水無月ばけらのえび日記

美味しんぼ 104

公開: 2010年3月7日13時15分頃

出ていたので。

• 美味しんぼ 104 (www.amazon.co.jp)

海原雄山は、激怒すると大声を上げたり杖で殴ったり小鉢を投げつけたりする人だったはずなのですが、ずいぶん大人しくなったものですね。

環境問題特集ということですが、議論されているのはだいたいこんな感じ。

……こうして見ると、海原雄山は糾弾の論調は強いものの背景の議論がボロボロで、なんか明らかにダメなような気がするのですが、気のせいでしょうか……。

※あと、汚染の話をした直後に食べ物が出てきても、心理的にあんまりおいしそうに感じないという問題がありますね……。

• 「美味しんぼ 104」にコメントを書く

関連する話題: マンガ / 買い物

うぃずりず 4

公開: 2010年3月7日11時10分頃

4巻が出ていたので購入。

• うぃずりず 4 (www.amazon.co.jp)

そろそろ大詰め……なんですかね。A/Bパート進行の表現はちょっと面白かったです。

• 「うぃずりず 4」にコメントを書く

関連する話題: マンガ / 買い物

ゆゆ式2

公開: 2010年3月7日0時40分頃

2巻出ました!

• ゆゆ式 2 (www.amazon.co.jp)

ズヴョズドチュカ! ズヴョズドチュカ! ズヴョズドチュカが頭にこびりついて離れませんよ。

あと、「ピストルの握るところがタオル」というネタが面白かったですね。他にも、ゆずこのシュノーケルとか、縁の虫とかいろいろ。左右の柱の小ネタも味があって良いです。

• 「ゆゆ式2」にコメントを書く

関連する話題: マンガ / 買い物 / ゆゆ式

428 ～封鎖された渋谷で～

公開: 2010年3月6日21時25分頃

購入。

• みんなのおすすめセレクション 428 ～封鎖された渋谷で～ (www.amazon.co.jp)

New スーパーマリオWii (www.amazon.co.jp)のように赤いパッケージなのかと思っていたら、普通の白いパッケージの上に赤い紙箱を装着しているのですね。ソフトとパッケージ自体はおすすめセレクション用に作り直したわけではなく、昔のものをそのまま使っているのかもしれません。これはこれでエコっぽくて好感が持てます。

※なんとなくファミスタ'87の「87年度版」というシールを思い出してしまいましたが。

ただ、しばらくの間ははみ出るほど忙しいので、プレイ時間が取れないかも。

• 「428 ～封鎖された渋谷で～」にコメントを書く

関連する話題: ゲーム / Wii / 買い物 / 428

脆弱性報告者の心構え

公開: 2010年3月6日21時5分頃

「正しい脆弱性報告のあり方 (d.hatena.ne.jp)」。

この思いはありますね。中には攻撃に複雑な条件が必要な場合もありますが、ほとんどの場合、脆弱性は誰でもすぐに気付けて、誰でもすぐに攻撃可能なものです。どうしても「他の人が気付いて悪用するのではないか」という心配をしてしまうわけで、できるだけ早く対応して欲しいと思ってしまいます。

……ただ、「運営者に圧力をかけてまで素早い対応を求めるべき」とまで思うかどうかは、分かれるところでしょう。私は、脆弱性の修正はあくまで運営者が自身の判断で行うべき事で、外から圧力をかけてやらせるようなことではないと思っています。運営者が脆弱性の影響を正しく理解した上で「修正しない」と判断したのであれば、それはそれで尊重するべきでしょう (私がそのサイトを使い続けるかどうかは、また別の話ですが)。

以前も「脆弱性に関わる人の立場と目的」という話を少し書いたのですけれど、個人的には、脆弱性報告の際には以下の3点に気をつけるようにしています。

• 脆弱性を作った開発者や脆弱なサイトの運営者に対して、罰を与えようとしないこと。
• 野次馬を気にしないこと。野次馬の期待に応えようとしない。
• あくまで運営者の意思で修正が行われるようにすること。強迫や脅迫によって修正させることはしない。

これはあくまで私のポリシーなので、人によってはまた違うでしょう。そもそも「野次馬の期待に応えることだけが目的」という人がいても良いわけですし、その場合は私とは全く違う行動パターンになるはずです。

• 「脆弱性報告者の心構え」にコメントを書く

関連する話題: セキュリティ / Web

ガラパゴスに支えられる携帯サイトのセキュリティ

公開: 2010年3月6日14時20分頃

モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。

携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。

• 利用者が自由にHTTPリクエストをしたり、リクエストパラメータを改変することはできない

これはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。

PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送出されないため、何らかの理由でCookieが漏れない限り、攻撃者はターゲットの識別情報を知ることができません。

※漏れる原因の一つがクロスサイトスクリプティング脆弱性です。

つまりPCサイトは、「リクエストは改竄され得るが、識別情報が漏れない」ということを前提とした設計になっています。

しかし、携帯サイトは違います。特に顕著なのは、勝手サイトにおける「かんたんログイン」の仕組みです。「かんたんログイン」はiモードIDなどの契約者固有IDを使用することで、ノーパスワードでのログインを実現するものです。

PCサイトのCookieが発行ドメインにしか送られないのに対し、契約者固有IDは全てのサイトに同一の値が送られます。つまり、最初から漏れているわけで、漏れないことを前提にした設計はできません。そのため通常、かんたんログインを使用する携帯サイトは、3キャリアのゲートウェイからのアクセスだけを通すようにしています。キャリアの提供する端末ではリクエストを改竄することが難しいため、リクエストが改竄されていないことが期待されます。

つまり携帯サイトは、「識別情報は漏れるが、リクエストは改竄されない」ということを前提とした設計になっているのです。携帯サイトは、リクエストが改竄されない世界でのみ生存することができる希少種で、そう考えると、ガラパゴスという言葉はピッタリなのかもれしません。

ところが最近、このガラパゴスの世界に、今までとは異なる「種」が発生しました。それがJavaScript対応端末です。JavaScript対応の端末は、XmlHttpRequestで任意のリクエストを送出したり、iframeを使って別サイトのコンテンツを読み取ったりする機能を持ちます。これが、docomo端末のDNS Rebindingなどの新たな問題につながっています。今のところ問題が公表されているのはdocomoだけですが、他社の端末にもJavaScriptやXmlHttpRequestに対応したものがあり、それらもやはり問題に直面しています。

これからも、そういった問題は表面化してくるでしょう。また、将来的には、JavaScript以外の新機能が出てくる可能性もあります。すぐには難しいでしょうが、将来的には、ガラパゴスでなくても生き残れるような方向に転換して行かざるを得ないのかもしれません。

……ちなみに別の話ですが、携帯サイトの場合、パスワードを入力するのが非常に面倒だという問題もあります。パスワード入力を頻繁に求めれば求めるほど、ユーザーは簡素で入力しやすいパスワードを設定しようとします。パスワードに頼る認証もなかなか難しく、悩みの種が尽きないところです。

• 「ガラパゴスに支えられる携帯サイトのセキュリティ」にコメントを書く

関連する話題: セキュリティ / Web / モバイル

管理画面を別ドメインに分ける

公開: 2010年3月6日13時0分頃

「XSSとセキュリティリスクと正しい脆弱性報告のあり方 (d.hatena.ne.jp)」という話が。

これは意外に理解されていない場合が多いような気がしています。「JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」という問題がありましたが、製品開発者からは「管理画面にアクセスできる人はそもそも任意のスクリプトを書けるのだから、そういうもの」というような反論がありました。

これは、ある意味正しいと言えます。以下の条件のいずれかを満たす場合は問題にならないはずです。

• 管理画面と同じドメインにコンテンツがパプリッシュされている
• ユーザーが一人しかいない、もしくは管理者ユーザーしかいない (権限を制限していない)

個人が一人で使っているような場合は上記に該当するので、問題になりません。

しかし、Movable Typeは、PowerCMSとセットにしてCMSのように使うこともできます。社外のユーザーに直接コンテンツを編集してもらうため、権限を絞ったユーザーを作成することもあります。この場合、管理画面のドメインで任意のスクリプトが実行できてはまずいことになります。ですから、管理画面を別ドメインにしておくことが必須になるのですね。

というわけで、ある事象が個人ユーザーと企業ユーザーとで異なる評価になる場合は良くあります。Movable Typeは企業で使われていることもある、という認識をきちんと持って欲しいところです。

……あと後半ですが、こういう主張ですかね。

• 運営者に知り合いがいる場合、直接伝えると対応が早い
• 運営者に知り合いがいる場合、「ゼロデイを公開する」と言って強迫すると対応が早い

賛同できるかどうかはともかく、間違ってはいないと思います。ただし、運営者が知り合いでない場合については述べられていないので、その点は注意しましょう。

• 「管理画面を別ドメインに分ける」にコメントを書く

関連する話題: セキュリティ / Web

デバイスに依存するFlashコンテンツは新デバイスに対応できない

「iPadにFlashは来ない？ タッチスクリーンとFlashの根本的問題 (slashdot.jp)」。アクセシビリティやユーザビリティを専門としない人には、ちょっと分かりにくそうな話ですね。

要するに、iPadでは既存のFlashコンテンツがロクに動かない可能性がある、という話です。……と、こう言われても、ぴんと来ない人が多いかもしれません。Flash Playerやオーサリング環境をどうにかすれば解決するのではないか、と疑問に思われる方もいそうですね。

たとえば、こんな感じのFlashコンテンツを見たことがないでしょうか。

• Flashコンテンツの中に、商品写真が横一列に並んでいる。商品をクリックするとリンク先に飛ぶ。
• 商品写真のリストはコンテンツの幅に収まりきらず、スクロールする。
• スクロールバーやスクロールのためのボタンはなく、マウスポインタを右の方に動かすと右のほうにスクロール、左の方に動かすと左にスクロールする。

仮にこれをiPadで再生できたとして……どうやってスクロールさせれば良いのでしょうね。

このケースは、キーボードでもスクロール操作できません。WCAG 2.0 Guideline 2.1 (www.w3.org)では、全ての機能がキーボードで操作できることを求めています。Webサイトのアクセシビリティ調査をしていると、残念なことに、キーボード操作できないFlashコンテンツがかなり多いということに気付かされます。

これはFlash自体の問題ではなく、Flashコンテンツを作る側のデザインの問題です。たとえば上記のケースでは、スクロールするためのボタンをつけるだけでキーボード操作可能になります。そうすれば自然と、iPadやそのほかの新しいデバイスでも操作可能になるでしょう。

世界中のFlashデザイナーがもう少しだけアクセシビリティを意識してくれれば、世界は違うものになるかもしれませんね。

※10年ほど前に書かれた「Flash: 99％有害 (www.usability.gr.jp)」という文章が思い起こされます。あるFlash作者は憤慨して、ヤコブを車で轢き殺すFlashゲームを作ったり……。

• 「デバイスに依存するFlashコンテンツは新デバイスに対応できない」へのコメント (1件)

関連する話題: アクセシビリティ / Flash / モバイル / Apple

長く遊べすぎるゲームの功罪

「やり込み要素の危険性 (allabout.co.jp)」。ここで言う「やりこみ要素」は、クリア後などもずっと長く遊べるということを指しています。長く遊べるソフトは良いけれど、むやみに長くするとメーカー自身の首を絞めるのではないか、という指摘です。

これを読んで気がついたのですが、私、ドラクエ9 (www.amazon.co.jp)を買ってからというもの、新しいDSソフトを一切買っていないのですね……。

欲しいソフトがなかったわけではないのです。スクウェア・エニックスのソフトだとサガ2 秘宝伝説 (www.amazon.co.jp)とか光の4戦士 (www.amazon.co.jp)あたり、他社だと真・女神転生 STRANGE JOURNEY (www.amazon.co.jp)、大地の汽笛 (www.amazon.co.jp)、QMADS2 (www.amazon.co.jp)あたりはちょっと欲しいと思っていたわけで。「ドラクエが終わっていないから」という理由で完全スルーしましたが、ドラクエ9がなかったら、この中の2～3本は買っていた可能性が高いですね。

ドラクエ9おそるべし。

• 「長く遊べすぎるゲームの功罪」へのコメント (1件)

関連する話題: ゲーム / ドラクエ / ドラクエ9

攻撃者に脅迫されたら

こんな記事が: 突然の大規模DDoS攻撃! その時オンラインゲーム運営はどうする? とっても厳しいiPhoneアプリ、ソーシャルゲームの現実と、将来の展望 (game.watch.impress.co.jp)。オンライン麻雀ゲームの運営者が、「DDoS攻撃を行なう。止めて欲しければ、100万円支払え」と脅迫された……というお話ですが、興味深いと思ったのは顧客への対応。

「洗いざらいユーザーに伝える」ことによって、ユーザーを味方にすることができたと。単に公開したのが良かったというよりく、コミュニケーションがうまかったという話だろうと思いますが、姿勢を明確にしてユーザーと向き合うことが大事なのではないかと思いますね。

• 「攻撃者に脅迫されたら」にコメントを書く

関連する話題: セキュリティ

分煙では不十分

公開: 2010年2月28日21時45分頃

「「公共の場は全面禁煙」　厚労相、２月中に全国通知へ (www.asahi.com)」。

そもそも、現時点でも健康増進法が存在していますので、公共の場所で煙を吸わされるようなことはあってはならないはずです。が、実際には効果がイマイチの「分煙」で誤魔化されているケースが多かったため、はっきり禁煙を求めて行く、というお話。

公道上にむき出しの喫煙所を設置して喫煙を推奨しているような自治体は、方針転換を強く求められることになると思われます。港区は分かりましたか。

• 「分煙では不十分」にコメントを書く

関連する話題: タバコ

パスワード変更推奨キャンペーン

公開: 2010年2月28日11時15分頃

ふと、こんなものを発見しました。「パスワード変更推奨キャンペーンのお知らせ (www.dydo.co.jp)」。

旧システムのパスワードルールが緩すぎるので改訂したい、というシチュエーションは良くありますが、「でも改訂したら既存ユーザが混乱するのでは?」という意見も当然出るわけです。こういうふうに、大々的にキャンペーンをやってしまうというのは良いアイデアだと思います。

※スクウェア・エニックス セキュリティトークンで「モグサッチェル」をプレゼント (www.playonline.com)という話もありましたが、これも似たような発想ですね。

• 「パスワード変更推奨キャンペーン」にコメントを書く

関連する話題: セキュリティ

漢は黙ってXSSフィルタ

公開: 2010年2月28日1時10分頃

とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。

• 「"><s>test」を入れて打ち消し線が出ることを確認する
• 「"><script>alert(document.cookie)</script>」を入れてみる。IE8ではXSSフィルタで蹴られるが、ソース上に<script>が出ていることを確認する (「<script>」という文字列だけ消す、というような処理があるかどうか確認するため)
• 実際にスクリプトが動作することを確認

最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使うのが便利です。

……と思っていたわけですが、なぜか今日、Google Chromeで確認するとスクリプトが動作しないという現象に遭遇。ソースを見ると、そもそも「<script>」がインジェクションできていないように見えます。

何が起きたのか分からずに戸惑いましたが、実はGoogle Chrome 4からはXSSフィルタが搭載されていたのですね。

いやまあ、XSSフィルタを搭載するのは良いのですが、動作したら動作したと分かるようにして欲しいです。誤検出の場合にリカバーする手段もないようですが、問題ないのでしょうか。

• 「漢は黙ってXSSフィルタ」へのコメント (3件)

関連する話題: セキュリティ / UA / Google Chrome

WAF読本

公開: 2010年2月21日22時0分頃

「Web Application Firewall 読本」というものが出たそうで。

• IPA、WAFの導入方法を解説する資料を公開 (www.itmedia.co.jp)
• 情報処理推進機構：情報セキュリティ：脆弱性対策 : 「Web Application Firewall 読本」を公開 (www.ipa.go.jp)
• 情報処理推進機構：情報セキュリティ：脆弱性対策：Web Application Firewall 読本 (www.ipa.go.jp)

少し気になったのは、2.4の「WAFが有効な状況」というところ。WAFが有効な状況として、以下の2点が挙げられています。

• 開発者にウェブアプリケーションの改修を依頼できない状況
• 改修できないウェブアプリケーションに脆弱性が発見された状況

これだけだと、WAFが役に立つのはアプリケーションの改修ができない場合だけであって、アプリケーションを開発した人が修正対応をしてくれる場合には不要、と読めますね。もっと言うと、「開発者がだらしない場合WAFが必要」「開発者がしっかりしていればWAFは不要」と読めます。

しかし実際には、しっかり付き合ってくれる開発者がいても、WAFが役に立つ局面があります。典型的な例は、実際にSQLインジェクションなどの攻撃を受けた場合です。当然、修正対応を行うわけですが、全ての脆弱性をつぶしきるまでには時間がかかる場合もあるでしょう。そのような場合、とりあえずWAFで攻撃を止めつつ修正を進める、という選択をすることもできます。特に、ツールによるSQLインジェクションの攻撃はパターンがよく知られていることもあり、WAFで防ぐのは比較的容易です。

※実際にそういう対応をした企業があります。ただし、一部の通常アクセスも止めてしまう場合があるので、そこは理解した上で使うべきです。

Webサイトを構築する側としては、当然、脆弱性が無いように心がけますが、それでも100%安全とは断言できません。何かあったときのためにWAFを用意しておくというのは悪い選択ではないと思います。

• 「WAF読本」にコメントを書く

関連する話題: セキュリティ

pixivでCSRF

公開: 2010年2月20日23時10分頃

pixivでCSRFだそうで。

• 「ヘタクソ」pixivに意図せず中傷コメント　CSRF脆弱性を悪用 (www.itmedia.co.jp)
• ［不具合報告］意図しない作品へのコメントについて (dev.pixiv.net)

CSRFによる攻撃が不正アクセス禁止法違反を構成するのかどうかは、ちょっと良く分かりません。正規ユーザを道具として利用することでアクセス制御機能を迂回している……と解釈できそうにも思いますが、罠のコードが2号の「特定利用の制限を免れることができる情報又は指令」に該当するのかどうか、微妙なところではあります。

※しかしまあ、何らかの犯罪を構成するだろうとは思いますけれど。

• 「pixivでCSRF」へのコメント (2件)

関連する話題: セキュリティ / 法律

Wizardry 囚われし魂の迷宮 試練の迷宮10階

公開: 2010年2月20日13時0分頃

「Wizardry 囚われし魂の迷宮」ですが、リアルマネー500円を支払って「試練の迷宮全解放」を購入してみました。

これを買うと、今まで5階までしか探索できなかった「試練の迷宮」が地下10階まで探索できるようになり、クエストが3つ追加されます (クエストリストには出ない)。

……その日のうちに全部クリア! おいおい……。

クリアすると、高レベルのヴァンパイアと戦えるというオマケがあります。最初はレベル47ですが、倒すたびに50,60,70,80,90,99と上がっていきます。レベル99となると、もう物理攻撃はほとんど当たらなくなります……が、呪文は効くので特に問題ありません。固いですが、smiteあたりを連打していれば倒せます。

• 「Wizardry 囚われし魂の迷宮 試練の迷宮10階」にコメントを書く

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

DNS Rebinding問題の所在

公開: 2010年2月15日23時40分頃

「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。

「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。

• iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。
• 端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。
• docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」)。
• これらの問題に対してはWebサイト側で対応することが可能であり、しかも簡単に対応できる方法が存在する。
• 従って、Webサイト側での対応が推奨される。

Webサイト側の問題だからWebサイト側で対応するべき、という話ではなくて、docomo側での対応が困難だからWebサイト側で対応しましょうという話かと思います。そもそもの問題はと言えば、やはりdocomoや端末メーカーの側の問題ではないかと思いますが……。

※ついでにもっと細かいことを言ってしまうと、推奨されている「VirtualHostを使う」という対応は、「Webアプリケーション」と言うよりは「Webサーバ」側の対応になりますね。両者は不可分の場合もありますが、大規模サイトの場合はハード的にも分かれていたり、担当者 (社) も異なっていたりする場合があります。

• 「DNS Rebinding問題の所在」へのコメント (3件)

関連する話題: セキュリティ

Wizardry 囚われし魂の迷宮 クリア

公開: 2010年2月15日0時20分頃

「Wizardry 囚われし魂の迷宮」、クリアしました。

9階、10階の敵は脅威でしたが、備前長船を拾ってからだいぶ楽になり、まあ何とか勝てる程度に。そして10階を全て探索……しても何も起きなくて戸惑いましたが、どうも3階からイベントをやり直す必要があったようで。

ボス戦は専用の音楽もあるのですが、一瞬で終わってしまうので最後まで聴けない……。クリア時のレベルは30前後、プレイ時間は30時間弱でした。

• 「Wizardry 囚われし魂の迷宮 クリア」にコメントを書く

関連する話題: ゲーム / PS3 / Wizardry

Wizardry 囚われし魂の迷宮 シーイン9F

公開: 2010年2月14日13時45分頃

「Wizardry 囚われし魂の迷宮」、シーインの迷宮を地下8階まで探索して9階へ。

Wizardryとしてはわりとぬるい難易度だなぁ……と、思っていた時期が私にもありました。シーインの迷宮地下9階の敵は異常に強いです。まず、回避率が高い! 今までの敵はオーディンソードで殴れば一撃で倒せていたのですが、ここの敵はふつうに生き残ってしまう厳しさ。侍のブシドーブレードでは力不足だし……。

しかもほとんどの敵が即死技を持っています。普通に攻撃力が高いのでマジックウォールは一瞬で割られるし、その後は大ダメージに耐えても追加効果で即死したり、そもそもマジックウォールを無視して Cloud of Death (全体即死呪文) が飛んできたり……。

というわけで死にまくり。ある意味、Wizardryらしい展開ではあります。

• 「Wizardry 囚われし魂の迷宮 シーイン9F」にコメントを書く

関連する話題: ゲーム / PS3 / Wizardry

しあわせの書 迷探偵ヨギ ガンジーの心霊術

公開: 2010年2月14日13時5分頃

読み終わったので。

• しあわせの書 - 迷探偵ヨギ ガンジーの心霊術 (www.amazon.co.jp)

これは凄い。いや、何が凄いのか書くとネタバレになってしまうので書けませんが、本当に良く作ったなぁ、という感じですね。この本を買って読むと、それだけで手品がひとつできるようになるというおまけ付き。

ただ、残念なのは解説。この解説が本書の価値を下げてしまっているので、解説は解説で頑張って欲しかったです。

• 「しあわせの書 迷探偵ヨギ ガンジーの心霊術」にコメントを書く

関連する話題: 本 / 買い物

Wizardry 囚われし魂の迷宮 製品版

公開: 2010年2月13日21時50分頃

PS3 (www.amazon.co.jp)の「Wizardry 囚われし魂の迷宮」、体験版が悪くなかったので購入してみました。

PlaystationStoreでライセンスキーを購入 (2000円)。すると、……何も起きません。次にどうすれば良いかというアナウンスが何もないので戸惑いましたが、単に体験版を起動すれば良いようです。製品版のダウンロードが別途必要だったりはしない模様。

• 「シーインの迷宮」が追加されたので探索開始。
• 3階まで行ったら敵が強いと感じたので、試練の迷宮2階に (1階は体験版で探索済み)。
• そのまま5階まで探索。6階以降には行けない (試練の迷宮6階以降に行くためには、リアルマネー500円の追加が必要)。
• 1階に戻ってバンシーと戦ってみたら勝利 (レベル9前後)。一発でブシドーブレードを入手。これはラッキー。
• シーインの迷宮3階は既に楽勝ムード。
• シーインの迷宮4階に来たら、いきなり敵が強い! 最初に出会ったダーククルセイダーを苦労して倒したら、剣と楯をドロップ。鑑定してみたらオーディンソードとドラゴンカイトで、これもたぶん超ラッキー。しかしオーディンソードを装備できる君主が不在……。
• 5階。敵がさらに強くて萎え。モーラとジャムにターンアンデッドが効くことに気付いてからはだいぶ楽に。

と、探索はこんな感じ。あと、気付いた点。

• 武器の攻撃回数の概念が旧作と異なる。旧作では最低攻撃回数だったため、高レベルキャラはどんな武器でも10回攻撃していた。本作では最高攻撃回数になっているので、攻撃回数の少ない武器ではいくらレベルが上がっても攻撃回数が増えない。
• 性格が中立に変化する。中立から他の性格にも変化する。中立の僧侶とか普通にできます。
• 司祭が呪文を覚えるペースが速い。なんとレベル17で全呪文を習得。旧作ではたしかレベル28とか必要だったような……。ビショップは序盤の弱さがけっこう好きだったのですが、今作の司祭は序盤から普通に強いです。
• 寺院でお布施すると、寄付金額と同じだけの経験値がもらえる。レベルも上がる。もう少しで上がりそうなキャラがいたらお布施で上げてから出かけるとか、転職直後にお布施でレベルを上げるとか、使い道いろいろ。

• 「Wizardry 囚われし魂の迷宮 製品版」にコメントを書く

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

良質なフォントと眼鏡っ娘は国の宝

公開: 2010年2月9日22時40分頃

• 書体の研究 (www.amazon.co.jp)

以前どこかで話題になっていたと思いますが、いつのまにかちゃんとした書籍になっていたのですね。

※どのページを見ても連呼されているので、件のフレーズが頭にこびりついてしまう……。

• 「良質なフォントと眼鏡っ娘は国の宝」にコメントを書く

関連する話題: 本

賭博堕天録カイジ 和也編 2

公開: 2010年2月9日22時25分頃

出ていたので購入。

• 賭博堕天録カイジ 和也編 2 (www.amazon.co.jp)

「愛よりも剣」は、予想どおりの展開でした。

今回出てきたのは「友情確認ゲーム」と称する「救出」。

ちなみに戦術としては、「そろそろ30秒経過した」という判断を揃えることができれば楽になるはずです。先頭の1人は後ろの2人に合図を送ることが可能なので、先頭の人が30秒をカウントし、経過したと判断した時点で合図をし、そこから3人が行動すれば、判断のブレによるリスクを大幅に減らすことができます。打ち合わせはできませんが、大きく手を挙げるなどすれば、後ろの2人には意図が伝わるでしょう。

しかしこれ、時間感覚が試されるだけで、友情が試される余地がないように思うのですが……。そのうち新たな展開があるのかなぁ。

• 「賭博堕天録カイジ 和也編 2」にコメントを書く

関連する話題: マンガ / 買い物 / カイジ

Wizardry 囚われし魂の迷宮

公開: 2010年2月7日20時45分頃

FF13 (www.amazon.co.jp)を一通りやりつくしたのでPS3 (www.amazon.co.jp)をネットに繋いでみたところ、PlayStation StoreでWizardryの体験版が配信されていたのでダウンロードしてみました。

WizardryはSFC版の#5までしかプレイしていません。#6以降は種族が増えたり職業が増えたり呪文体系が増えたりしているようですが、正直言って「めんどくさそう」としか思っていませんでした。今回の「囚われし魂の迷宮」では、そのあたりは#5に近いようで取っつきやすいですね。

• 職業はSFC版#5とほぼ同じだが、ビショップ、ロードはそれぞれ司祭、君主と日本語表記に。職ごとに専用スキルがある。
• 種族もほぼ同じ……だが能力値がいろいろ変更されていて、人間のPIEが8もある。ノームはSTR5,INT14,VIT5,AGI5という鈍足虚弱魔法使い種族に。ホビットがポークルへと名称変更されている。
• 初期HPが高い! 20とか30とかある。
• 呪文は魔法使い系・僧侶系の2系統。今回はレベル8まで存在 (伝統的にはレベル7まで)。呪文の名前はふつうの英語になっている……。orz
• キャラグラがある。ノーム女が眼鏡っ娘だったり。そしてドワーフ女が……!?
• キャラが喋る。喋るんでつ。
• ダンジョン内でレベルアップする。しかも、レベルアップするとMPが完全回復する。
• オートセーブではないのでリセットし放題。
• 宝箱を調べるとき、カーソルが自動的に盗賊に合うようになった。旧作では私は盗賊を先頭にしていましたが、これで後列でも安心。
• 宝箱が出なくても敵が普通にアイテムをドロップしたりする。

体験版では試練の迷宮1Fしか探索できませんが、町に全く戻らずに踏破できますね (バンシーのマスは除く)。

製品版は2000円なので、これだったら買っても良いかな。

• 「Wizardry 囚われし魂の迷宮」にコメントを書く

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

間取りの手帖

公開: 2010年1月31日23時0分頃

間取り系。

• 間取りの手帖 (www.amazon.co.jp)

間取りに淡々とコメントする本。ヘンな間取りよりは面白いかなと。

カバーを開くと間取り一覧になっていますね。

• 「間取りの手帖」にコメントを書く

関連する話題: 本

ひらめきはつめちゃん

公開: 2010年2月4日22時50分頃

読んだので。

• ひらめきはつめちゃん (1) (www.amazon.co.jp)

はこ。すげぇ。やべぇ。

はるみねーしょんと同じ空気ですが、こちらのほうが分かりやすくて初心者向け(?)かも。

• 「ひらめきはつめちゃん」にコメントを書く

関連する話題: マンガ

ゆるユルにゃー!!

公開: 2010年2月4日16時0分頃

読んだので。

• ゆるユルにゃー!! 1 (www.amazon.co.jp)
• ゆるユルにゃー!! 2 (www.amazon.co.jp)

ネコマンガ(?)。とにかく可愛い。

幼女がレジ袋だけ纏っているというのは大丈夫なんだろうかと心配になりますが (いろいろな意味で)。

• 「ゆるユルにゃー!!」にコメントを書く

関連する話題: マンガ

おまもりんごさん

公開: 2010年2月2日22時20分頃

マンガですが。

• おまもりんごさん (www.amazon.co.jp)

おまもりんごさん (www.hirahira.net)というアプリケーションがあるのですが、そのスピンオフ作品。おまもりんごさんがアイドルグループ「茅場ユナイテッド」の一員として……というお話。基本的に、主人公のおまもりんごさんは野生動物扱いです。:-)

……しかし、「茅場ユナイテッド」ってサッカーチームみたいだなぁ。

Twitter連携企画もあるらしいです……「ついったんてい☆りんご (www.hirahira.net)」(要パスワード、パスワードは帯の折り返し部分に記載されています)。

• 「おまもりんごさん」にコメントを書く

関連する話題: マンガ / Twitter

はるみねーしょん

公開: 2010年2月2日15時55分頃

読んだのでメモ。

• はるみねーしょん 1 (www.amazon.co.jp)

こ、これは……合う人とそうでない人で、評価が極端に分かれそうな作品ですね。クセが強い絵も人を選ぶし、ダジャレ連発のネタも人を選ぶ。実際、Amazonのレビューでも星1つから星5つまで入り乱れてカオス状態です。

個人的には、カバー裏を高く評価したいです。ネタバレになるので書きませんが、この発想はありませんでした。

• 「はるみねーしょん」にコメントを書く

関連する話題: マンガ / はるみねーしょん

Filezillaのアカウント情報は簡単に読める

公開: 2010年2月2日15時35分頃

「FTPクライアントのアカウント情報を盗むマルウェアに注意 (slashdot.jp)」。

FTPクライアントの……と言いつつ、#1711812のコメント (slashdot.jp)周辺を見ると、Filezillaのアカウント情報も取られるらしいですね。Filezillaでのアカウント情報の保存方法は非常に力強い感じで、c:\Documents and Settings\(username)\Application Data\FileZilla\sitemanager.xml にこんな感じで書かれています。

XMLのPass要素の中に、パスワードが難読化も何も無しにそのまんま書いてありますね。まあ、難読化してあれば安全というわけでもないので、これ自体の是非は何とも言えませんが……ともあれ簡単に読めることは間違いありません。

※Filezillaは素のFTP以外にもSFTPやFTPSにも対応していますが、これらを使用していてもアカウントの保存方法は同じです。

だからFilezillaではパスワードを保存しては駄目……という主張もありえるでしょうが、そもそも通信を盗聴するとか、キーロガーでキー入力を読み取るといった手法もあるわけでして。そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

• 「Filezillaのアカウント情報は簡単に読める」へのコメント (6件)

関連する話題: Web / セキュリティ

メールアドレス間違いができないような仕組みが欲しい

公開: 2010年2月2日15時15分頃

「ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。

ともあれ、興味深いのはこの話。

登録時に他人のメールアドレスを設定してしまったためにログインできなくなり、その状態でパスワードリマインダを使ったりしたら……それはまあ、乗っ取られますよね。しかしそもそも、他人のメールアドレスで登録できてしまうのがおかしいような……。

実際、「メールを受け取れるのは本人だけ」という前提でパスワードリマインダの仕組みが設計されているケースは多いでしょう。その場合、メールアドレス間違いは致命的です。存在しないメールアドレスならまだ良いのですが、それが実在すると大変なことになります。

しかし半径5メートル程度に聞いてみたところ、ITunesに関してはこんな話があるようで。

• iTunes登録時に設定していたメールアドレスが間違っているらしく、メールが受け取れない状態になっている
• 確認したら、ドメイン部分がスペルミスしていた
• 修正しようにも、方法が分からない (問い合わせするしかない?)

間違ったメールアドレスで登録できてしまう上に、一度そうなると、簡単には修正できないそうで。

メールアドレスが必須項目であるようなサービスの場合、プロフィールなどを入力させる前にまずメールアドレスだけ入力してもらって、そのメールを受信してからでないと登録できない……というような仕組みにして、メールアドレスの間違いができないようにした方が良いのかもしれませんね。

※しかし、ユーザ登録フローを作り直すのは大変だという理由で「メールアドレス入力欄を2個に増やす」という対応が行われたりするオチが予想されます。:-)

• 「メールアドレス間違いができないような仕組みが欲しい」にコメントを書く

関連する話題: Web / セキュリティ