2010年1月
2010年1月31日(日曜日)
FF13: トロフィーコンプリート
公開: 2010年2月1日15時40分頃
FF13 (www.amazon.co.jp)、トロフィーをコンプリート。
トロフィー「全てを得し者」を入手するためには装備品 (武器とアクセサリ) を全種類入手する必要があります。改造後のアイテムも入手しなければならないので、ほとんど全てのアイテムを一通り改造しなければなりません。これには膨大なお金が必要になります。
ロングイを倒せるようになると、CPはあきれるほど入手できるようになります。ロングイを1体倒すと10万、シャオロングイが6万、アダマンタイマイでも4万です。クリスタリウムはあっさりとコンプリートしてしまい、キャラクターはもう成長しなくなります……が、そこまで稼いでもお金はぜんぜん足りないので、お金だけを目当てに亀を狩り続けなければなりません。
※サクリファイスをたくさん狩っても良いのですが、アダマンタイマイ狩りの方が効率は良いと思います。慣れると召喚ありで1分、無しでも2分かからずに倒せるので。
これがきつい。前にも書きましたが、キャラクター成長が無い状態で戦い続けるのはつらいですね……。
ともあれ、これで一通りやった感じかなと。
- 「FF13: トロフィーコンプリート」にコメントを書く
2010年1月29日(金曜日)
ヘンな間取り
公開: 2010年1月31日20時35分頃
- ヘンな間取り―思わずツッコミたくなる日本の愛すべき間取り (www.amazon.co.jp)
……ツッコミが面白くないというか、無粋というか……。
土地の広さや形状に制限があってギリギリで建っている建物だって多いでしょうに。
関連する話題: 本
ふら・ふろ
公開: 2010年1月31日15時40分頃
Amazonでオススメされていたので購入。
アパートの管理人、ハナとナツの貧乏生活を描くマンガ。
面白かったですね。送料調整のためにテキトーに買ったのですが、良作でした。
一言で言うと、苺ましまろを大人にしたような感じ……? 位置づけを対応させるとこんな感じ。
- ハナ→美羽
- ナツ→千佳
- 大家さん→伸恵
- アオ→末莉
お師匠は対応しないですけども。
ギャグの雰囲気がだいぶ大人しいというか、大爆笑でもないけれど安心して読めるという感じ。これはこれで良いです。
大東京トイボックス5
公開: 2010年1月31日14時20分頃
購入。
- 大東京トイボックス5 (www.amazon.co.jp)
出たようなので書店を探したのですが、全く発見できず。出たばかりなのに何故ないのだろう……。「Amazon Kindle初?の日本マンガ (slashdot.jp)」という話で作者が話題になったから?
というわけでAmazonで購入しました。
作中にTwitterが出てきたりするわけですが、ハッシュタグ#9999990 (search.twitter.com)はしっかり大東京トイボックスの話題用に使われている模様ですね。
2010年1月25日(月曜日)
届出状況2009Q4
公開: 2010年1月28日22時5分頃
2009年Q4の届出状況が出たようで……ソフトウェア等の脆弱性関連情報に関する届出状況[2009年第4四半期(10月~12月)] (www.ipa.go.jp)。
その他、2009年の1年間に個人情報が漏えいしているという届出が6件ありました。個人情報が漏えいした脆弱性の内訳は、ファイルの誤った公開が2件、認証に関する不備が2件、セッション管理の不備が1件、アクセス制限の回避が1件でした。
サンシャイン牧場の話は「認証に関する不備」に入っているのでしょうかね……? 不備というか、そもそも認証が無いという話ですけれど。
なお、脆弱性関連情報の取扱いの効率化を図るため、2009年7月8日の「情報セキュリティ早期警戒パートナーシップガイドラインの改訂(*16)」で、このような一定期間にわたり的確な答えが無い場合は、その脆弱性の影響範囲や取扱期間を考慮し、1年以上経過したものから順次取扱を終了します。
ぽつぽつと終了になっていますね。2年前に届け出たやつが連絡不能で終了とか……。
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
2010年1月22日(金曜日)
シブすぎ技術に男泣き!
公開: 2010年1月26日16時0分頃
読ませていただいたのでメモ。
- シブすぎ技術に男泣き! (www.amazon.co.jp)
「セミコン見ル野のシブすぎ技術に男泣き! (rikunabi-next.yahoo.co.jp)」の書籍化。
新ジャンルプリクラ機の話が面白かったです。「自分の顔がプリントされたTシャツなんて着たい人がいるだろうか?」という疑問は、気がついてはいけないことだった……。
基本的にはガチガチの工業機械の話なのですが、トラブルの原因を突き止めて対応するところとか、「赤字でも良いものを作りたい」とかいったところは、Web制作やプログラミングの現場とも通じるものがありますね。
関連する話題: マンガ
2010年1月21日(木曜日)
FF13: ロングイを撃破
公開: 2010年1月26日11時55分頃
FF13 (www.amazon.co.jp)、ウェルキンゲトリクスを撃破してミッション64をクリア、その後シャオロングイ、ロングイと撃破。
※ロングイ・シャオロングイはミッション56~62あたりをクリアすると平原に出現します。アダマンタイマイ・アダマンケリスの色違いですが、より強いです。たぶん漢字で書くと龍亀・小龍亀 (中国語読み)。
こちらの強さは主要3ロールとディフェンダー (ファングはエンハンサー) を極めたくらいの状態ですが、特に問題なく勝利できました。ロングイの咆哮+アルテマのコンボは凶悪で、咆哮で12000ダメージ+ダルの直後にアルテマ、まともに食らうと20000を超えるダメージで耐えられません。が、それでもオプティマをグレートウォール (ディフェンダー×3) にできればアビリティ「ラストリーヴ」の効果もあって耐えられるので、大して問題なかったりします。あとは転ばせながら1620万あるHPを削りきるだけです。
何体か倒して戦術が固まってきたので、とりあえず私の倒し方をメモ。パーティーはファング、ホープ、ヴァニラ、オプティマは「トリスメギストス」(EEE)、「グレートウォール」(DDD)、「執拗なる計略」(JHH) 、「アシュラ」(JJJ) 、「トライディザスター」(BBB) 、「ケルベロス」(AAA)。
※ホープの弱体は微妙なので、「アシュラ」(JJJ) は「惑乱の嵐」(JBJ)のほうが良いかも……。
まずは基本的な流れ。
- 最初のオプティマは「トリスメギストス」(EEE)。ファングは速攻で自分にヘイストをかける。
- ヘイストがかかるのを確認せずに素早く「グレートウォール」(DDD)、開幕のアルテマをしのぐ。
- オプティマを「執拗なる計略」(JHH) に変更。ケアルダで回復しつつ、ファングはロングイ本体にスロウをかける。
- 「トリスメギストス」(EEE) に戻してブレイダ・フェイダ・ヘイストあたりを全員に。
- 「アシュラ」(JJJ) で足にデプロテ・ウィークあたりをかける。
- 「トライディザスター」(BBB) で足を攻撃してチェーンを稼ぐ。ブレイクしてもしばらく攻撃。
- 800%を超えたあたりで「ケルベロス」(AAA) に変更、ファングが「ハイウィンド」を使用して足を撃破。攻撃力にもよりますが、デプロテとブレイダがちゃんとかかっていればハイウィンド一発で倒せます。
- 足を倒したら、もう片方の足も「アシュラ」「トライディザスター」「ケルベロス」で撃破。足撃破の直前にダメージを受けた場合は、回復より撃破を優先します。
- ロングイが倒れたら「アシュラ」で弱体を入れる。
- バイオ、ウィークがかかった事を確認したら「トリスメギストス」(EEE) で強化のかけ直し。ウィークがかかっていれば、ホープがエンファイを使います。
- 全員にエンファイがかかったら、「トライディザスター」でチェーンを溜める。
- 900%を超えたら「ケルベロス」で攻める。
- ロングイが起きあがる前にブレイクが終わるので、もう一度トライディザスターで攻める。ただし、すぐに起きあがるので深追いはしないこと。HPが減っていたら回復。
- 起きあがった後に咆哮が来ます。喰らったら即「執拗なる計略」に変更、ダルを喰らっていたら「くさい液」を使用して回復。ダルの回復はヒーラー優先 (ヒーラーには月虹のアンクレット装備を推奨)。
- 直後にアルテマが来るので、「グレートウォール」で耐える。回復が終わっていなくてもオプティマ変更を優先してください。多少減っていてもラストリーヴで耐えるので大丈夫。
あとは繰り返し。この流れの途中でもアルテマが来たりするので、都度「グレートウォール」で耐えて「執拗なる計略」で回復します。また、後半は咆哮・アルテマの頻度が上がるので気をつけましょう。TPが残っていれば、召喚を使えば回復しつつ転倒させられるので楽です。
おそらくロングイがFF13最強の敵なので、これで一通り倒した感じですかね。最強武器とかぜんぜん持っていないのですが……。
ぼくらの 11
公開: 2010年1月25日19時0分頃
出ているという情報をいただいたので購入。
- ぼくらの 11 (www.amazon.co.jp)
出たの先月じゃん……。ぜんぜん気がついていませんでした。「初版限定冊子付き版 (www.amazon.co.jp)」なるものも存在したようですが、当然というべきか発見できず。
最終巻ですね。「宇白順(2)」からスタートしているのは、9巻に「宇白順(1)」があったため。
ある意味、淡々とした進行。何か救いがあったりとかそういうのは全くないですね。そういうものです。
とらぶるクリック!! 04
公開: 2010年1月25日18時35分頃
出ていたので購入。
- とらぶるクリック!! 04 (www.amazon.co.jp)
最終巻。ついにPCクラッシャーの秘密が明らかに……って、そりゃないよ。orz
しかし、300時間でレベルカンストするネトゲーは確かにちょっとぬるいかもしれない気がします。
脆弱性の連絡先が分からない場合
公開: 2010年1月25日16時40分頃
こんなお話が。
- 楽天である条件の下だと別のユーザーでログインできてしまう件+α (d.hatena.ne.jp)
- 全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった1つの理由 (d.hatena.ne.jp)
私は発見した後、このブログサービスを提供している「はてな」においてのid:guldeen アカウントハック事件を思い出し、サイト運営への早急な報告が必要と思い窓口を探した。
まずこれが最初の問題だがこの窓口がなかなかみつからなかった。
既にブックマークコメント等でも指摘されている方がいますが、そういう場合は情報セキュリティ早期警戒パートナーシップの制度を利用してIPAに届け出ると良いと思います。届出に際しては「ウェブサイトの連絡窓口」を書く必要があるのですが、探しても見つからない場合は、堂々と「不明」と書いてしまって問題ありません。それでもちゃんと受理してもらえます。
情報セキュリティ早期警戒パートナーシップガイドライン (www.ipa.go.jp)には以下のように書かれています。
5) ウェブサイト運営者への連絡
なお、ウェブサイトに掲載された宛先情報をもとに電子メールや郵便、電話、FAX 等いずれの手段でウェブサイト運営者に脆弱性関連情報に係わる問い合わせを試みても、一定期間にわたり的確な答えがない場合、IPA は、その脆弱性の影響範囲や取扱い期間を考慮して取扱いを終了することがあります。
電子メール以外にも電話、FAX、郵便まで利用してコンタクトを試みていただけることになっているので、たいてい何とかなります。それでもコンタクトができずに取扱終了になってしまう場合もありますが、きわめて少数です。
※なお、ここでは「ウェブサイトに掲載された……」とありますが、このほかにもWhoisの情報を検索して連絡を試みたりもしていただいているようです。
関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
2010年1月20日(水曜日)
ハトミミ.com始動
公開: 2010年1月25日15時50分頃
噂の「ハトミミ.com」が始まったらしい?
- ハトミミ.com「国民の声」 - 内閣府 (www.cao.go.jp)
名前は「ハトミミ.com」ですが、URLは http://www.cao.go.jp/sasshin/hatomimi/ のようで。
ちなみに hatomimi.go.jp というドメインもそれはそれで取っているらしく、フォームの一部に https://form.hatomimi.go.jp/ が使われていたりしますね。使い方の意味がよく分かりませんが。
こんなアナウンスも出ています。
- 「ハトミミ.com」や「国民の声」に類似したウェブサイトについて (www.cao.go.jp)
ふつうにGoogleで「ハトミミ」を検索しても、本家(?)は上位に出てこなかったりするのですよね。ドメインを取られてしまった時点で、もう「ハトミミ.com」という名前を捨てるべきだったのではないかと思いますが……。
2010年1月19日(火曜日)
朽ちていった命
公開: 2010年1月19日12時55分頃
読んだのでメモ。
- 朽ちていった命 ―被曝治療83日間の記録― (www.amazon.co.jp)
JCOの臨界事故で被曝した大内久さんの治療の記録。
- 臨界の際、溶液を注ぐための漏斗を右手で支えていた。被曝量は8Sv(死亡率100%)。
- 当初は意識もあって普通に会話できる状態。だが、実は染色体がバラバラになっていて、細胞が再生できない
- 造血幹細胞移植は成功したが、根付いた骨髄細胞の10%に染色体の異常 (健康な人では、染色体異常は15万サンプル中2例)
- 再生のスパンが短い皮膚や粘膜に異常。剥がれた皮膚が再生しない。最終的には背中側の皮膚のみ残る。
- 血球貪食症候群が発生。
2010年1月18日(月曜日)
週刊ダイヤモンドのTwitter特集
公開: 2010年1月19日12時55分頃
今週の週刊ダイヤモンドがTwitter特集だそうで。
- 週刊 ダイヤモンド 2010年 1/23号 (www.amazon.co.jp)
表紙にアイコンが載った、という人が周囲にもちらほらと……。
※会社で定期購読しているはずなのですが、書架を何度見ても見あたらないのは誰かが読んでいるからなのだろうなぁ。
2010年1月15日(金曜日)
イマイと申します。
公開: 2010年1月19日12時55分頃
なんとなく購入。
- イマイと申します。詐欺を追いつめる報道記者 (www.amazon.co.jp)
日本テレビ「報道特捜プロジェクト」のイマイ記者の活躍を書籍化したもの。振り込め詐欺のハガキを視聴者から募り、そこに書いてある番号に電話。最初はカモのふりをしながら、何度も電話して少しずつ疑問点を追求して行き、最後には詐欺であることを認めさせるという取材の手法です。切られても切られてもしつこくリダイヤルする姿をテレビで見たことがありますね。
基本的には業者とのやりとりが淡々と続くだけの展開なのですが、これが面白い。なんと言っても面白かったのは「指詰めのマサ」ですね。住所が虚偽であることを追求すると脅迫が始まるわけですが、そこで「指詰めのマサ」なる人物の話が……。
あと興味深いと思ったのは、ほとんどの業者が電話に出ないらしいという話。放送できるような面白い展開になるケースは100件に1件くらいだそうで、かなりのレアケースのようです。
2010年1月14日(木曜日)
Adobe Readerのアップデート
公開: 2010年1月18日17時5分頃
Adobe Readerのアップデートが出ていますが、こんな記事が。
- Acrobatのアップデータは充てないで - いわもとぶろぐ (blogs.adobe.com)
なんでこんな場所で告知しているのかよく分かりませんが、そもそも、Adobeのトップページに出ている情報が「Adobe ReaderとAcrobatの脆弱性に関するセキュリティーアップデート(英語)」となっていて英語版しかないという時点で……。
ともあれWindowsでは問題ないようなので、アップデートしておきましょう。手順はこんな感じ。
- Adobe Readerを起動して、[ヘルプ] - [アップデートの有無をチェック]、あとは手順に従う
- アップデートが終わったら、デスクトップにいらないアイコンが復活しているので削除
関連する話題: セキュリティ
2010年1月13日(水曜日)
がんばれ! 消えるな!! 色素薄子さん 2
公開: 2010年1月18日16時15分頃
2巻。
- がんばれ! 消えるな!! 色素薄子さん 2 (www.amazon.co.jp)
2巻はだいぶファンタジーっぽい展開。巨大ガエルのウオサダさんとか。
あと1巻でも思ったのですが、奥付のスタイルが面白いです。確かに必要な項目が記載されていれば良いわけで、こういうのもアリなのだろうとは思いますが、この発想はなかったですね。
関連する話題: マンガ / 買い物 / がんばれ! 消えるな!! 色素薄子さん
docomoケータイのDNS Rebinding問題、全国紙で報道
公開: 2010年1月18日16時0分頃
docomoのJSケータイがDNS Rebindingで「かんたんログイン」を突破される話ですが、読売新聞で今になって報道されたそうで。
- 最新29機種ドコモ携帯、個人情報流出の恐れ (www.yomiuri.co.jp)
- ドコモ携帯、情報流出の恐れ…最新29機種 (www.yomiuri.co.jp)
スラッシュドットにも。
- ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」 (slashdot.jp)
って、この見出しだとサイト側の「かんたんログイン」の仕組みに脆弱性があるように読めますが、実際に「脆弱」なのは携帯端末の側 (あるいはドコモのゲートウェイ側に) ですよね。端末側の問題と端末固有IDを使った認証との組み合わせで発生する問題で、どちらにも問題があるのでややこしいですが。
端末固有IDの問題としては、大きく以下の2つがあると思います。
- 端末固有IDの問題点 …… 複数のサイトに対して同一のIDを送出するため、スーパーCookieとして機能してしまう (プライバシー上の問題)。
- 端末固有IDを利用した「かんたんログイン」の問題点 …… 端末固有IDは複数のサイトに対して送出されるため、秘密情報とはならない。その端末固有IDのみを使用して認証しているため、他人の端末固有IDを詐称されると認証を突破されてしまう。詐称を防ぐ仕組みが必要。
多くのサイトは、アクセス元のIPアドレスがキャリアのものかどうかを確認することで詐称を防いでいます。それで確実に防げるのか、IPアドレスの情報自体が詐称されないか、といった問題点も議論されてきましたが、いちおうはこの方法が標準になっているものと思います。
そして端末側のDNS Rebindingの問題ですが、これは簡単に言うと「正規のサイトを攻撃者のドメインであるかのように誤認させる」という攻撃です。端末は「攻撃者のドメインにアクセスしているつもりで、実は正規サイトにアクセスしている」という状態になります。正規サイトのドメインのつもりが実は攻撃者のサイトだった……となると大変で、正規サイトのCookieを読み出されてしまいますが、この場合は逆なので、できることはそれなりに制限されています。攻撃者の発行したCookieを正規サイトに送出することはできても、その逆はできません。ですから普通、DNS Rebindingでは認証がかけられていないコンテンツしか読み取れません。主にlocalhostや、プライベートアドレス上のデータを読み取るような攻撃が考えられます。
……なのですが、これが「かんたんログイン」の問題点と組み合わさると、突如として猛威をふるいます。端末固有IDは、攻撃者のサイトにも正規サイトにも同じものが送られるわけですから、攻撃者のドメイン向けに送ったつもりのIDが正規サイトに送られると、それで認証を通ってしまうわけですね。
※ちなみに、あえてアプリケーション側で対策するのであれば Host: をチェックするということになりますが、HTTP/1.0 では Host: が必須ではないので、HTTP/1.0 でアクセスしてきた場合にコンテンツが表示できなくなる可能性があります。が、docomoに限って言えば Host: は必ず送られてくるらしいので、ひとまずはこの対策で問題ないようですね。
関連する話題: セキュリティ
2010年1月12日(火曜日)
がんばれ! 消えるな!! 色素薄子さん 1
公開: 2010年1月15日16時55分頃
Amazonでオススメされていたので買ってみました。
- がんばれ! 消えるな!! 色素薄子さん 1 (www.amazon.co.jp)
タイトルが素晴らしいではありませんか。
タイトルからもっとドタバタした内容を想像していましたが、思ったよりは大人しめでした。心が安まる感じ?
関連する話題: マンガ / 買い物 / がんばれ! 消えるな!! 色素薄子さん
ドラクエ9廉価版が3月に発売
公開: 2010年1月15日16時45分頃
スクエニ「アルティメット ヒッツ」シリーズに、「ドラクエIX」など4タイトル追加 (gamez.itmedia.co.jp)。ドラクエ9 (www.amazon.co.jp)が、2010年3月4日から3000円弱ですよ。
発売から1年も経っていないのに早すぎる……という意見もありそうですが、1年経ってしまうと追加クエストの配信も終わってしまうわけでして。その状態で出されても何だかなぁという感じになりそうではあります。
2010年1月11日(月曜日)
咲 -saki- 4,5,6
公開: 2010年1月14日12時40分頃
2,3巻に引き続き。
- 咲 -saki- 4 (www.amazon.co.jp)
- 咲 -saki- 5 (www.amazon.co.jp)
- 咲 -saki- 6 (www.amazon.co.jp)
4巻が副将戦、5巻からが大将戦。6巻でもいまだ決着せず。
しょっぱなから咲が怪物過ぎる。しかし……。
大将戦では主人公の咲よりも、風越の池田華菜を応援したくなってきますね。ライバルチームの描写がかなり細かいのが良いです。
2010年1月10日(日曜日)
咲 -saki- 2,3
公開: 2010年1月14日12時5分頃
1巻に引き続き。
- 咲 -saki- 2 (www.amazon.co.jp)
- 咲 -saki- 3 (www.amazon.co.jp)
2巻がインターハイ県予選の予選~決勝先鋒戦、3巻が決勝次峰中堅。
予選では主人公の咲の活躍が全く描かれておらず、「清澄の大将はヤバイ」という噂だけなのが不気味で良いですね。
次峰戦は「みっつずつ」の人が面白かったです。最初「八萬を切っていれば8000点」という意味が分かりませんでしたが、あの手はツモ和了だから四暗刻なのであって、ロンだと最後の刻子が暗刻にならないために満貫止まりなのですね。だから放銃したほうが被害が少なかったと。
ワールドエンブリオ 6
公開: 2010年1月13日14時25分頃
出ていたので購入。
- ワールドエンブリオ 6 (www.amazon.co.jp)
5巻のラストでおおよそ分かっていたことではありますが、吾妻さんは残念でした。
鈴さんの出番がほとんどない……というか主人公たち一行の出番が全体的に少ないわけですが、6巻は基本的にタカオが主人公という感じですね。
2010年1月9日(土曜日)
咲 -saki- 1
公開: 2010年1月12日15時35分頃
ムダヅモの3巻でオススメされていた(?)ので買ってみました。
- 咲 -saki- 1 (www.amazon.co.jp)
麻雀マンガなのですが、割とふつうの青春ものっぽい感覚で読めますね。
点数計算もできないので、プラマイゼロの凄さがよく分からないです……。
2010年1月7日(木曜日)
Gumblarによる改竄発生中
更新: 2010年1月12日15時35分頃
「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。
原因・経緯(12月26日更新)
ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。
4.原因・経緯
ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。
以上、ハウス食品「採用ホームページ」に関するお詫びとお知らせ(2010年1月7日)| ハウス食品からのお知らせ | 会社情報 | ハウス食品 より
■原因・経緯(2010年1月6日更新)
弊社ホームページ制作会社のパソコンが、「Gumblar亜種ウィルス」に感染したことにより、パソコンの情報が第3者により盗まれ、対象サイトのファイルが改ざんされました。
こぞって「制作会社のパソコンが感染」となっていますね。
それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。
※……と、私は思っていますが、Gumblarにそこまで詳しくないのでイマイチ自信がありません。
ということは、以下のような状況だったということになります。
- Webサーバのファイル更新にFTPを使用している (SSH/SCPであればGumblarでパスワードが盗まれることはない)
- 社外から直接FTP接続ができる (社内限定、あるいは特殊な踏み台を経由する必要がある構成なら、攻撃者はFTPサーバにアクセスできない)
- FTP接続の接続元IPアドレスを限定していない (接続元が限定されていれば、攻撃者が感染者と同じネットワークにいない限りアクセスできない)
今時これは無いだろう……と思いたいところですが、まあ実際、そうでもなかったりするのですよね。
もちろん、しっかりやっている企業もあります。Webサーバのファイル更新をするのにRSAのトークンやクライアント証明書を渡されたりして、「ちょっとやりすぎじゃないの?」と思うことも少なくありません。
ただ、やっていない企業は本当にやっていなくて、本番サーバのFTPアカウント情報が送られてきて終わりという場合もあります。SSH/SCPならまだしも、本気で単なるFTPだったりするので驚きます。とはいえ、こちらから「FTPは嫌です」と言うのも変ですし、先方のポリシー的にOKなら従いますが……。
このへんは、会社による差が激しすぎると思うのですよね。
※2010-01-12追記: FTPを使わないことが対策になる、と言っているわけではありませんので念のため。感染しないようにすることが重要です。
関連する話題: セキュリティ
2010年1月6日(水曜日)
ダブルドライバー
公開: 2010年1月7日14時40分頃
「仮面ライダーW」変身ベルト 品切れ続出で「父サンタ」涙 (www.j-cast.com)……なんて話があったそうで。これですね。
- 仮面ライダーW 変身ベルト DXダブルドライバー (www.amazon.co.jp)
弊社には、これを紙で自作したという父親が……。
テレビは見たことがないのですが、USBメモリ(?)を刺して変身するのは格好良さそうです。なーんて話をしていたら、後ろから「なんか感染しそう」という声が。
関連する話題: 与太話
MTのセキュリティアップデート(詳細不明)
公開: 2010年1月7日14時15分頃
MTにセキュリティアップデートが登場しているようで。
- JVN#09872874 Movable Type におけるアクセス制限回避の脆弱性 (jvn.jp)
- [重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始 : Movable Type News - Six Apart (www.sixapart.jp)
サインインしたユーザーが特殊な操作をおこなうと、権限のない一部の管理画面にアクセスすることができる。
以上、[重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始 : Movable Type News - Six Apart より
「一部の管理画面」が何なのかによって、影響の大きさがだいぶ違うと思うのですけれど。せめて、どういうことが可能になるのか書いてほしいです。
業務で使用している場合、結構困るのですよね。影響が大きくて対応必須なら、保守費を使ってアップデートや動作テストの作業をする必要があります。影響が小さければ、スルーして別のことにお金を使うべきかもしれません。その判断をするためにソースを読んで解析するのは厳しすぎます……。
※そもそも、業務で使うことはあまり想定してくれていないのかなぁ。
関連する話題: セキュリティ / Movable Type
2010年1月1日(金曜日)
FF13:意外に強かったサッズ
公開: 2010年1月6日14時10分頃
FF13 (www.amazon.co.jp)、2周目11章まで。
2周目をプレイしてみると、いろいろな発見があります。まず、ボス戦でまったく負けなくなりました。特に召喚獣との戦闘、1周目では何度も死んで非常に苦労していたのですが、2周目ではことごとく1発クリア、しかも楽勝。能力的には1周目と変わらないはずなのに楽勝になっているのは、ひとえにプレイヤースキルが向上したためでしょう。RPGのくせに、戦闘がプレイヤーのスキルに大きく左右されるゲームです。
それからもう1つ、サッズが実は使えるということ。
1周目はライトニング、ファング、ヴァニラの3人を使っていました。最強アタッカーのファングを入れて、あとはヒーラーが2人ほしいしジャマーが強いしホープだとHP低いし……と考えると、だいたいこんな感じのパーティーになるのではないかと思います。ストーリー上、個人的に気に入っていたキャラはサッズだったのですが、サッズはHPこそあるものの、攻撃力が低いしヒーラーはできないし、ということで入れていなかったのですね。
※FF13をプレイしていない方向けの参考: 「誰も予想できなかった、衝撃の「エリクサー箱買い」画像 (gamez.itmedia.co.jp)」。フィーバーしているのがサッズ。画像だけだとアレですが、実に良いキャラなんです。「ガキの仇でもよ、ガキは撃てねえよ……」という台詞はFF13の中で最も印象に残りました。
で、2周目は戦力のバランスを気にせず、好きなサッズを入れてみたわけです。そうしたらこれが強いこと。
サッズのエンハンサーって「ヘイスト」と「ブレイブ」しか利用価値がないと思っていましたが、実は強かったのが「エンブリザ」などの属性付与。今作ではほとんどの敵に弱点属性があり、中には全属性が弱点という敵もいます。ファングの武器に属性がつき、さらにブレイブもかかるとダメージがおそらく3倍くらいになります。ライトニング+ファングの攻撃力と、ファング3人分の攻撃力では比較になりません。ブレイクしていない敵を殴っても5桁のダメージを出したりして、バンバン倒してしまいます。
また、意外な強さを見せたのが「ガッツ」。ガッツがかかると殴った敵がのけぞりやすくなり、こちらは殴られてものけぞりにくくなります。効果は非常に地味なのですが、ガッツ状態で敵をガンガン殴っていると、ほとんどダメージを受けずに敵を倒せます。回復の必要自体が減るので、ヒーラーが1人しかいなくても何とかなるようです。また、強烈な属性攻撃に対しては「バサンダ」などの属性防御も使えます。
1周目では終盤のザコがやたら固いと感じていましたが、2周目では戦闘が終わるのがかなり速くなりました。もうサッズ無しではいられないかも……。
……なお、ホープもヘイストやブレイブ、エン系のアビリティを覚えるので同じ事ができそうなのですが、ホープの場合はプロテスやシェル・ベールなどの防御系を優先するので、攻撃の強化が遅くなってしまいます。ボス戦では良いのですが、ザコ戦ではサッズに分があるようです。
- 前(古い): 2009年12月のえび日記
- 次(新しい): 2010年2月のえび日記