2010年3月
2010年3月31日(水曜日)
2010年版 10大脅威
公開: 2010年4月3日12時35分頃
今年の10大脅威、出ましたね。
- 「2010年版 10大脅威 あぶり出される組織の弱点!」を公開 (www.ipa.go.jp)
お疲れ様でした。私も参加させていただいておりまして、p.36で名前を出していただいています。
ちなみにInternet Watchにも記事が出ているのですが、
情報処理推進機構(IPA)は31日、「2010年版 10大脅威 あぶり出される組織の弱点!」と題した資料を公開した。2009年にIPAに届け出のあったウイルスや不正アクセスの情報や報道などをもとに、情報セキュリティ分野の研究者ら120名で構成する「情報セキュリティ検討会」がとりまとめた。
実は「情報セキュリティ検討会」という名前だったのは去年までで、今年は「10大脅威執筆者会」という名前になっているのですね。
※これは一説によると事業仕分けの影響だとか。本当なのか冗談なのかは良く分かりませんが。
- 「2010年版 10大脅威」にコメントを書く
2010年3月30日(火曜日)
OAuthが活用されない
公開: 2010年4月2日17時15分頃
こんなサイトがあるようで……つぶやきタカ!ボード (wing.softbankhawks.co.jp)。
アクセスすると、いきなりログイン画面になり、「Powered by Twitter」と書いてあってtwitterのパスワードの入力を求められますね。その際のドメインは http://wing.softbankhawks.co.jp/ で、twitterとは縁もゆかりもないドメインです。
こういうことをしなくても良いように、OAuth という仕組みが用意されています。OAuthを使うと、IDとパスワードをtwitterのドメインで入力して認証を行うようにすることができます。
せっかくそういう機能があるのですから、活用してほしいですよね。
※逆に利用者としては、「twitterにはOAuthという仕組みがあるのだから、まともなサイトがこんなことをするはずがない。これはフィッシングサイトに違いない」などと考えるべきなのでしょう。
2010年3月29日(月曜日)
もし高校野球の女子マネージャーがドラッカーの『マネジメント』を読んだら
公開: 2010年3月31日23時50分頃
読み終わったのでメモ。
- もし高校野球の女子マネージャーがドラッカーの『マネジメント』を読んだら (www.amazon.co.jp)
他の部活や学校、地域の人々のためにいろいろなことをして、その結果として大勢の人が応援に……というエピソードがありますが、これは要するにCSR (Corporate Social Responsibility、企業の社会的責任) なんですね。ある程度の規模の企業はほとんどの場合組織的にCSRに取り組んでいて、それ専用のコンテンツも持っています (サイトガバナンス的にはIRと並ぶ要注意コンテンツだったりしますが、それはまた別の話)。
逆に、CSRはお金に余裕のある大企業のすることだ……なんてイメージもあったりしますが、よく考えれば、どんな小さな組織にもできることはあるわけですね。何がCSRなのかという定義の話もあるでしょうが、派手なことばかりがCSRではないということで。
2010年3月28日(日曜日)
ひだまりスケッチ5
公開: 2010年3月30日21時5分頃
出ていたので購入。
- ひだまりスケッチ5 (www.amazon.co.jp)
http://morimoriyama.macchi.bou.com/dokidokiq.html というURLは存在しない (というかドメイン屋さんのものになっている) 模様。あと、ゲイツさんはハード屋さんではないです。:-)
しかし、どれだけキャラが増えても宮子一人に勝てない気がしますね。
2010年3月27日(土曜日)
偉い人のお気に召しますように……
公開: 2010年3月30日21時5分頃
東京都は『源氏物語』を有害図書に指定しよう!――「非実在青年・光源氏」と「ピカチュウ」のやりたい放題 (business.nikkeibp.co.jp)。
非実在青少年の話。もちろん「有害図書に指定しよう」は反語的な表現であって、非実在青少年の概念には問題があるだろうという話です。
実際には、何故か小説は対象外なので「源氏物語」やら「太陽の季節」やらは大丈夫なのですけどね。ただ、仮に範囲が小説に広がっても、源氏物語や太陽の季節が有害図書に指定されることはないでしょう。それらの作品は、東京都の偉い人たちのお気に召しそうですので。……そして、まさにその点が問題なわけですね (偉い人が気に入った作品はOK、そうでない作品はNGとされる可能性が高い)。
ところで、個人的には源氏物語よりも「ロミオとジュリエット」を思い出したのですが (確かジュリエットは13歳)、海外ではどんな扱いなのでしょうね。
関連する話題: 思ったこと
2010年3月26日(金曜日)
トルネ同梱版がみつからない?
公開: 2010年3月30日13時25分頃
「PS3で地デジを録画できる「トルネ」が絶好調、PS3本体の販売台数も増加 (gigazine.net)」。
また、特に単品の「torne」に人気が集中しており、店頭では品薄状態になったとのこと。
単品のトルネは売り切れなのに、同梱版は普通に売っていたりするのですよね。
実は半径5メートル以内にトルネ+PS3を新規に購入しようとしていた人がいるのですが、19日の時点で「既に売り切れている」と言って諦めモードでした。私が「いや同梱版はあるはず」と言ってみたものの、「いや検索しても無いんだけど」というような会話が行われ……。
ふと思い立って、とある家電量販店のサイトで検索してみると、「トルネ」でヒットするのは単品版 (www.amazon.co.jp)
そこで本家のプレスリリース (www.jp.playstation.com)を見てみると、衝撃の事実が。実は、同梱版の正式な商品名は『「プレイステーション 3」地デジレコーダーパック』というものであり、この名前には「トルネ」とか「torne」という文字列は全く含まれていないのです。
というわけで「地デジレコーダーパック」で検索してみると、同梱版が見事ヒットし、在庫があることが確認できました。店頭で見ればすぐ分かるのでしょうが、ネットで検索する時には大いなる罠になりかねないですね。
※ちなみに、Amazonでは「PlayStation 3(250GB) 地デジレコーダー(torne トルネ同梱)パック (www.amazon.co.jp)
2010年3月25日(木曜日)
レベル99デスピサロ撃破
公開: 2010年3月30日0時40分頃
ドラクエ9 (www.amazon.co.jp)
デスピサロはドラクエ4 (www.amazon.co.jp)
- 打撃 …… 500くらいのダメージ。みかわし・盾ガード可能。
- 痛恨の一撃 …… 999ダメージ。みかわし・盾ガード可能。
- れんごく火炎 …… 全体に300前後のダメージ。みかわし可能。
- かがやく息 …… れんごくと同程度のダメージですが、アイスフォースで軽減すれば数十ポイントのダメージで済みます。
- マヒャデドス …… 全体300超のダメージですが、アイスフォースで軽減すれば2桁ダメージに。
- 凍てつく波動 …… おなじみ。補助効果とテンションを無効にします。
- ザラキ …… 全体即死効果。
- 甘い息 …… 全体に眠り効果。
- スクルト …… 守備力一段階アップ。
- めいそう …… HPを500回復。
ムドーと比べるとかなりの強さです。特に打撃が強く、バトルマスターでも2発喰らうと耐えられませんし、僧侶などは打撃+火炎で死亡します。また、痛恨の場合は999ダメージなのでどうしようもありません。ザラキと甘い息も厄介です。僧侶・賢者はセラフィムのローブ+ふゆぞらのぼうし+ぜったいのズボンで問題ありませんが、バトルマスターはエルフのおまもりをつけても死ぬときは死にます。祈るしか。
スクルトも地味に厳しく、ロクにダメージが通らなくなります。解除すれば良いだけですが、無駄な行動が増えると長期戦になり、長期戦になると厳しい攻撃をしのぎ続けなければならなくなります。
幸いと言えるのは、メインである冷気攻撃が同時に弱点でもあるため、アイスフォースが非常に効果的ということでしょうか。というわけで、短期決戦で済むことを祈りつつ、アイスフォースを使って殴るのですが、運が悪いと割とあっさり全滅します。全滅せずに倒したいなら、世界樹の葉を用意しておいた方が良いかもしれません。
なんだかんだで5ターン撃破となりましたが、理想は4ターン。うまく必殺が出せればもっと早い撃破も可能でしょう。
2010年3月23日(火曜日)
レベル99ムドー撃破
公開: 2010年3月29日15時55分頃
ドラクエ9 (www.amazon.co.jp)
ムドーはドラクエ6 (www.amazon.co.jp)
そんなムドーですが、ドラクエ9ではこんな感じです。
- 打撃 …… 300くらいのダメージ。みかわし・盾ガード可能。
- 痛恨の一撃 …… 900くらいのダメージ。みかわし・盾ガード可能。
- れんごく火炎 …… 全体に300前後のダメージ。みかわし可能。
- かがやく息 …… れんごくと同程度のダメージですが、アイスフォースで軽減すれば数十ポイントのダメージで済みます。
- いなずま …… 全体に300弱程度のダメージ。おそらくガード・回避は不能。
- まばゆい閃光 …… 全体に300程度のダメージに加えて、マヌーサの効果。おそらくガード・回避不能
- 凍てつく波動 …… おなじみ。補助効果とテンションを無効にします。
- スカラ …… 守備力を一段階アップ。
- ルカナン …… 守備力を一段階ダウン。
こんな感じで3回行動してきます。打撃力は低く、痛恨でもカンストしないのですが、それでも900ダメージなので死んでしまいますね。
厳しいのはまばゆい閃光です。マヌーサは破幻のリングで回避できますが、ダメージが大きい上に、1ターンに回使ってくることもあるので厳しいです。素早さは低めなので武闘家の証装備の僧侶ならほぼ先行できるのですが、希に先行できないときがあり、その場合は死にます。:-)
とはいえ能力は低めなので、そんなに問題なく撃破できます。アイスフォース、たたかいのうたを使いながら殴って4ターンでしたが、3ターン撃破も十分狙えるでしょう。
2010年3月22日(月曜日)
クラウドを自社ドメインで運用する苦労
公開: 2010年3月28日20時50分頃
「音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する (takagi-hiromitsu.jp)」というお話が。これはひどいと思いますが、問題は2つありますね。
- フォームが別ドメインになっており、その事についての説明がない
- 「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている
後者に関しては問題としてはシンプルで、単に虚偽の説明がなされているという話ですね。規約とかどうせ誰も読んでない……とは良く言われますが、掲載している本人でさえもロクに読ずにコピペしているのが実情でしょう。確認もしないで嘘を書くくらいなら、最初から書かなければ良いのにと思いますが。
それはそれとして、フォームが別ドメインになっている話は興味深いです。最近は「クラウド」とかなんとか言って外部のサーバでサービスを構築するのが流行っているようですが、その場合、何も考えないと外部のドメインでサービスが動作することになってしまいます。
ではどうするかというと、単に自社のドメインを外部サーバに向けてやれば良いだけです。
……ではあるのですが、いろいろ面倒な事もあったりします。たとえば、Amazon EC2でロードバランサーを使う場合に、Amazonのドメイン名ではなく自社のドメインでアクセスさせたい……というニーズは良くあると思うのですが、普通にAレコードを設定してやると、あっさりIPアドレスが変えられてしまうという罠があります。これは有名な話のようで、モバツイのえふしんさんも書かれています。
EC2は単体のサーバーインスタンスは、固定IPを割り当てられますが、おそらくElastic Load Balncingには今のところ固定IPを割り当てることはできないようです。
以上、EC2のロードバランサーのIPアドレスが変わる罠 より
そうは言っても、実際の運用ではそうコロコロ変わらないだろう……と思いきや、月に2度とかいった頻度で変えられてしまって、心の底から残念な思いをしたりするわけです。
Amazon側のDNSはIPアドレスの変更に追従するようなので、AレコードではなくCNAMEレコードを使ってやれば良いのですが、CNAMEにはいろいろ問題があります。特に、NSレコードと同名のCNAMEが設定できないのが最大の問題です。www.example.comのようなサブドメインにはCNAMEが設定できるのですが、example.comのようなドメイン直下にはNSレコードが必要なので、CNAMEが設定できないわけです。
EC2のロードバランサーを自社ドメインで運用したい場合はどうすれば良いかというと、以下のような選択肢があります。
- CNAMEが設定できるような名前をつける (名前付けの自由度が下がる)
- IPアドレスが変わるたびに自社のDNSの設定を変える (大変な上にマージンタイムがある)
- 自社内にサーバを持ってリダイレクタやリバースプロキシを運用 (結局自社でサーバを持つ必要があり、外に出した意味が半減)
まあなんというか面倒くさいです。
クラウドが流行るのは必ずしも悪いこととは思いませんが、それを自社ドメインで運用するのはけっこう大変な場合もあるということです。複数のサービスが混ざるとどんどん複雑になってきますし、このあたりをうまくシンプルに管理できれば良いと思うのですが。
2010年3月21日(日曜日)
修道女の赤き影、クリア?
公開: 2010年3月22日23時25分頃
Wizardry 囚われし魂の迷宮、追加シナリオ「修道女の赤き影」ですが、クエストレベル49の「暴走する闇の力」を6回クリア。新たなクエストが出るわけでもないようで、クリア……なのでしょうか?
シーイン最深部は全フロア踏破、アイテム収拾率は全て100%、モンスター図鑑も一通り埋まり、することがなくなってしまいました。パーティのレベルは51~60程度で、まだまだレベルは上がるのですが、上げても攻撃力が上がるわけでなし……。
※ちなみに、「暴走する闇の力」の5回目に登場したレベル99のリーイー、同じく6回目のレベル99バンプ・バーストには物理攻撃が全く当たらなかったので、Wishで呪文力強化を行ってSmite連打で倒しました。強力な自動回復もあるので、他の方法では倒せる気がしません。
なんか、かなりあっさり終わってしまった気がします。Wizardryの醍醐味はレアアイテム収集なのですが、新規追加されたアイテムは全てクエスト報酬でもらえてしまい、収集の楽しみも増えないのでした。
2010年3月19日(金曜日)
DNSリバインディング問題の確認方法
公開: 2010年3月22日23時0分頃
「かんたんログイン」DNSリバインディング耐性のチェック方法 (www.hash-c.co.jp)。
IPアドレスを調べ、携帯端末からIPアドレスでアクセスしてみて問題なくアクセスできたらNG、という確認方法ですね。基本的にはこれで問題ないと思います。……基本的には。
実は少し前、とある携帯サイトのリニューアルのお仕事があって、いろいろテストしていたことがあります。その際、DNS Rebindingの問題についても、「IPアドレスでアクセスできないこと」をテストして確認していました。
しかし、ふと思ったわけです。厳密に言うと、「IPアドレスでアクセスできないこと」を確認するだけでは不十分で、「ニセのHost:が送られてきたときにアクセスできないこと」を確認する必要があるのではないかと。「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」などという設定はまぁ無いだろうと思いつつ、念のため確認してみると……なんと、ニセのHost:でアクセスできてしまったのですね。
というわけで、世の中には「IPアドレスでは蹴られるが、ニセのHost:だとアクセスできる」という設定が実在するようなのです。そんなにメジャーな設定ではないと思うのですが、無いわけではないので、注意しておいた方が良いかと思います。
※と、書こうと思っている間に、既に徳丸さんの方で追記していただいたようです。ありがとうございます。
確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、Hostsファイルに……
218.219.246.132 example.com
……などと書いてから example.com にアクセスしてみる、といった方法があります。
ただし、これらの方法はPCからアクセスできる場合にしか使えません。携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合は、実際にDNSをいじって実機で確認する必要があります。これはなかなか面倒ですね……。
2010年3月18日(木曜日)
CAPTCHAの演出
公開: 2010年3月22日17時10分頃
「韓国、ネットゲーム中毒対策として「時間とともにゲームの難易度を上げる」ソフトを配布 (slashdot.jp)」という話が出ています。話の本筋とは関係ない部分ですが、コメント #1735228 (slashdot.jp)で紹介されていた話が興味深いと思いました。
とあるオンラインゲームのお知らせですが……。
1.オード抽出の際、一定確率でオードの毒が体にまわり、これを解毒しないと、一定時間採集ができないという機能が追加されました。
・毒がまわった際、「ピュリフィケーション スペル」を唱えて毒を解毒することができます。
・ランダムに出力される文字と数字を一定時間内に入力すると、「ピュリフィケーション スペル」を唱えることができます。
・「ピュリフィケーション スペル」の詠唱は合計3回のチャンスが与えられ、3回とも失敗すると一定時間マテリアル抽出及びオード抽出ができなくなります。
これ、要するにCPATCHAなのですね。BOTによる作業の自動を妨げる目的でCPATCHAを導入しているのだと思います。ただ、単に「入力してください」というのではなく、「スペルを唱えて……」などと、ゲームの世界観に沿わせようとしているのが興味深いと思いました。
CPATCHAは基本的にはユーザビリティやアクセシビリティを低下させる鬱陶しい存在ですが、うまく演出すればそのあたりを軽減することはできるのかもしれません (この例が成功しているのかどうかは分かりませんが)。
関連する話題: セキュリティ
2010年3月17日(水曜日)
シーイン最深部 地下6階
公開: 2010年3月22日16時30分頃
Wizardry 囚われし魂の迷宮 追加シナリオ「修道女の赤き影」。
シーイン最深部の探索を進めて、地下6階に。マップが地下6階までしかないので、このフロアが最深部の最深部ということになります。
基本的には司祭がマジックウォール、HP4000の君主がヒュージシールドを使いつつ、村正装備の侍3人で攻撃すれば大丈夫……なのですが、レベル50のリーイーにCloud of Deathを使われ、それが全員に当たって全滅したり。いやー、即死攻撃はどうにもならないですね。
まだレベル45~55くらいなので、もっと上がれば死ななくなるのかも。
※そもそも村正装備の侍×3は相当強いはずなのですが、それが前提になっているバランスのような気がします。村正で斬っても一撃では倒せない敵の方が多かったりしますしね……。
2010年3月16日(火曜日)
ドラクエ9 星空の守り人
公開: 2010年3月22日14時45分頃
ドラクエ9 (www.amazon.co.jp)
そして今日、すれ違いでラプソーン地図を入手。軽く撃破して、全魔王撃破の称号「星空の守り人」を獲得しました。サブタイトルの称号なので感慨深いですね。
※ついでに、全モンスターコンプリートの「モンスター博士」も同時に獲得。
2010年3月15日(月曜日)
Wizardry 囚われし魂の迷宮 追加シナリオ「修道女の赤き影」
公開: 2010年3月21日22時55分頃
「Wizardry 囚われし魂の迷宮」、追加シナリオが配信されていたので早速購入してみました (800円)。購入時に「インストール後に無料特典がダウンロードできる」という旨の注意書きがあったので、もう一度行ってみると、「レベル99まで上げられるようになる」パッチがダウンロードできました。
新ダンジョン「シーイン最深部」が追加、モンスター、アイテム、クエストなども追加。基本的にクリア後のパーティ向けのシナリオのようですが、うちのパーティはちょっと鍛えすぎているような気もしており……。とりあえず1階の敵は楽勝のようです。
関連する話題: ゲーム / PS3 / Wizardry / PlayStation Network
携帯電話のフィッシングサイト対策、その方法は?
公開: 2010年3月21日13時50分頃
だいぶ古い話ですが、一部で話題になったのでメモ……「フィッシング対策の現場から: インタビュー 第1回 今後は携帯電話のフィッシングサイト対策が急務 ミクシィ 軍司祐介氏 (www.antiphishing.jp)」。
一般的に携帯電話は、画面が小さい、ページのデザインなどがPCよりも限定される、接続先のURLが事前に確認できない、などの理由から、フィッシングサイトと正式なサイトの区別が難しくなります。
画面のサイズやデザインに制限があるということは、公式サイトに似せたページが作りやすくなる危険があります。通常のブラウザのように、マウスをリンクにロールオーバーさせてURLを確認できる画面設計のサイトや携帯電話はほとんどありません。
携帯サイトだと本物そっくりのページを作りやすい? いやいや、PCサイトでも本物そっくりのページを作ることは可能です。極端なことを言えば、リバースプロキシにして本物の内容を中継すれば全く同じにすることができます。
また、「マウスをリンクにロールオーバーさせてURLを確認」という方法ですが、これは現実的なのでしょうか? その確認をいつどうやって行うのでしょうか。全てのリンクについて、クリック前にステータスバーを見る……なんてことは非現実的です。では、特定のリンクだけ確認すれば良いのでしょうか。どんなときに確認するのでしょうか。
事前にいくら確認しても、リダイレクトされて異なるURLに飛ばされる場合もあります。その可能性がゼロでない以上、クリック前に事前確認する意味は薄いものと思います。
※昔はJavaScriptでステータスバーを改竄される可能性もありましたが、最近は難しくなってきていますね。
実際は単純に、「情報を入力する画面になったら、アドレスバーを見る」というだけで十分でしょう。
と、これはPCサイトの話。何故か携帯端末にはアドレスバーがない上、URLを確認するのもかなり面倒なので、どうしようもありません。「面倒でも頑張ってURLを確認する」もしくは「携帯サイトはいっさい信用しない」のいずれかになるのではないかと思います。スマートフォンが普及してくると、後者もけっこう現実的な選択肢になってきますね。
※「アドレスバーが実装されることを期待する」という選択肢はあるのでしょうか?
2010年3月13日(土曜日)
村正パワーアップ
公開: 2010年3月20日23時0分頃
久々に「Wizardry 囚われし魂の迷宮」を起動してみたら、アップデートがあると言われて強制的にパッチを適用させられました。
すると、何故か村正が大幅にパワーアップ。以前は110~150ダメージで、備前長船やムラクモ・ブレードよりも弱かったのですが、パッチ後は80~520ダメージとべらぼうな強さに。やっぱり「村正が弱すぎる、Wizでは村正は最強でなければならない」という声があったのでしょうかね。
あと手裏剣が少し強くなったりしましたが……それでも終盤のザコ敵は一撃で倒せない感じで、やっぱり忍者の武器は雷帝の鎚になってしまいますね。
428虹のしおり
公開: 2010年3月14日22時50分頃
428 (www.amazon.co.jp)
ちなみに、あることをすると秘密のサイトのURLが表示されるのですが、アクセスしてみると……。
キャンペーンへの応募は2009年1月31日をもって終了致しました。
これは残念な思いをいたしました。まあ、仕方ないですね。
2010年3月11日(木曜日)
ニセ脆弱性?
公開: 2010年3月14日22時40分頃
「楽天はニセ脆弱性を放置しないで欲しい (anond.hatelabo.jp)」というお話が。
「楽天が脆弱で個人情報が漏れている」という指摘に対して、「その指摘は誤りで、プロキシが原因なのではないか」という指摘のようで。そもそも、元の問題がどういう問題なのか良く分かりませんし、どちらが正しいのかも良く分かりませんが……。
プロキシのキャッシュだったとしても、それはそれで、「何故キャッシュされたのか」という問題がありますね。
- 楽天側が Pragma: や Cahce-Control: を出力していなかった → 楽天側の問題
- 楽天側が Pragma:no-cache や Cahce-Control:no-cache を出力していた → それを無視してキャッシュしたプロキシの問題
まあ、いずれにしても、こういうのはIPAに届け出るのがオススメです。脆弱性なのかどうかも含めて判断してもらえますし。
※そのかわり、話を盛り上げることはできませんが。
関連する話題: セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ
2010年3月9日(火曜日)
docomo IDスタートでiモードIDの利用範囲が広がる
公開: 2010年3月14日22時20分頃
本日から、「docomo ID (i.mydocomo.com)」というものが使えるようになったそうで。
「iモードID」にはいろいろな問題がありますが、それに替わる新しい認証方式が出てきたのであれば、これは非常に喜ばしいことです。……と思ったらこれ、iモードIDに替わるものではなくて、iモードIDの利用を促進するもののようですね。PCサイトでもiモードIDが取得できるようになって、モバイルサイトと連携しやすくなるという話のようで。
確かに、PCサイトのアカウントとモバイルサイトのアカウントを結びつけたりするのはなかなか面倒で、簡単にできれば良いのにと思うことはあります。……ありますが、この方法では、iモードIDが強くなりすぎてしまわないでしょうか。
iモードIDは通常のCookieと異なり、どのサイトでも同一の値が送出されます。つまり、どのサイトからも読めるCookieとして機能します。通常のCookieなら、個人情報と結びつけられても他のサイトからは追跡されません。が、iモードIDのような「スーパーCookie」ではそうは行きません。iモードIDが個人情報と結びつけられた状態で流通するようなことが起きたら、あらゆるサイトで個人が特定されることになります。通常のCookieと違って、iモードIDは変更も容易ではありません。
このスーパーCookieがPCサイトでも使用できるようになるわけですから、個人情報を結びつけられる機会も増えることになります。
さらに、公式サイトによるiモードIDの利用という線もあるでしょう。今までは、公式サイトであればUIDが取得できましたので、そもそもiモードIDを取得する必要がありませんでした。しかし、docomo IDの仕組みでPCサイトと連動したければ、公式サイトでもiモードIDを取得する必要が出てくることになります。
まだちゃんと仕様を読んだわけではないのですが、セキュリティ面はともかく、プライバシー面のインパクトは結構大きいのかもしれません。
2010年3月8日(月曜日)
コミュニケーションデザインの重要性
公開: 2010年3月14日21時45分頃
「もし日本のメーカーが iPhone を発売していたら (satoshi.blogs.com)」。
これは欲しくならないですね……。製品そのものの性能が良くても、売り方、ユーザーとのコミュニケーションの仕方が悪いと台無しですね。
関連する話題: 与太話
モバイルサイトでCookieが使われない理由
公開: 2010年3月14日21時30分頃
「ガラパゴスに支えられる携帯サイトのセキュリティ」という話を書いたところ、いろいろな反響がありました (ありがとうございます)。特に、「Cookieを使えばいいのに」「なんでCookieを使わないのだろう」というご感想を持たれた方が多かったように思います。
いわゆる「勝手サイト」に関して言うと、Cookieを使わない最大の理由は、単に対応していない端末があるからでしょう。特にdocomoでは、Cookieに対応しているのは2009年の夏以降に出た「iモードブラウザ2.0」対応端末だけです。Cookieに対応した端末が普及するまでは、まだまだ時間がかかるでしょう。
逆に言うと、Cookie対応端末が普及してくれれば問題ないことになります。勝手サイトを新規に構築する場合には、Cookie非対応端末のかんたんログインを切り捨てるという選択肢もあり得るでしょう。たとえばモバツイ (www.movatwi.jp)などは、Cookie対応端末だけが「ログイン状態を保持」できるようになっていて、Cookie非対応の端末にはかんたんログイン機能を提供しないようになっています。
そういうわけで、勝手サイトに関しては話はシンプルなのではないかと思います。むしろ、ややこしいのは公式サイトの方で……。これはまた別の機会に。
2010年3月7日(日曜日)
ラー油を買ったら本が来た
公開: 2010年3月14日17時10分頃
「ラー油を買ったと思ったら本が来た」というクレームが……「【楽天市場】ペンギン夫婦がつくった石垣島ラー油のはなし(楽天ブックス) (review.rakuten.co.jp)」。
Amazonにも同じ本がある (www.amazon.co.jp)
428本編クリア
公開: 2010年3月14日16時5分頃
428 (www.amazon.co.jp)
なかなか面白かったと思います。ある主人公の何気ない選択が他の主人公の運命を大きく変える、という仕掛けが良いですね。シナリオも良かったと思います。タマや杖の男の正体は何となく分かっていましたが、アルファルドの正体は言われるまで分からず、おおっと思わされました。みんなのおすすめプラチナ評価も頷けます。
……しかし、Amazonでの評価はイマイチなのですね。レビューを読んでみると、サウンドノベルだと知らずに……というより、サウンドノベルというジャンル自体を知らないで買った人が低めの評価をしているようなのです。これは興味深いと思いました。
本作のプラチナ評価は、あくまで買った人が下した評価です。そして、最初に買った人の多くは、サウンドノベルというジャンルを理解した上で買った人でしょう。つまり、分かって買った人の評価が高かったからといって、それが万人向けとは限らないのですね。「みんなのおすすめ」と言われると万人向けと言われているように聞こえますが、必ずしもそうではないということで。
2010年3月5日(金曜日)
Open PNEかんたんログインの脆弱性
公開: 2010年3月13日21時50分頃
Open PNEにかんたんログインの脆弱性があったそうで。
- JVN#06874657 OpenPNE におけるアクセス制限回避の脆弱性 (jvn.jp)
- 【緊急リリース】携帯版かんたんログインの不備によりなりすましがおこなわれてしまう問題について (www.openpne.jp)
かんたんログイン機能は IP アドレス帯域制限によって、真正な携帯電話からのアクセスに限定しなければ安全に使用することができません。 PC からかんたんログイン機能を使用できる状態にある場合、特定の情報を送信してかんたんログインをおこなうことで、なりすましログインがおこなわれてしまう可能性があります。
かんたんログイン機能の安全性を担保するための OpenPNE の IP アドレス帯域制限には以下の問題があります。そのため、なりすましログインをされる危険性があります。
・OpenPNE 2.14 (OpenPNE 2.13.2 以降) には、特定の操作をおこなうことで、携帯電話の IP アドレス帯域制限を回避されてしまう脆弱性が存在する
・IP アドレス帯域制限機能が OpenPNE 2.10 以降にしか存在しない
・OpenPNE 2.10 以降、 OpenPNE 3.0 以降の IP アドレス帯域制限機能がデフォルトで OFF (使用しない) になっている
携帯電話以外からアクセスされると破綻してしまうという、まさにガラパゴスの話ですね。
「特定の操作を行うことで……回避されてしまう」とありますが、具体的にはどんな操作なのでしょう。Open PNE以外のアプリケーションに影響しない話であれば良いのですが……。
- 前(古い): 2010年2月のえび日記
- 次(新しい): 2010年4月のえび日記
