水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年12月

2010年12月

2010年12月30日(木曜日)

THE LAST STORYと動画共有サイト

公開: 2011年1月2日1時55分頃

1月27日に発売予定のWiiのゲーム「THE LAST STORY(ラストストーリー) (www.amazon.co.jp)」ですが、プレゼンテーションをUSTREAMで中継する試みが行われたようで……「 12月27日、「THE LAST STORY」プレゼンテーションをUSTREAMで生中継 (gamez.itmedia.co.jp)」。あいにく私は生では見られなかったのですが、映像は任天堂のサイトで見ることができます。

というわけで見てみたのですが、これはなかなか面白そうですね。「社長が訊く『ラストストーリー』 (www.nintendo.co.jp)」のインタビュー記事もあったのでそちらも読んだのですが、興味深いお話が。

松本
そうですね。『ラストストーリー』を遊ばれた方の動画を見て、「こんなプレイ方法があったのか・・・!」という反応が楽しみです。

(~中略~)

坂口
それぞれのお客さんがカメラアングルを少し工夫できるんです。すると動画共有サイトなどでプレイ動画を見た方は「どうして同じシーンなのにカメラの動きが違うんだろう?」って感じてもらえると思います。

(~中略~)

坂口
そうですね。だから『ラストストーリー』では、人によって違うプレイ動画をつくれるようにすることで動画を見た人が「自分ならどうするかな」と考え、プレイする新たな動機につながればと思っています。

以上、社長が訊く『ラストストーリー』 その3:坂口博信さん 松本卓也さん 3. 遊び手の数だけ、遊び方がある より

もう最初から動画共有サイトの存在を前提にして作っていたと。プレゼンテーションもUSTREAM配信したのも、この狙いがあってのことなのでしょう。

アイドルマスターが動画でブレイクしたのは、もうだいぶ昔の話ですす。最近では、発売前にもかかわらず「大丈夫だ、問題ない」がネット流行語になってしまったエルシャダイの例もあります。もはや、ゲームのプロモーションは動画サイトの存在込みで考えるべき時代なのかもしれませんね。

関連する話題: ゲーム / Wii / ラストストーリー

2010年12月28日(火曜日)

はるみねーしょん2

公開: 2011年1月1日0時10分頃

読んだのでメモ。

相変わらずの濃い絵とべたべたなダジャレ。内容がビックリするほど印象に残りませんが、それもまたよし。はるみの「\やべぇ/」がずいぶん減少している感じがするのがちょっと寂しいかも。

ちなみに限定版 (www.amazon.co.jp)ははるみフィギュア付きだそうです。

関連する話題: マンガ / はるみねーしょん

信蔵さん、日本政府の海外向けウェブサイトに落胆する

公開: 2010年12月31日23時45分頃

福井信蔵さん、日本政府のウェブサイトを語る (togetter.com)」。

現状では省庁がそれぞれ発注して作ったりしているので、横の連携もないし全体を見る余地もないわけですね。

何とかする方法はあるのでしょうか……。

関連する話題: Web

2010年12月27日(月曜日)

村木事件最高検検証と検察リーク

公開: 2010年12月31日20時55分頃

村木事件最高検検証の全文、検察庁のサイトで公開されていますね。もっとも、紙をスキャンしっぱなしのPDFのようですが……。

全体的に日本語が非常に厳しいです。たとえば、証拠改竄の意図、動機についてはこんなふうに書かれています。

また、前田検事が、A氏が本件に関し無実であることを認識しながら、殊更A氏を罪に陥れる意図を有していたか、という点に関しては、前記のとおり、前田検事は、本件の捜査の開始に当たり、大坪部長の指示により、A氏の検挙を最低限の使命として、それを達成しなければならないと考えながら捜査を進めたものであり、また、前田検事の判断については、前記のとおり、供述証拠と客観的証拠の整合性を軽視するなど、証拠関係の評価に問題があったものと認められるが、本件の捜査の経緯や証拠関係等からすると、前田検事によるそのような証拠の評価自体がありえないとまで言うことは困難であり、前田検事がA氏の後半の紛糾及び上司の叱責を避けるために本件FDのデータを改ざんしたという供述を覆すに足りる積極的な根拠も存在しないことからすると、前田検事において、A氏の関与がなかった、あるいはその関与がなかったかもしれないと、現実に考えていたと認めることは困難である。

これで一文なんですよね。途中何を言っているのか良く分かりませんが、結論としては「村木さんが犯人だと思ってました」ということなんですかね。良く分かりません。

この検証報告に対する村木さんのコメントも出ています……村木厚子さんのコメント全文 (www.47news.jp)

ところで、個人的に気になったのは「適正化のための方策」のこの部分です。

5. 当初の見立てに固執することなく、証拠に基づき、その見立てを変更し、また、引き返す勇気を持って、その捜査から撤退することなど、適切な指導及び決済の在り方を周知徹底する。

この部分に関連して、ちょうど良いタイミングでこんな話が出ていますね……「元検察官、三井環さんが語る「リーク」の実態 (jbpress.ismedia.jp)」。

「こっちが話を作る必要もないんだ。ちょっと話をリークすると、60%はホント、後の40%はふくらましや憶測で記事を書いてくれる。1社だけにリークして特ダネで書かせると、他社が追いかける。そうやってだんだんと話が大きくなる」

──世論の追い風が必要なのですね。

「そうやって記事が出ると、もうどんどんクロというか、有罪のような認識が広まるでしょ。被疑者じゃない関係者の協力を得る時でも、そうやって周りが騒いでいると、抵抗しにくいというか、そっちの流れになっていくんです」

被疑者が既に有罪であるかのようなマスコミ報道をよく見かけますが、検察はそういう報道が出ることを狙って意図的にリークしている場合があるというお話。ストーリーを作った後で、こうやってマスコミも共犯にして広めてしまうわけですから、なおのこと無かったことにしづらくなりますね。

関連する話題: 法律 / 思ったこと

私的録画補償金支払い拒否訴訟で東芝勝訴、しかし……

公開: 2010年12月30日22時45分頃

デジタル専用のDVDレコーダーに対する私的録画補償金の支払いをメーカーが拒否していた事件、一審判決が出たようで。

私的録画補償金というのは、著作権法30条2項で定められているものです。

2  私的使用を目的として、デジタル方式の録音又は録画の機能を有する機器(放送の業務のための特別の性能その他の私的使用に通常供されない特別の性能を有するもの及び録音機能付きの電話機その他の本来の機能に附属する機能として録音又は録画の機能を有するものを除く。)であつて政令で定めるものにより、当該機器によるデジタル方式の録音又は録画の用に供される記録媒体であつて政令で定めるものに録音又は録画を行う者は、相当な額の補償金を著作権者に支払わなければならない。

以上、著作権法第30条2項 より

しかし、デジタル録画専用機の場合、全てのコンテンツにコピーコントロールがかかります (ダビング10)。法の趣旨としては、デジタルは劣化なしに無制限にコピーできるから補償金の対象なのであって、コピーを制限している場合は補償金の対象にすべきでないのではないか……というのが争点のひとつです。

それから、メーカーの協力義務については著作権法第104条の5に規定があります。

第百四条の五  前条第一項の規定により指定管理団体が私的録音録画補償金の支払を請求する場合には、特定機器又は特定記録媒体の製造又は輸入を業とする者(次条第三項において「製造業者等」という。)は、当該私的録音録画補償金の支払の請求及びその受領に関し協力しなければならない。

以上、著作権法第104条の5 より

この「協力しなければならない」という規定には強制力があるのかどうか、というのがもう一つの争点ですね。

で、結論としては、このような判示がなされたようで。

大鷹裁判長は判決理由で「デジタルDVDレコーダーは、利用者が著作権料を負担すべき機器に該当する」と述べ、著作権法施行令が定める補償金徴収の対象機器に当たると認定。そのうえで「著作権法はあえて『協力』という抽象的な文言にとどめており、法的強制力を伴わない義務と解すべきだ」と結論付けた。

以上、デジタル録画機の著作権料訴訟、支払い拒んだ東芝勝訴 東京地裁判決「法的強制力はない」 より

30条については「デジタル専用でも補償金の対象」という判断をしつつ、しかしながら104条の5については「あくまで協力であり、強制力はない」という判断をしたわけですね。まあ、文言をストレートに解釈すればそうなるだろうとは思いますが。

しかしこれ、よく考えると「メーカーには徴収義務はないが、利用者には支払い義務がある」という話なので、利用者としては負けているも同然のような……。

※もっとも、実際にはメーカーの協力なしに徴収するのは難しそうですが。

関連する話題: 法律

2010年12月26日(日曜日)

取り調べの可視化と嘘の自白

公開: 2010年12月30日22時10分頃

図書館の事件でも警察の捜査のあり方について議論されていますが、昨日から今日にかけて、また別な警察の話が盛り上がっていたようです。

警察の態度云々はいったん置いておくとして、興味深いと思ったのは取り調べ可視化の話です。「犯人を自白させるためにはある程度強圧的な取り調べが必要だ」「強圧的な取り調べができなくなると警察の捜査にマイナスだ」という考え方をお持ちの方もいらっしゃるようで、興味深いですね。

まず知っておいたほうが良いと思うのは、やってもいない犯罪について、自分が犯人であるかのような嘘の自白をしてしまう人がいるということです。最近の事例では、足利事件の菅谷さんが「自白」していたことが記憶に新しいでしょう。

強圧的な取り調べは、真犯人よりも、犯人でない人からの自白を引き出しやすくなります。真犯人は「自白したら有罪になる」と分かっていますから、厳しい取り調べにも頑張って耐えます。それに対し、無実の人は、無実であるが故に「真実は必ず明らかになる。たとえここで嘘の自白をしても、裁判で自分の無実は証明されるはずだ」などと考えてしまいます。

このあたりのメカニズムは「自白の心理学 (www.amazon.co.jp)」で詳しく述べられていますので、興味のある方は一読されると良いのではないかと思います。

※このメカニズムは、「人狼」というゲームを知っている人には理解しやすいかもしれません。偽者は偽者であるが故に、本物だと信じてもらうために最大限の努力をします。それに対し、本物は本物であるが故に「信じてもらえるはずだ」という油断が生じやすいものです。結果として、偽者のほうが信頼されるということがよく起こります。

嘘の自白は恐ろしいものです。無実の被疑者の人生を大きく狂わせるのはもちろんですが、それだけではありません。嘘の自白は、真犯人を逃がしてしまいます。実際、多くの冤罪事件では真犯人がみつかっていません。嘘の自白を回避することは、警察や社会にとって大きなメリットになるはずです。

嘘の自白を見破ることは可能です。真犯人でなければ知り得ないことを知らないわけですから、自白の過程で不自然な供述が出てきます。その不自然な部分は誘導によって修正され、最終的な供述書には残りません。ですが、過程を記録しておけば、自白が不自然でないかどうか検証することができます。取り調べの可視化は、嘘の自白を見抜くために大きく役立つはずです。

ただし、取り調べの可視化を行うと、見かけ上は未解決事件が増えるおそれがあります。以前ならニセの犯人を有罪にして終わっていたはずの事件が、未解決で終わる可能性があるからです。また、証拠がない事件をムリヤリ有罪に持って行くことが難しくなるかもしれません。

とはいえ、そもそも日本国憲法38条にはこんなことが書いてあるわけで……。

第三十八条  何人も、自己に不利益な供述を強要されない。

○2  強制、拷問若しくは脅迫による自白又は不当に長く抑留若しくは拘禁された後の自白は、これを証拠とすることができない。

○3  何人も、自己に不利益な唯一の証拠が本人の自白である場合には、有罪とされ、又は刑罰を科せられない。

以上、日本国憲法 より

「どう考えても怪しい奴が、証拠がないという理由で無罪になっても良いのか?」と思われる方もいるかもしれません。その疑問に対しては、私は明確に「それで良い」と考えます。そもそも、証拠もないのに「どう考えても怪しい」と思うこと自体がおかしいわけですが……。

関連する話題: 法律 / 思ったこと

2010年12月25日(土曜日)

ぐーぱん! 3

公開: 2010年12月27日1時10分頃

購入。

全体的に暴力沙汰がなりを潜めて方向性が定まってきた……? と思いきや、なんと最終巻なのですね。

テーマパークに行く話が面白かったです。

関連する話題: マンガ / 買い物 / ぐーぱん!

2010年12月24日(金曜日)

マークアップエンジニア募集中

公開: 2010年12月27日0時35分頃

マークアップエンジニア募集中です。

マークアップエンジニアの募集は久々だと思います。来てみたいと思う方はこの機会に狙ってみては。

関連する話題: bA

ゲームセンターCX DVD-BOX7

公開: 2010年12月26日23時55分頃

購入しました。

未プレイのゲームが多めでした。私がプレイしたのは「スーパーマリオ64」と「夢工場ドキドキパニック」くらいですね。

しかし、よくぞ夢工場を選んだ! 「スーパーマリオUSA」ではなく、オリジナルの夢工場だったのが私の中では高得点です。スーパーマリオUSAはバーチャルコンソールで遊べるのに、夢工場は出ていませんしね。

しかし、わりとあっさりクリアされてしまって、やや物足りない感じ。マリオ64も結構あっさりクリアされてしまったような気がします。まあ、スター120個にチャレンジしているわけではないので、難しいところはスルーできるわけですが……レインボークルーズの100枚コインとか挑戦してほしかったですね。

※今回は全体的にあっさりクリアしている感じがしましたが、よく考えると悪魔城伝説の1ステージ7時間半足踏みとかあるのですよね。

関連する話題: 買い物 / DVD / ゲームセンターCX

2010年12月22日(水曜日)

検索エンジンごとのSEO?

公開: 2010年12月26日23時55分頃

こんな記事が……「【ネット・メディア】勃興SNS経済圏、勝つのはここだ (business.nikkeibp.co.jp)」。

理由は様々だ。まず、コンサルティング料金の下落。これまで日本ではヤフー、グーグルがシェアを2分していたため、2つの検索エンジンに対して最適化をする必要があった。グーグル製検索エンジン1つになると、クライアント側から料金の下げ圧力がかかる可能性がある。

えっ? まっとうなSEOで「2つの検索エンジンに対して最適化」なんてことはしないと思いますが……。検索エンジンごとに最適化、という話が本当だとすると、それはクローキングのようなブラックSEOの手法なのでは。

関連する話題: Web / SEO

2010年12月21日(火曜日)

二ノ国とマジックマスター

公開: 2010年12月26日1時55分頃

何故ニノ国は値崩れしそうなのか (allabout.co.jp)」。

DS版「二ノ国 (www.amazon.co.jp)」が初回出荷60万本に対して初週17万本の売上げで、その消化率は28%というお話。そして、60万本も出荷した理由は付属する本「マジックマスター」を大量に刷るためで、マジックマスターの目的はマジコン対策ではないか、という分析ですね。

実はこのマジックマスターという本、マジコン対策ではないか、と言われています。マジコンとは、ゲームデータをコピーして使うことができるツールですが、商品を買わずに違法にコピーしたゲームデータで遊ぶユーザーがいることで大変な問題になり、販売業者などを相手にした訴訟も起きています。

こういった状況に対し、マジックマスターという本は意味を持ちます。何しろ、この300ページ以上もある立派な本がなければゲームを攻略できないとなれば、マジコンでコピーしたゲームだけを持っていても意味がありません。

以上、何故ニノ国は値崩れしそうなのか - マジコンを潰すマジックマスター より

実はマジコン対策というのは情報セキュリティの分野とも関わりのある話で、とあるセキュリティ系の会合でも「二ノ国」の「マジックマスター」の話が出ていたりしました。最近、Q&Aサイトなどでは「二ノ国の魔法指南書の内容を掲載しているサイトを教えてください!」「二ノ国に付属の本を母親に捨てられてしまいました!」というような質問がよく見られるそうですが、こういう質問があるということは、対策はある程度功を奏しているということなのでしょう。

そのマジックマスター、店頭で見本を手に取ってみたことがありますが、ハードカバーのゴツイ装丁で結構かさばるのですよね。雰囲気は出ていて良いと思うのですが、どう考えても電車の中でプレイするのは厳しいと思います。携帯しなくて良いならPS3版 (www.amazon.co.jp)を待つという選択肢もあるので、そういう意味でも敬遠されるのではないかなぁと思っていたりしますが。

でも、すごく安くなったら買うかもしれないですね。

関連する話題: ゲーム / セキュリティ

2010年12月20日(月曜日)

ダウンロード購入すると品質の悪いモノをつかまされる

公開: 2010年12月26日0時40分頃

こんなお話が……なぜデジタルコンテンツが売れないか?DRMがダメか (d.hatena.ne.jp)

コンテンツには、お金を払いたいと思ってくれているお客に、お金を払ってないユーザよりも質の悪い商品を売りつけているのがいまのコンテンツ業界だ。だから、ネットではデジタルコンテンツにお金を払う人間は「お金を払ってわざわざ不便を買っている」と笑いものにされているのだ。

……完全に余談なのですが、JIS X 8341-3:2010をダウンロード購入すると、PDFに利用者として許諾された者の氏名が入ったりして、なんか非常にダサイものをつかまされます。各ページの冒頭にこんなのが入るんですね。

ご使用者 太田 良典 (株式会社ビジネス・アーキテクツ)

JSA Web Store order No.XXXXXXXXX / Downloaded:2010-08-20

「ユーザーライセンス契約」に従ってご使用ください。

ページをめくるたびに「ユーザーライセンス契約に従え」と言われるわけですよ。ちなみにユーザーライセンス契約の全文は以下のURLにあるPDFで読むことができます。

こういう規定もありますよ。

(e) 使用者はJSA 又はJSA の指定する代理人あるいは会計士に対して、契約の規定の遵守を保証するために必要なすべての情報を提供するものとします。また、使用者は、JSA 又はJSA の指定する代理人あるいは会計士が、本契約に従った使用をしているか調査するために、使用者の会社・事業所等建物内に立ち入って製品を使用しているコンピュータを監査することに同意します。

以上、http://www.webstore.jsa.or.jp/webstore/Com/html/jp/userlicense.pdf より

読めば読むほど泥棒扱いされているような気になってきますね。

しかしそもそも、なんで日本工業規格が有料なのですかね……。冊子の場合に実費でというのは分かるのですが、ダウンロードなんかタダでどんどん配ればいいのに。規格を広めたいという気持ちはあんまりないのでしょうか?

※しかもJIS X 8341-3:2010の場合、規格の内容はWCAG2.0に対応しているのでWCAG2.0を読めばだいたいなんとかなるし、元より解説がついていないので単体で内容を理解することもできないですし……。

関連する話題: 思ったこと

Pマークに意味はある?

公開: 2010年12月26日

こんなお話が……「「Pマーク」終了のお知らせ - MDIS 個人情報公開しても [Pマーク更新] (togetter.com)」。

Pマークを取得すると、個人情報の取り扱いに関するコンプライアンス・プログラム (CP) を作って運用することが求められます。策定するだけではダメで、定期的に従業員に教育を行ったり、様々な記録をつけたり、といった実践が求められます。

CPの運用がきちんとしていても、何らかの事故で個人情報が漏洩してしまうことは起こりえるでしょう。その場合には、CPがきちんと運用された上で起きてしまったのか、事故後もきちんとCPに沿った調査や報告等の対応が行われたか、といった点が問題になってきます。事故が起きてもOKというわけではありませんが、事故が起きたから即NG、というわけでもありません。

今回の話はどうなのでしょうか。たりきさんの「MDIS が謝罪したようです (d.hatena.ne.jp)」というお話を見たりすると、うーん、CPの運用に関してもいろいろと疑問点はありそうですが。

あと、気になったのはこのあたり。

まあ、実際そんな時期があったわけですが……。SIerやWeb屋の場合は自ら個人情報を収集する訳ではないので、「電通対応のためにPマークは取るけど、私らにはあんまり関係ないよね」という感じの空気で運用されている場合がありますね。

※それでも、個人情報を収集しているサイトのDBにアクセスする場合なんかは気を遣うと思いますけど……これは、Pマークの有無にかかわらず、普通は気をつけますよね。

ちなみに、電通対応でPマークを取得した企業の多くは、ちょうど更新の時期にさしかかっています。中には「Pマークは金がかかるだけで無意味」と考えて、更新をせずに返上する (自然消滅を待つ) という決断をした企業もあるようです。

「Pマークって意味あるんですかね?」というのは、この数年、私自身が何度も口に出した台詞なのですが、はてさて。

関連する話題: プライバシー / 思ったこと / 岡崎市立中央図書館事件 / librahack

2010年12月18日(土曜日)

アステカの儀式をやめさせるのは簡単ではない

公開: 2010年12月25日21時15分頃

こんなツイートが。

ふと思い出したのは、アステカの話です。

14世紀~16世紀頃の中央アメリカに栄えたアステカ文明では、いわゆる人身御供、人間を生贄に捧げる儀式が行われていたと言われています。アステカの人々は、生きた人間の心臓を太陽に捧げなければ、太陽が消滅して世界が滅んでしまうと信じていたと言います。

この生贄は、現在の私たちの目には必要のないものに見えます。しかし、仮に私たちが「この儀式には意味がない」と諭したとして、彼らは儀式をやめたでしょうか。おそらく、「儀式をしなければ世界が滅ぶ」と言って強く抵抗されたはずです。その教えを強く信じている人たちに、儀式をやめさせることは非常に難しいことだと思います。

これは何百年も前のアステカ文明の話ですが、現在も似たような話はあちこちにあるような気がしています。「やめたら大変なことになる」という恐怖に支えられた信仰を取り除くことは、現在の科学の力を持ってしても非常に難しいことだと思います。

関連する話題: 思ったこと

2010年12月16日(木曜日)

サービス妨害攻撃の対策等調査

公開: 2010年12月23日23時40分頃

IPAからDoS攻撃に関する報告書が出ましたね……「サービス妨害攻撃の対策等調査」報告書について (www.ipa.go.jp)。事例が出ているのが興味深いですね。どれも有名な事例なので、普段からセキュリティ方面の情報を追っている人には既知の話かもしれませんが。

しっかりと期待に応え、あの事例も掲載されております。

この事例は、あるソフトウェア開発者が、国内のある公共施設のWebサイトに対し、サービスを利用する目的で、自作のプログラムによって機械的に繰り返しアクセスしたところ、当該サイトで他の利用者が閲覧しにくくなる障害が発生した。このため、公共施設からDoS攻撃と受け取られて、被害届を出されたが、取調べの結果、不起訴処分となったものである。事件の経緯は、新聞記事等で紹介されている(参考文献[7][8][9]) 。

この事例の評価はこんな感じのようです。

この事例は、アクセスを行なった当事者に当該公共施設のWebサイトのサービスを妨害しようという意図が存在しなかった(あるいは確認出来ない)ことから、1.2節で示したDoS攻撃の定義に準拠すれば、「DoS攻撃」の事例とはいえない。また、アクセスの質的及び量的な面から考慮する6と、本事例を「DoS」とすることの妥当性にも疑問がある。

(~中略~)

この事例では、関係者(アクセスを行った当事者及びアクセスを受けた公共施設)の被った損失のほかに、インターネット技術や文化といった面からも影響が及ぶことが危惧されている。すなわち、こうした事例が今後も発生するようであれば、マッシュアップ7をはじめとした技術開発のモチベーションに深刻なダメージを与えるかもしれない、という観点である。 したがって、今後このような事態を避けるために、サイト運営者側(以下「サイト側」という。)としては以下ような対策を検討しておくことが重要である。

これはまあ妥当な評価だと思いますね。「DoS攻撃?」と思ったときの対応方法も書かれていますので、関係者の方(?)にはぜひ参考にしていただきたいと思います。

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack / 思ったこと

2010年12月15日(水曜日)

トルネのTwitter連携

公開: 2010年12月23日17時0分頃

トルネ (www.amazon.co.jp)のアップデートでTwitter連係機能が追加されたようで……「torne」ver.2.10“ライブ”にアップデート――12月15日に実施 (gamez.itmedia.co.jp)

というわけでアップデートして使ってみましたが、おおむねこんな感じです。

気になったのはこんなところ。

私は基本的に録画装置として使っているので、録画再生時に使えないとあんまり面白くないですね……。

関連する話題: セキュリティ

2010年12月14日(火曜日)

警察の過剰な活動による萎縮効果

公開: 2010年12月23日17時0分頃

やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) (takagi-hiromitsu.jp)」。客観的に見て故意の攻撃とは思えないアクセス者を警察が逮捕勾留すれば、技術者が萎縮して同種のサービスを「自粛」するのではないか……という議論はずっと出ていましたが、その実例があったというお話ですね。まあ、そりゃそうでしょう。

この例では個人が自主的にサービスを取りやめたようですが、組織から圧力があったりするケースもありますしね。

スラッシュドットでは、匿名の方が

悪質と疑われて当然の事例だ。当然逮捕もされるわな。

それでクローラ技術を萎縮させるだと?笑わせるな。

以上、http://slashdot.jp/comments.pl?sid=515262&cid=1866850 より

……などという力強いコメントを書き込まれていたりもしたようですが、おそらく、この手の事件で圧力を受けた経験をお持ちでない方なのでしょう。ある意味うらやましいです。

関連する話題: セキュリティ / 岡崎市立中央図書館事件 / librahack

2010年12月10日(金曜日)

最近のIE6対応

公開: 2010年12月20日21時0分頃

こんなお話が……「IE6対応をやめて"死ねよ的気分"を解消しよう (togetter.com)」。

最近は大企業のクライアントも「IE6はもういいか」と思っていることが多いようで、IE6でベストビューを担保することはほとんど求められなくなりました。情報の取得に問題がなければ、多少の崩れは許容してもらえることが多いです。個人的にはそんなに困っている感じでもないですね。

とはいえ、IE6で表示を確認する必要はあるわけで、そこであまりにも崩れているとショックではあります。話題の発端である「死ねばいいのに、IE6」という発言も、べつにクライアントに「IE6対応しろ」と言われたわけではなくて、表示確認したらひどかったので思わず漏れてしまったものです。

マージンの差異程度のちょっとした崩れであれば放置しますが、崩れ方が目立っていて、かつ簡単な対応で対応可能であれば、その場で対応してしまうことも多いです。そういう意味で、私はIE6対応の作業をしているとも言えますし、本気での対応はしていないとも言えますね。

関連する話題: Web / UA / IE6

パスワード定期変更の効果

公開: 2010年12月19日17時15分頃

こんなお話が……「続パスワードの定期変更は神話なのか (d.hatena.ne.jp)」。

よく「パスワードを定期的に変更する」ということが推奨される場合がありますが、たとえ定期的に変更しても、直感的に感じるよりもかなり低い効果しか得られないというお話。もうちょっと細かく出されている方もいらっしゃるようで……「パスワード定期変更云々 (d.hatena.ne.jp)」。変更の頻度をいくら上げても一定値に収束するだけであって、危険性をゼロに近づけることはできないと。

「それでも変えないより変えた方がより安全になるのではないか」という反論もあろうかと思いますが、定期変更する場合、利用者の側にパスワードを考える負担が生じます。もし、「定期的に変えるのだから短くても覚えやすいパスワードの方が良い」と考えられてしまうのであれば、それは逆効果になりかねません。

定期的に変えることよりも、パスワードを長くする、アカウントロックするといった手法のほうが、より低い負担でより高い効果が得られるということです。

※ちなみに、ここで言っているのはネットワークで利用されるパスワードについての話であって、ローカルで思う存分解析できるような場合はまた別の話になります。

関連する話題: セキュリティ

2010年12月9日(木曜日)

Movable TypeのSQLインジェクション

公開: 2010年12月12日20時10分頃

Movable Typeに脆弱性だそうで、アップデートが提供されています。

XSSは良くありましたが、SQLインジェクションとは珍しいですね。「「Movable Type」におけるセキュリティ上の弱点(脆弱性)の注意喚起 (www.ipa.go.jp)」によると、本件はベンダー自ら報告したもののようで。

本脆弱性情報は、2010年12月2日にIPAが製品開発者自身から脆弱性および対策情報の連絡を受け、JPCERT/CCが製品開発者と調整を行い、本日公表したものです。

しかしそのわりに、肝心な脆弱性に関する情報はあんまり詳しく出ていないですね。カスタマイズして導入しているケースもありますので、影響範囲や攻撃が成立する条件、回避策の有無くらいは公表してほしいところなのですが……。まあ、ソースコードを調べれば分かるといえば分かるのですけどね。

※しかしめんどくさい。

関連する話題: セキュリティ / Movable Type

進撃の巨人 3

公開: 2010年12月12日2時0分頃

3巻が出たので購入。

「人類にとっての大きな進撃」が始まる……と思いきや、いきなりピンチとか。またしても続きが気になる終わり方ですね。

関連する話題: マンガ / 買い物 / 進撃の巨人

2010年12月8日(水曜日)

侵略! イカ娘8

公開: 2010年12月10日0時40分頃

8巻が出たでゲソ。

海の使者なのに普通にクラゲに刺されているのがおかしいじゃなイカ。あとは「うんこ花火」で爆笑とか。それで爆笑できるのは小学生とイカ娘だけではないかと……。しかしやはり最後の栄子ぶち切れが一番印象深かったです。

※どうでもいいですけどセーブデータ話でHPがMPになっている箇所がありますね。キャラ名がFF6っぽいですが……。

関連する話題: マンガ / 買い物 / イカ娘

2010年12月5日(日曜日)

静岡ガンダム

公開: 2010年12月3日12時50分頃

昔お台場にあった等身大ガンダム、今は静岡にあるらしいですよ。

というわけで行ってみました。

真下に入って足に触ったりすることもできます。

たまに目が光ったり頭部が動いたり湯気が出たりするようです。

実はお台場にあったときは会社のオフィスから見える位置にあって、双眼鏡で見たりしていたのですが、近くで見るとさすがに迫力がありますね。

関連する話題: 出来事

2010年12月1日(水曜日)

Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性

公開: 2010年12月3日12時50分頃

こんなアナウンスが出ていますね……【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について (www.fenrir.co.jp)

Sleipnir、Grani には、デフォルトの設定でウェブサイト側からクリップボードの内容が盗聴・改竄されるおそれがある脆弱性が存在します。

本日 15:00 に差し替えを行いましたので、上書きインストールを行うか、下記の設定を変更して下さい。

(~中略~)

1. IE6 以前を使用している場合

「ツール」メニューから「インターネットオプション」を選ぶ。

「セキュリティ」タブを選び、「レベルのカスタマイズ」ボタンを押す。

「スクリプト」の項目にある「スクリプトによる貼り付け処理の許可」の項目を「無効にする」または「ダイアログを表示する」に設定する。

※「インターネットオプション」の設定を使用するため「Sleipnir(Grani) オプション」で設定の必要はありません。

これ、IEの「スクリプトによる貼り付け処理の許可」の設定ですね。IE6のデフォルト設定が危険であることはよく知られていると思いますが、Sleipnir、Graniはこの設定のまま動いてしまっていたという話なのでしょう。「スクリプトによる貼りつけ処理の脆弱性で Sleipnir/Grani/TB-8 が差し替え (pnir.sitemix.jp)」によると、新バージョンではSleipnir、Grani側でその設定を上書きする設定があり、それがデフォルトで「ダイアログ表示」になっているようです。

これ、普通に考えるとむしろIE6の脆弱性のような気もしますが……。これがSleipnir、Grani側の脆弱性なのだとすると、

(2) 「スクリプト」項目の[Javaアプレットのスクリプト][アクティブスクリプト][スクリプトによる貼り付け処理の許可]で、それぞれ[有効にする]を選びます。

以上、Yahoo! JAPANのページ全般 ヘルプ - JavaScriptの設定方法 より

……なんて書いているサイトはどうなるのでしょうね。

※以下、2010-12-04追記

……と思っていたのですが、ちょっと違っていたようです。Sleipnir/Graniの旧バージョン使用かつIE6SP1の環境では、インターネットオプション側で「ダイアログを表示する」にしていても「有効」にされてしまうのだそうで (Re:「Sleipnir/Grani、スクリプトによる貼りつけ処理に関する脆弱性」)。これなら、Sleipnir/Grani側にも問題があると言えそうですね。

練炭さん、情報ありがとうございました。

関連する話題: Web / セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト