね……。これはアプリによると思いますが、「サンシャイン牧場」の場合はhttp://i.rekoo.com/からJSファイルを読み込んでいるので、そのドメインも信頼してやる必要があります。

というわけで、"*.app0.mixi-platform.com"と"i.rekoo.com"を信頼してやっと動作。

関連する話題: ゲーム / サンシャイン牧場 / セキュリティ

ドラクエ9国勢調査

公開: 2017年11月21日1時0分頃

「ドラクエIX」すれ違い来客数に“地域格差” スク・エニが集計 (www.itmedia.co.jp)」だそうな。たぶん私のデータも含まれているはず。

すれ違い通信はまあ予想通りとして、討伐モンスターランキングが面白いですね。そんなデータまで送られていたのか……と思いつつ、順位が興味深いです。以下、括弧内は私の現在の討伐数。

ランクインの理由を分析するとこんな感じ?

じごくのメンドーサはよく分かりませんが私も知らないうちに結構狩っていたので、「あっちこっちで出てくるから」というような理由で多いのでしょうか。ピンクモーモンとメーダロードはよく分かりませんね。

メタル系が軒並みランクインしている、と思いきやメタルブラザーズはランク外だったり。メタルキングがランクインしている割にゴールデンスライムがランクインしていませんが、ゴルスラ狩りは一般的ではないということなのでしょうね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年9月27日(日曜日)

レベル99バラモス撃破

公開: 2017年11月21日23時45分頃

ドラクエ9 (www.amazon.co.jp)ミルドラースに引き続き……何故かバラモスを。

バラモスはドラクエ3 (www.amazon.co.jp)の魔王。バラモス自身も印象的でしたし、なにより撃破後の流れが衝撃的でしたね。ちなみに、戦闘の音楽はSFC版 (www.amazon.co.jp)ベースになっています。

そんなバラモスですが、レベル99になるとこんな感じの行動をします。

3回行動。実はミルドラースとほとんどかぶっているのですが、違うのは、ルカナン、暗黒の霧、めいそう、マホカンタといった非ダメージ行動がないということ。常にダメージを与えてくるため隙がありません。また、ミルドラースとは弱点が異なるので(バラモスの弱点は氷)、弱点のフォースではイオグランデを防ぐことができません。イオグランデを連打されるとやや厳しいです。イオグランデ+打撃+イオグランデなんて行動もあるので要注意です。

とは言ってみたものの、やはり最初に戦うことになる魔王ということで、ぶっちゃけ楽勝です。打撃の威力が他の魔王と比べるとかなり弱く、打撃3連続コンボが当たっても耐えられますし、痛恨もそれ単独なら耐えられます(いずれも、喰らったのがバトルマスターの場合。僧侶だとさすがに死ぬ)。しかも、ときどきイオグランデではなくイオナズンを使ってきたり。油断していなければ特に問題ないでしょう。

耐久力も他の魔王より低いです。私の場合、たたかいのうたとアイスフォースを使ってはやぶさ斬り、で3ターン撃破。3ターン目の2人目の行動で撃破できたので、テンションバーンを絡めてうまくやれば、2ターン撃破もできそうですね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年9月24日(木曜日)

Ruby1.9でRailsのXSS脆弱性が発生しないのは偶然

公開: 2009年9月24日14時30分頃

Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 (d.hatena.ne.jp)」。

RailsのXSS脆弱性がRuby1.9で影響無しとされるのは、Ruby1.9で対策されているからと言うより、たまたま例外が出るから……という話。blank? メソッドの実装がたままた正規表現マッチになっているので、たまたま例外が出るわけですね。どう見ても意識した対策ではなくて、たまたま死んでいるだけですね。

たまたまといえば、某所のアプリは私が昔書いたコードの影響で、冗長なUTF-8シーケンスを食わせると "redundant UTF-8 sequence" という例外が発生します。これも、特に意識して対策したわけではなくて、たまたま死んでいるケースですね。

※あくまで偶然な上に例外で死んでいるのですが、いちおう脆弱性の影響は受けないと判断。:-)

関連する話題: セキュリティ / Ruby

2009年9月22日(火曜日)

レベル99ミルドラース撃破

公開: 2009年9月23日2時30分頃

ドラクエ9 (www.amazon.co.jp)昨日はデスタムーアを撃破したので、本日はミルドラースを。

ミルドラースはドラクエ5 (www.amazon.co.jp)のラスボスですが、姿を見たときの感想は「あれ、こんなのだったっけ?」というものでした。中ボスであるはずのゲマやイブールはハッキリと印象に残っているのに、ミルドラースは名前しか覚えていないという……。

ともあれ、レベル99のミルドラースの行動はこんな感じ。

ダメージを与えない行動が多いのが特徴。1ターン3回行動ですが、ルカナン+霧+マホカンタ、なんて事もあります。これはゆるすぎる……と思いきや、れんごく火炎+イオグランデ+れんごく火炎とか、イオグランデ×3なんて事も。幸いにして風が弱点なので、ストームフォースを使っておけばイオグランデのダメージは大幅に軽減できます。

※ちなみにストームフォースの防御効果は風&雷耐性+50で、元の耐性が50%以上あればノーダメージになります。

そして何より厳しいのは痛恨の一撃。999ダメージなので当たったら死にます。マルチプレイでない限り盾の秘伝書 (痛恨完全ガード効果) は1つしか持てませんので、みかわしと盾ガードに賭けるしかありません。「ラッキーペンダント」をつけておくと、みかわし率アップしつつルカナンと暗黒の霧も効きにくくなるのでオススメです。

メンバーはいつもと同じで、ストームフォース、たたかいのうた、はやぶさ斬り×2。非ダメージ行動が多いので、テンションバーンは使用しませんでした。痛恨と凍てつく波動さえ来なければ何ら問題ありませんし、非ダメージ行動が多いと回復が不要になることさえあります。が、痛恨と凍てつく波動を連打されると、途端に苦しくなります。つまりは運ゲーです。

私は4ターンで撃破。テンションバーンを使用して、運良くイオグランデが連打されれば速攻撃破できるかも。

関連する話題: ゲーム / ドラクエ / ドラクエ9

どうぶつの森 バースデーケーキ

公開: 2009年9月23日1時40分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。バースデーケーキをもらったので……その場で食べました。

顔が「ウマー」って感じになるのですね。

関係ありませんが、お金のなる木が生えました。

なっている実は、ひとつぶ3万ベル。

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

2009年9月21日(月曜日)

レベル99デスタムーア撃破

公開: 2009年9月22日12時35分頃

ドラクエ9 (www.amazon.co.jp)ですが、最近になってデスタムーアの地図とシドーの地図が多く出回るようになりました。これは9月11日以降、モンスターバトルロード2との連動で入手できるようになったものです。

※「データを改造したゲームソフトとの通信にお気を付けください! (www.dqix.jp)」の地図リストも9月11日付けで更新されています。

というわけでデスタムーアの地図を持っていたわけですが、成功率50%のローブ錬金を2連続で失敗して残念な思いをしたので、ついカッとなってデスタムーアをレベル99まで上げました。デスタムーアといえばドラクエ6 (www.amazon.co.jp)のラスボスですが、戦った記憶よりも「ダークドレアムに瞬殺された人」という印象の方が強いですね。

※ちなみに、Amazonには既にDS版の商品ページ (www.amazon.co.jp)があるのですね……。

さてそんなデスタムーアですが、右手、左手、本体に分かれて登場します。それぞれの行動はこんな感じです。

ドルマゲスと比較すると、攻撃はかなりゆるく感じます。それぞれ1回しか行動しませんし、全体攻撃を持っているのは本体だけなので、1ターンに全体攻撃が複数来ることはないのです。打撃が一人に集中するとあっさり死にますし、マダンテを使われたときに手が残っていると死者が出ますが、だいたい立て直せます。回復と蘇生をきちんとしていれば、全滅することはほとんどないでしょう。

こちらのパーティーと行動はドルマゲス戦とほぼ同じで、初回ターンでダークフォース・たたかいのうた・テンションバーンを使用します。あとははやぶさ斬りで攻めていきますが、ザオリクを使う左手を先に撃破する必要があります。左手を撃破するとかなり楽になり、あとは本体、右手の順に倒すだけです (右手と本体は逆でも可)。

攻撃はゆるいのですが、3体いるので長期戦になります。私が撃破したときは7ターン。早く倒したければ、全員賢者にしてテンションをためてマダンテ、という戦法もありそうですね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

空の下屋根の中

公開: 2009年9月22日2時1分頃

久々のジャケ買い。

表紙のうつろな感じが印象強すぎで、つい購入。「日常」っぽいシュールなものを期待していましたが、わりと普通でした。ニートマンガ……というのもちょっと違うような。

関連する話題: マンガ / 買い物 / 空の下屋根の中

2009年9月20日(日曜日)

あたしンち15

公開: 2009年9月21日2時5分頃

出ていたので購入。

今回は笑えるネタが多かったですね。「ジーコ」で爆笑してしまった……。

※Amazonを見て知りましたが、限定版 (www.amazon.co.jp)も存在するのですね。もやしもん商法?

関連する話題: マンガ / 買い物 / あたしンち / あたしンち

2009年9月17日(木曜日)

資料を公開

公開: 2017年11月21日14時5分頃

W2C (www.w2c.jp)のマークアップエンジニア・ワーキンググループで「マークアップエンジニアが知っておきたい3つの脆弱性」と題してお話ししたのですが、資料公開の要望が多かったので公開しておきます。

ちなみに内容としては特に目新しいものではありません。WebSigのときのやつと似たような話ですが、事例などは新しめのものに入れ替えています(画面キャプチャ抜きなので、資料だけ見ても分からないと思いますが)。

関連する話題: セキュリティ / 講演

2009年9月15日(火曜日)

不適切な入力時validate

公開: 2009年9月17日13時30分頃

スクウェア・エニックスのサイトでドラクエ9 (www.amazon.co.jp)のアンケートが実施されていたので回答したら、こんなエラーが。

【11】すれ違い通信の人数には3桁以内で数値を入力してください。

すれ違い通信の人数は普通に4桁行くんですケド。1000人突破で称号もあるんですケド。

仕方ないので999と入力して、自由記入欄に「1519人なんですケド」という旨を書いておきましたが。validateの仕様をテキトーに決めると、利用者が残念な思いをしたり正確なアンケートが採れなかったりするので注意したいということで。

関連する話題: ゲーム / ドラクエ / ドラクエ9

2009年9月9日(水曜日)

どうぶつの森 虫コンプリート/きんのあみ

公開: 2009年9月13日14時40分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。ようやくテイオウムカシヤンマを捕獲して、虫コンプリート達成。

というわけで、きんのあみを入手しました。

だいたいひととおりやりつくした感じ?

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

RailsのXSS脆弱性

公開: 2009年9月10日15時10分頃

どうも不正なUTF-8で突破されるという話の模様ですが、PoCなどの詳しい情報が出ていないのでイマイチ分からず。

とりあえず手元のいくつかのRailsアプリに不正なUTF-8シーケンスを投入してみたところ、以下のような感じの動作になりました。

うーん、この手のサニタイズはいろいろ問題になりそうな気がするわけですが、それが実際に問題になったということなのですかね……。

関連する話題: セキュリティ / Ruby / クロスサイトスクリプティング脆弱性

2009年9月3日(木曜日)

改造データとの通信に注意

公開: 2009年9月7日1時30分頃

ドラクエ9 (www.amazon.co.jp)ですが、こんな注意喚起が出ています……「データを改造したゲームソフトとの通信にお気を付けください! (www.dqix.jp)」。

私もすれ違いで「ゾーマの地図」「オルゴ・デミーラの地図」を受け取ったことがありますが、速攻で捨てました。個人的には改造自体を否定するつもりはなく、個人的に楽しんだり、解析して情報を得たりするのは良いと思うのですが、他人を巻き込むのはやめて欲しいですね。

個人的によく分からないのは、セーブデータを改造して、そのデータを自慢しようという人がいるらしいこと。今まですれ違った中には、以下のような方がいました。

こういうのを見せられても、「ふーん改造だね。さようなら」という感想しか持てないわけで、ぜんぜん自慢になっていないと思うのですけどね。

関連する話題: ゲーム / ドラクエ / ドラクエ9

ATOKによく分からない脆弱性

公開: 2017年11月21日15時15分頃

ATOKに脆弱性だそうで。

JVNの方を読むと、スクリーンロック時にロックを貫通してアプリケーションを実行できる話のように読めますね。ロック時には通常アプリケーションは起動できませんが、IMEは動くので、IMEにランチャーっぽい機能があるとそこからアプリケーションが起動されてしまう……という話なのかと想像してみました。

が、ジャストシステム側の発表では「悪意のある第三者によってコンピュータを完全に制御されてしまう」となっていて、もっと深刻な話であるように読めます。実際のところはどうなのですかね?

……あと、ATOK2005がリストにないのですが、これは「この脆弱性の影響を受けない」のか、「サポート対象外」なのか、どちらなのですかね。実はまだ使っているのですけど、捨てる必要があるのかどうか判断しかねるなぁ。

関連する話題: ATOK / ジャストシステム

2009年9月2日(水曜日)

どうぶつの森 魚コンプリート/きんのつりざお

公開: 2009年9月3日15時5分頃

街へいこうよ どうぶつの森 (www.amazon.co.jp)。ドラクエに押されつつも地道にプレイは続けていて、昨日ついに魚コンプリート達成。

というわけで、本日、きんのつりざおを入手しました。

※しかし虫コンプリートができない……。あとはテイオウムカシヤンマだけなのですが、それがなかなか。

関連する話題: ゲーム / Wii / 任天堂 / どうぶつの森 / 街へいこうよ どうぶつの森

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト