水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年2月

2010年2月

2010年2月28日(日曜日)

美味しんぼ 104

公開: 2010年3月7日13時15分頃

出ていたので。

海原雄山は、激怒すると大声を上げたり杖で殴ったり小鉢を投げつけたりする人だったはずなのですが、ずいぶん大人しくなったものですね。

環境問題特集ということですが、議論されているのはだいたいこんな感じ。

至高のメニュー: ダムの問題
  • ダムを造ると上流に砂が貯まる。上流では川底が上がって洪水が起きやすくなる、岩がシルトに覆われて苔が生えなくなる。海に砂が流れて行かないので砂浜が痩せ、消波ブロックを設置せざるを得なくなる。
  • ダムによって、川を遡上するような魚が大ダメージ。魚道を利用できる魚はごくわずか。
  • 洪水対策としては、ダムより堤防のほうが良いのではないか。

ダムより堤防を……という提案なのですが、ダムをやめて堤防にした場合のデメリットについては何の議論もなく、海原雄山の主張が妥当なのかどうか良く分かりません。

至高のメニュー: 築地市場移転問題
  • 土壌と地下水が汚染されている?

……正直なところ、築地については環境問題としての論点が良く分かりませんでした。そもそも、市場では地下水を使用しない想定ですし、土壌汚染・地下水汚染が食品にどう影響してくるかについては論じられていません。「都が情報を隠していたりして信用できない」「そもそも取引量が減っているので移転自体不要であり、お金の無駄」という議論も出ていますが、それは環境問題とは別の論点であるように思います。

結局、「汚染された場所に建てるのは心理的な抵抗感がある」という話のようにしか思えませんでした。海原雄山は怒りもあらわに「あれほど甚だしく汚染された土壌の上に……建設するべきではない、という意見は学者の良心から出てこなかったのか」と言っていますが、むしろ学者に同情したくなります。

究極のメニュー: 河口堰の問題
  • シジミがほぼ全滅。
  • 大型のアユやサツキマスが川を下れなくなって大ダメージ。
  • ゲート上げ下げの運用が適切に行われていないのではないか。

せめてゲートの上げ下げをもう少しきちんと、という提案ですね。

究極のメニュー: 核燃料再処理場の問題
  • 通常運用時の排気・廃液などによる放射線量は0.022Sv程度であり、日本での自然環境の放射線量1.48Svと比較すると、ほとんど影響がないと言える。事故さえなければ問題はなく、むしろ心配なのは風評被害。
  • それよりも、高レベル放射性廃棄物の処分をどうするかが問題。地質が悪く地下水の多い日本で最終処分場が作れるのか。

通常運用時の放射線は問題ないと明言。むしろ問題なのは高レベル放射性廃棄物をどうするかで、これは再処理云々ではなく原発自体の問題ということですね。

……こうして見ると、海原雄山は糾弾の論調は強いものの背景の議論がボロボロで、なんか明らかにダメなような気がするのですが、気のせいでしょうか……。

※あと、汚染の話をした直後に食べ物が出てきても、心理的にあんまりおいしそうに感じないという問題がありますね……。

美味しんぼ 104 食と環境問題 (ビッグコミックス)

関連する話題: マンガ / 買い物

2010年2月27日(土曜日)

うぃずりず 4

公開: 2010年3月7日11時10分頃

4巻が出ていたので購入。

そろそろ大詰め……なんですかね。A/Bパート進行の表現はちょっと面白かったです。

関連する話題: マンガ / 買い物

ゆゆ式2

公開: 2010年3月7日0時40分頃

2巻出ました!

ズヴョズドチュカ! ズヴョズドチュカ! ズヴョズドチュカが頭にこびりついて離れませんよ。

あと、「ピストルの握るところがタオル」というネタが面白かったですね。他にも、ゆずこのシュノーケルとか、縁の虫とかいろいろ。左右の柱の小ネタも味があって良いです。

ゆゆ式 (2) (まんがタイムKRコミックス)

関連する話題: マンガ / 買い物 / ゆゆ式

428 ~封鎖された渋谷で~

公開: 2010年3月6日21時25分頃

購入。

New スーパーマリオWii (www.amazon.co.jp)のように赤いパッケージなのかと思っていたら、普通の白いパッケージの上に赤い紙箱を装着しているのですね。ソフトとパッケージ自体はおすすめセレクション用に作り直したわけではなく、昔のものをそのまま使っているのかもしれません。これはこれでエコっぽくて好感が持てます。

※なんとなくファミスタ'87の「87年度版」というシールを思い出してしまいましたが。

ただ、しばらくの間ははみ出るほど忙しいので、プレイ時間が取れないかも。

関連する話題: ゲーム / Wii / 買い物 / 428

2010年2月25日(木曜日)

脆弱性報告者の心構え

公開: 2010年3月6日21時5分頃

正しい脆弱性報告のあり方 (d.hatena.ne.jp)」。

それでも修正対応のスピードを求めるのだとしたら、例えば世の中的にそういうの放置すればするほどヤバイじゃん、という思いがあるのかな?

この思いはありますね。中には攻撃に複雑な条件が必要な場合もありますが、ほとんどの場合、脆弱性は誰でもすぐに気付けて、誰でもすぐに攻撃可能なものです。どうしても「他の人が気付いて悪用するのではないか」という心配をしてしまうわけで、できるだけ早く対応して欲しいと思ってしまいます。

……ただ、「運営者に圧力をかけてまで素早い対応を求めるべき」とまで思うかどうかは、分かれるところでしょう。私は、脆弱性の修正はあくまで運営者が自身の判断で行うべき事で、外から圧力をかけてやらせるようなことではないと思っています。運営者が脆弱性の影響を正しく理解した上で「修正しない」と判断したのであれば、それはそれで尊重するべきでしょう (私がそのサイトを使い続けるかどうかは、また別の話ですが)。

以前も「脆弱性に関わる人の立場と目的」という話を少し書いたのですけれど、個人的には、脆弱性報告の際には以下の3点に気をつけるようにしています。

これはあくまで私のポリシーなので、人によってはまた違うでしょう。そもそも「野次馬の期待に応えることだけが目的」という人がいても良いわけですし、その場合は私とは全く違う行動パターンになるはずです。

関連する話題: セキュリティ / Web

2010年2月24日(水曜日)

ガラパゴスに支えられる携帯サイトのセキュリティ

公開: 2010年3月6日14時20分頃

モバツイ (www.movatwi.jp)作者のえふしんさんが、こんなつぶやきを。

もろもろセキュリティのことまで考えると、携帯サイトはガラパゴス(国内で閉じてる)の方が良いんじゃないかなぁ。

以上、http://twitter.com/fshin2000/status/9612891626 より

携帯サイトは、閉じられた環境であることを前提として作られている場合があります。すなわち、以下のような前提です。

これはPCサイトでは全く通用しない話です。通常のインターネットからの接続では、telnetなどで好きなデータを送信できますので、通信内容はいくらでも改変できてしまいます。

PCサイトの場合は、それでも問題ありません。攻撃者はリクエストを改竄できますが、ターゲットになりすますためには、ターゲットの識別情報を入手する必要があります。PCサイトで標準的に使われる識別方法は、Cookieを発行することで端末(ブラウザ)を識別するという方法です。Cookieは発行したサイトにしか送出されないため、何らかの理由でCookieが漏れない限り、攻撃者はターゲットの識別情報を知ることができません。

※漏れる原因の一つがクロスサイトスクリプティング脆弱性です。

つまりPCサイトは、「リクエストは改竄され得るが、識別情報が漏れない」ということを前提とした設計になっています。

しかし、携帯サイトは違います。特に顕著なのは、勝手サイトにおける「かんたんログイン」の仕組みです。「かんたんログイン」はiモードIDなどの契約者固有IDを使用することで、ノーパスワードでのログインを実現するものです。

PCサイトのCookieが発行ドメインにしか送られないのに対し、契約者固有IDは全てのサイトに同一の値が送られます。つまり、最初から漏れているわけで、漏れないことを前提にした設計はできません。そのため通常、かんたんログインを使用する携帯サイトは、3キャリアのゲートウェイからのアクセスだけを通すようにしています。キャリアの提供する端末ではリクエストを改竄することが難しいため、リクエストが改竄されていないことが期待されます。

つまり携帯サイトは、「識別情報は漏れるが、リクエストは改竄されない」ということを前提とした設計になっているのです。携帯サイトは、リクエストが改竄されない世界でのみ生存することができる希少種で、そう考えると、ガラパゴスという言葉はピッタリなのかもれしません。

ところが最近、このガラパゴスの世界に、今までとは異なる「種」が発生しました。それがJavaScript対応端末です。JavaScript対応の端末は、XmlHttpRequestで任意のリクエストを送出したり、iframeを使って別サイトのコンテンツを読み取ったりする機能を持ちます。これが、docomo端末のDNS Rebindingなどの新たな問題につながっています。今のところ問題が公表されているのはdocomoだけですが、他社の端末にもJavaScriptやXmlHttpRequestに対応したものがあり、それらもやはり問題に直面しています。

これからも、そういった問題は表面化してくるでしょう。また、将来的には、JavaScript以外の新機能が出てくる可能性もあります。すぐには難しいでしょうが、将来的には、ガラパゴスでなくても生き残れるような方向に転換して行かざるを得ないのかもしれません。

……ちなみに別の話ですが、携帯サイトの場合、パスワードを入力するのが非常に面倒だという問題もあります。パスワード入力を頻繁に求めれば求めるほど、ユーザーは簡素で入力しやすいパスワードを設定しようとします。パスワードに頼る認証もなかなか難しく、悩みの種が尽きないところです。

関連する話題: セキュリティ / Web / モバイル

2010年2月23日(火曜日)

管理画面を別ドメインに分ける

公開: 2010年3月6日13時0分頃

XSSとセキュリティリスクと正しい脆弱性報告のあり方 (d.hatena.ne.jp)」という話が。

ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。

これは意外に理解されていない場合が多いような気がしています。「JVN#81490697 Movable Type におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」という問題がありましたが、製品開発者からは「管理画面にアクセスできる人はそもそも任意のスクリプトを書けるのだから、そういうもの」というような反論がありました。

これは、ある意味正しいと言えます。以下の条件のいずれかを満たす場合は問題にならないはずです。

個人が一人で使っているような場合は上記に該当するので、問題になりません。

しかし、Movable Typeは、PowerCMSとセットにしてCMSのように使うこともできます。社外のユーザーに直接コンテンツを編集してもらうため、権限を絞ったユーザーを作成することもあります。この場合、管理画面のドメインで任意のスクリプトが実行できてはまずいことになります。ですから、管理画面を別ドメインにしておくことが必須になるのですね。

というわけで、ある事象が個人ユーザーと企業ユーザーとで異なる評価になる場合は良くあります。Movable Typeは企業で使われていることもある、という認識をきちんと持って欲しいところです。

……あと後半ですが、こういう主張ですかね。

賛同できるかどうかはともかく、間違ってはいないと思います。ただし、運営者が知り合いでない場合については述べられていないので、その点は注意しましょう。

関連する話題: セキュリティ / Web

デバイスに依存するFlashコンテンツは新デバイスに対応できない

iPadにFlashは来ない? タッチスクリーンとFlashの根本的問題 (slashdot.jp)」。アクセシビリティやユーザビリティを専門としない人には、ちょっと分かりにくそうな話ですね。

既存のFlashサイトをそのまま設計通りに動作させるのは難しく、また表示することだけを実現してもユーザーにとっては満足度の高い実装とはならないとのことだ。

要するに、iPadでは既存のFlashコンテンツがロクに動かない可能性がある、という話です。……と、こう言われても、ぴんと来ない人が多いかもしれません。Flash Playerやオーサリング環境をどうにかすれば解決するのではないか、と疑問に思われる方もいそうですね。

たとえば、こんな感じのFlashコンテンツを見たことがないでしょうか。

仮にこれをiPadで再生できたとして……どうやってスクロールさせれば良いのでしょうね。

このケースは、キーボードでもスクロール操作できません。WCAG 2.0 Guideline 2.1 (www.w3.org)では、全ての機能がキーボードで操作できることを求めています。Webサイトのアクセシビリティ調査をしていると、残念なことに、キーボード操作できないFlashコンテンツがかなり多いということに気付かされます。

これはFlash自体の問題ではなく、Flashコンテンツを作る側のデザインの問題です。たとえば上記のケースでは、スクロールするためのボタンをつけるだけでキーボード操作可能になります。そうすれば自然と、iPadやそのほかの新しいデバイスでも操作可能になるでしょう。

世界中のFlashデザイナーがもう少しだけアクセシビリティを意識してくれれば、世界は違うものになるかもしれませんね。

※10年ほど前に書かれた「Flash: 99%有害 (www.usability.gr.jp)」という文章が思い起こされます。あるFlash作者は憤慨して、ヤコブを車で轢き殺すFlashゲームを作ったり……。

関連する話題: アクセシビリティ / Flash / モバイル / Apple

2010年2月22日(月曜日)

長く遊べすぎるゲームの功罪

やり込み要素の危険性 (allabout.co.jp)」。ここで言う「やりこみ要素」は、クリア後などもずっと長く遊べるということを指しています。長く遊べるソフトは良いけれど、むやみに長くするとメーカー自身の首を絞めるのではないか、という指摘です。

これを読んで気がついたのですが、私、ドラクエ9 (www.amazon.co.jp)を買ってからというもの、新しいDSソフトを一切買っていないのですね……。

欲しいソフトがなかったわけではないのです。スクウェア・エニックスのソフトだとサガ2 秘宝伝説 (www.amazon.co.jp)とか光の4戦士 (www.amazon.co.jp)あたり、他社だと真・女神転生 STRANGE JOURNEY (www.amazon.co.jp)大地の汽笛 (www.amazon.co.jp)QMADS2 (www.amazon.co.jp)あたりはちょっと欲しいと思っていたわけで。「ドラクエが終わっていないから」という理由で完全スルーしましたが、ドラクエ9がなかったら、この中の2~3本は買っていた可能性が高いですね。

ドラクエ9おそるべし。

ドラゴンクエストIX 星空の守り人ゼルダの伝説 大地の汽笛 特典 羽根ペン型オリジナル透明タッチペン (ルピー型特製ケース付属) 付き

関連する話題: ゲーム / ドラクエ / ドラクエ9

攻撃者に脅迫されたら

こんな記事が: 突然の大規模DDoS攻撃! その時オンラインゲーム運営はどうする? とっても厳しいiPhoneアプリ、ソーシャルゲームの現実と、将来の展望 (game.watch.impress.co.jp)。オンライン麻雀ゲームの運営者が、「DDoS攻撃を行なう。止めて欲しければ、100万円支払え」と脅迫された……というお話ですが、興味深いと思ったのは顧客への対応。

そして顧客に対してはどうか。栢氏は、このような事由でサービスが提供できない場合、公開できることはできるだけユーザーに伝えることが重要だと語っている。攻撃を受けた経緯、現状、復旧の見込み、そして従業員がいかにその脅威に対抗しようとしているのか。洗いざらいユーザーに伝えることで、「当初はサーバーダウンについての批判メールがあったが、すぐに応援のメールが大量に届くようになった」という流れになった。

「洗いざらいユーザーに伝える」ことによって、ユーザーを味方にすることができたと。単に公開したのが良かったというよりく、コミュニケーションがうまかったという話だろうと思いますが、姿勢を明確にしてユーザーと向き合うことが大事なのではないかと思いますね。

関連する話題: セキュリティ

2010年2月19日(金曜日)

分煙では不十分

公開: 2010年2月28日21時45分頃

「公共の場は全面禁煙」 厚労相、2月中に全国通知へ (www.asahi.com)」。

長妻昭厚生労働相は19日の閣議後会見で、飲食店など多くの人が利用する施設は、全面禁煙にするよう求める通知を、2月中に全国の自治体に出す方針を明らかにした。罰則はないが、喫煙区域を設ける「分煙」では不十分との考え方をはっきり示し、全面禁煙化を促す。

健康増進法は、他人のたばこの煙を吸わされる「受動喫煙」の健康被害を防ぐため公共施設の管理者に対策をとるよう努力義務を課している。今回の通知は努力義務の内容をさらに具体化するもの。

そもそも、現時点でも健康増進法が存在していますので、公共の場所で煙を吸わされるようなことはあってはならないはずです。が、実際には効果がイマイチの「分煙」で誤魔化されているケースが多かったため、はっきり禁煙を求めて行く、というお話。

公道上にむき出しの喫煙所を設置して喫煙を推奨しているような自治体は、方針転換を強く求められることになると思われます。港区は分かりましたか。

関連する話題: タバコ

2010年2月18日(木曜日)

パスワード変更推奨キャンペーン

公開: 2010年2月28日11時15分頃

ふと、こんなものを発見しました。「パスワード変更推奨キャンペーンのお知らせ (www.dydo.co.jp)」。

ダイドードリンコ公式サイトでは、皆さまの大切な情報をさらに強固に保護するため、パスワード規定を見直し、システム改訂を行いました。既存会員の皆さまにはお手数をおかけいたしますが、改訂趣旨をなにとぞご理解いただいた上で、パスワードの速やかな変更をお願い申し上げます。

なお、キャンペーン期間中にパスワードを変更された会員様には、もれなくマンスリーポイント100ポイントをプレゼントさせていただきます。

旧システムのパスワードルールが緩すぎるので改訂したい、というシチュエーションは良くありますが、「でも改訂したら既存ユーザが混乱するのでは?」という意見も当然出るわけです。こういうふうに、大々的にキャンペーンをやってしまうというのは良いアイデアだと思います。

スクウェア・エニックス セキュリティトークンで「モグサッチェル」をプレゼント (www.playonline.com)という話もありましたが、これも似たような発想ですね。

関連する話題: セキュリティ

漢は黙ってXSSフィルタ

公開: 2010年2月28日1時10分頃

とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。

最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使うのが便利です。

……と思っていたわけですが、なぜか今日、Google Chromeで確認するとスクリプトが動作しないという現象に遭遇。ソースを見ると、そもそも「<script>」がインジェクションできていないように見えます。

何が起きたのか分からずに戸惑いましたが、実はGoogle Chrome 4からはXSSフィルタが搭載されていたのですね。

クロスサイトスクリプティング(XSS)の脆弱性を突いた攻撃が横行している現状に対しては、実験的機能として「リフレクティブXSSフィルタ」を実装した。同様の機能はIE 8とNoScriptでも提供しているが、Chromeの場合はレンダリングエンジンのWebKitにXSSフィルタを実装して攻撃検出力を高め、SafariやEpiphanyなどのWebKitを使ったブラウザでも同フィルタを利用できるようにしたとしている。

以上、Google Chrome 4で注目したいセキュリティ強化の新機能 より

いやまあ、XSSフィルタを搭載するのは良いのですが、動作したら動作したと分かるようにして欲しいです。誤検出の場合にリカバーする手段もないようですが、問題ないのでしょうか。

関連する話題: セキュリティ / UA / Google Chrome

2010年2月17日(水曜日)

WAF読本

公開: 2010年2月21日22時0分頃

「Web Application Firewall 読本」というものが出たそうで。

少し気になったのは、2.4の「WAFが有効な状況」というところ。WAFが有効な状況として、以下の2点が挙げられています。

これだけだと、WAFが役に立つのはアプリケーションの改修ができない場合だけであって、アプリケーションを開発した人が修正対応をしてくれる場合には不要、と読めますね。もっと言うと、「開発者がだらしない場合WAFが必要」「開発者がしっかりしていればWAFは不要」と読めます。

しかし実際には、しっかり付き合ってくれる開発者がいても、WAFが役に立つ局面があります。典型的な例は、実際にSQLインジェクションなどの攻撃を受けた場合です。当然、修正対応を行うわけですが、全ての脆弱性をつぶしきるまでには時間がかかる場合もあるでしょう。そのような場合、とりあえずWAFで攻撃を止めつつ修正を進める、という選択をすることもできます。特に、ツールによるSQLインジェクションの攻撃はパターンがよく知られていることもあり、WAFで防ぐのは比較的容易です。

※実際にそういう対応をした企業があります。ただし、一部の通常アクセスも止めてしまう場合があるので、そこは理解した上で使うべきです。

Webサイトを構築する側としては、当然、脆弱性が無いように心がけますが、それでも100%安全とは断言できません。何かあったときのためにWAFを用意しておくというのは悪い選択ではないと思います。

関連する話題: セキュリティ

2010年2月16日(火曜日)

pixivでCSRF

公開: 2010年2月20日23時10分頃

pixivでCSRFだそうで。

ピクシブでは、今回、脆弱性による不具合を利用し他人のアカウントになりすまして不適切なコメントを行った行為が『不正アクセス禁止法違反』に該当すると考えており、所轄警察署ならびに情報処理推進機構(IPA)に届出をする予定です。

以上、[不具合報告]意図しない作品へのコメントについて より

CSRFによる攻撃が不正アクセス禁止法違反を構成するのかどうかは、ちょっと良く分かりません。正規ユーザを道具として利用することでアクセス制御機能を迂回している……と解釈できそうにも思いますが、罠のコードが2号の「特定利用の制限を免れることができる情報又は指令」に該当するのかどうか、微妙なところではあります。

※しかしまあ、何らかの犯罪を構成するだろうとは思いますけれど。

関連する話題: セキュリティ / 法律

2010年2月14日(日曜日)

Wizardry 囚われし魂の迷宮 試練の迷宮10階

公開: 2010年2月20日13時0分頃

「Wizardry 囚われし魂の迷宮」ですが、リアルマネー500円を支払って「試練の迷宮全解放」を購入してみました。

これを買うと、今まで5階までしか探索できなかった「試練の迷宮」が地下10階まで探索できるようになり、クエストが3つ追加されます (クエストリストには出ない)。

……その日のうちに全部クリア! おいおい……。

クリアすると、高レベルのヴァンパイアと戦えるというオマケがあります。最初はレベル47ですが、倒すたびに50,60,70,80,90,99と上がっていきます。レベル99となると、もう物理攻撃はほとんど当たらなくなります……が、呪文は効くので特に問題ありません。固いですが、smiteあたりを連打していれば倒せます。

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

2010年2月12日(金曜日)

DNS Rebinding問題の所在

公開: 2010年2月15日23時40分頃

かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。

同DNSリバインディングの問題は、携帯端末や事業者設備の問題ではなく、Webアプリケーション側の問題である(私も同意)

「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。

Webサイト側の問題だからWebサイト側で対応するべき、という話ではなくて、docomo側での対応が困難だからWebサイト側で対応しましょうという話かと思います。そもそもの問題はと言えば、やはりdocomoや端末メーカーの側の問題ではないかと思いますが……。

※ついでにもっと細かいことを言ってしまうと、推奨されている「VirtualHostを使う」という対応は、「Webアプリケーション」と言うよりは「Webサーバ」側の対応になりますね。両者は不可分の場合もありますが、大規模サイトの場合はハード的にも分かれていたり、担当者 (社) も異なっていたりする場合があります。

関連する話題: セキュリティ

2010年2月11日(木曜日)

Wizardry 囚われし魂の迷宮 クリア

公開: 2010年2月15日0時20分頃

「Wizardry 囚われし魂の迷宮」、クリアしました。

9階、10階の敵は脅威でしたが、備前長船を拾ってからだいぶ楽になり、まあ何とか勝てる程度に。そして10階を全て探索……しても何も起きなくて戸惑いましたが、どうも3階からイベントをやり直す必要があったようで。

ボス戦は専用の音楽もあるのですが、一瞬で終わってしまうので最後まで聴けない……。クリア時のレベルは30前後、プレイ時間は30時間弱でした。

関連する話題: ゲーム / PS3 / Wizardry

2010年2月9日(火曜日)

Wizardry 囚われし魂の迷宮 シーイン9F

公開: 2010年2月14日13時45分頃

「Wizardry 囚われし魂の迷宮」、シーインの迷宮を地下8階まで探索して9階へ。

Wizardryとしてはわりとぬるい難易度だなぁ……と、思っていた時期が私にもありました。シーインの迷宮地下9階の敵は異常に強いです。まず、回避率が高い! 今までの敵はオーディンソードで殴れば一撃で倒せていたのですが、ここの敵はふつうに生き残ってしまう厳しさ。侍のブシドーブレードでは力不足だし……。

しかもほとんどの敵が即死技を持っています。普通に攻撃力が高いのでマジックウォールは一瞬で割られるし、その後は大ダメージに耐えても追加効果で即死したり、そもそもマジックウォールを無視して Cloud of Death (全体即死呪文) が飛んできたり……。

というわけで死にまくり。ある意味、Wizardryらしい展開ではあります。

関連する話題: ゲーム / PS3 / Wizardry

2010年2月8日(月曜日)

しあわせの書 迷探偵ヨギ ガンジーの心霊術

公開: 2010年2月14日13時5分頃

読み終わったので。

これは凄い。いや、何が凄いのか書くとネタバレになってしまうので書けませんが、本当に良く作ったなぁ、という感じですね。この本を買って読むと、それだけで手品がひとつできるようになるというおまけ付き。

ただ、残念なのは解説。この解説が本書の価値を下げてしまっているので、解説は解説で頑張って欲しかったです。

しあわせの書―迷探偵ヨギガンジーの心霊術 (新潮文庫)

関連する話題: / 買い物

2010年2月6日(土曜日)

Wizardry 囚われし魂の迷宮 製品版

公開: 2010年2月13日21時50分頃

PS3 (www.amazon.co.jp)の「Wizardry 囚われし魂の迷宮」、体験版が悪くなかったので購入してみました。

PlaystationStoreでライセンスキーを購入 (2000円)。すると、……何も起きません。次にどうすれば良いかというアナウンスが何もないので戸惑いましたが、単に体験版を起動すれば良いようです。製品版のダウンロードが別途必要だったりはしない模様。

と、探索はこんな感じ。あと、気付いた点。

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

2010年2月5日(金曜日)

良質なフォントと眼鏡っ娘は国の宝

公開: 2010年2月9日22時40分頃

以前どこかで話題になっていたと思いますが、いつのまにかちゃんとした書籍になっていたのですね。

※どのページを見ても連呼されているので、件のフレーズが頭にこびりついてしまう……。

書体の研究 for Digital Creators

関連する話題:

2010年2月4日(木曜日)

賭博堕天録カイジ 和也編 2

公開: 2010年2月9日22時25分頃

出ていたので購入。

「愛よりも剣」は、予想どおりの展開でした。

今回出てきたのは「友情確認ゲーム」と称する「救出」。

ちなみに戦術としては、「そろそろ30秒経過した」という判断を揃えることができれば楽になるはずです。先頭の1人は後ろの2人に合図を送ることが可能なので、先頭の人が30秒をカウントし、経過したと判断した時点で合図をし、そこから3人が行動すれば、判断のブレによるリスクを大幅に減らすことができます。打ち合わせはできませんが、大きく手を挙げるなどすれば、後ろの2人には意図が伝わるでしょう。

しかしこれ、時間感覚が試されるだけで、友情が試される余地がないように思うのですが……。そのうち新たな展開があるのかなぁ。

賭博堕天録カイジ 和也編(2) (ヤンマガKCスペシャル)

関連する話題: マンガ / 買い物 / カイジ

2010年2月3日(水曜日)

Wizardry 囚われし魂の迷宮

公開: 2010年2月7日20時45分頃

FF13 (www.amazon.co.jp)を一通りやりつくしたのでPS3 (www.amazon.co.jp)をネットに繋いでみたところ、PlayStation StoreでWizardryの体験版が配信されていたのでダウンロードしてみました。

WizardryはSFC版の#5までしかプレイしていません。#6以降は種族が増えたり職業が増えたり呪文体系が増えたりしているようですが、正直言って「めんどくさそう」としか思っていませんでした。今回の「囚われし魂の迷宮」では、そのあたりは#5に近いようで取っつきやすいですね。

体験版では試練の迷宮1Fしか探索できませんが、町に全く戻らずに踏破できますね (バンシーのマスは除く)。

製品版は2000円なので、これだったら買っても良いかな。

関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network

間取りの手帖

公開: 2010年1月31日23時0分頃

間取り系。

間取りに淡々とコメントする本。ヘンな間取りよりは面白いかなと。

カバーを開くと間取り一覧になっていますね。

間取りの手帖

関連する話題:

ひらめきはつめちゃん

公開: 2010年2月4日22時50分頃

読んだので。

はこ。すげぇ。やべぇ。

はるみねーしょんと同じ空気ですが、こちらのほうが分かりやすくて初心者向け(?)かも。

ひらめきはつめちゃん(1) (BLADE COMICS)

関連する話題: マンガ

ゆるユルにゃー!!

公開: 2010年2月4日16時0分頃

読んだので。

ネコマンガ(?)。とにかく可愛い。

幼女がレジ袋だけ纏っているというのは大丈夫なんだろうかと心配になりますが (いろいろな意味で)。

ゆるユルにゃー!! (1) (リュウコミックススペシャル)ゆるユルにゃー!! (2) (リュウコミックススペシャル)

関連する話題: マンガ

2010年2月2日(火曜日)

おまもりんごさん

公開: 2010年2月2日22時20分頃

マンガですが。

おまもりんごさん (www.hirahira.net)というアプリケーションがあるのですが、そのスピンオフ作品。おまもりんごさんがアイドルグループ「茅場ユナイテッド」の一員として……というお話。基本的に、主人公のおまもりんごさんは野生動物扱いです。:-)

……しかし、「茅場ユナイテッド」ってサッカーチームみたいだなぁ。

Twitter連携企画もあるらしいです……「ついったんてい☆りんご (www.hirahira.net)」(要パスワード、パスワードは帯の折り返し部分に記載されています)。

おまもりんごさん (まんがタイムKRコミックス)

関連する話題: マンガ / Twitter

はるみねーしょん

公開: 2010年2月2日15時55分頃

読んだのでメモ。

こ、これは……合う人とそうでない人で、評価が極端に分かれそうな作品ですね。クセが強い絵も人を選ぶし、ダジャレ連発のネタも人を選ぶ。実際、Amazonのレビューでも星1つから星5つまで入り乱れてカオス状態です。

個人的には、カバー裏を高く評価したいです。ネタバレになるので書きませんが、この発想はありませんでした。

関連する話題: マンガ / はるみねーしょん

2010年2月1日(月曜日)

Filezillaのアカウント情報は簡単に読める

公開: 2010年2月2日15時35分頃

FTPクライアントのアカウント情報を盗むマルウェアに注意 (slashdot.jp)」。

FTPクライアントの……と言いつつ、#1711812のコメント (slashdot.jp)周辺を見ると、Filezillaのアカウント情報も取られるらしいですね。Filezillaでのアカウント情報の保存方法は非常に力強い感じで、c:\Documents and Settings\(username)\Application Data\FileZilla\sitemanager.xml にこんな感じで書かれています。

<Server>
<Host>bakera.jp</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>testid</User>
<Pass>testpass</Pass>
……
</Server>

XMLのPass要素の中に、パスワードが難読化も何も無しにそのまんま書いてありますね。まあ、難読化してあれば安全というわけでもないので、これ自体の是非は何とも言えませんが……ともあれ簡単に読めることは間違いありません。

※Filezillaは素のFTP以外にもSFTPやFTPSにも対応していますが、これらを使用していてもアカウントの保存方法は同じです。

だからFilezillaではパスワードを保存しては駄目……という主張もありえるでしょうが、そもそも通信を盗聴するとか、キーロガーでキー入力を読み取るといった手法もあるわけでして。そう考えると、「マルウェアに感染したら駄目」という当たり前の話になってきますね。

関連する話題: Web / セキュリティ

メールアドレス間違いができないような仕組みが欲しい

公開: 2010年2月2日15時15分頃

iTunes、IDなりすましの恐れ アップル社調査 (www.asahi.com)」。見出しの割に、本文で言っている事例は、意図的に誰かに「なりすまし」できるわけではないように思いますが……。IDなりすましもそれはそれであるらしいとも聞くのですが、また別の話なのではないかという感じがします。

ともあれ、興味深いのはこの話。

一方、愛知県の男性は昨年末まで約2週間、iTS上で、神奈川県の男性の利用画面に入ってしまった。

神奈川の男性がIDとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのIDとして誤入力した。そのIDがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。

愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川の男性に連絡をとり、IDとパスワードを直した。

登録時に他人のメールアドレスを設定してしまったためにログインできなくなり、その状態でパスワードリマインダを使ったりしたら……それはまあ、乗っ取られますよね。しかしそもそも、他人のメールアドレスで登録できてしまうのがおかしいような……。

ネット専業を含む国内502社が加入する日本通信販売協会によると、通販サイトのパスワードを変える際、本人確認の仕方には統一した決まりはないという。IDにメールアドレスを使う場合は、入力を間違えないのはもちろん、プロバイダー変更などでアドレスが変わったときは、登録したIDも必ず変えてほしいとしている。

実際、「メールを受け取れるのは本人だけ」という前提でパスワードリマインダの仕組みが設計されているケースは多いでしょう。その場合、メールアドレス間違いは致命的です。存在しないメールアドレスならまだ良いのですが、それが実在すると大変なことになります。

しかし半径5メートル程度に聞いてみたところ、ITunesに関してはこんな話があるようで。

間違ったメールアドレスで登録できてしまう上に、一度そうなると、簡単には修正できないそうで。

メールアドレスが必須項目であるようなサービスの場合、プロフィールなどを入力させる前にまずメールアドレスだけ入力してもらって、そのメールを受信してからでないと登録できない……というような仕組みにして、メールアドレスの間違いができないようにした方が良いのかもしれませんね。

※しかし、ユーザ登録フローを作り直すのは大変だという理由で「メールアドレス入力欄を2個に増やす」という対応が行われたりするオチが予想されます。:-)

関連する話題: Web / セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト