水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2010年のえび日記 > 2010年8月

2010年8月

2010年8月30日(月曜日)

永遠の0(ゼロ)

公開: 2010年9月2日21時25分頃

読み終わりました。

これは凄い。

零戦のパイロットであり特攻で亡くなったという祖父について調べるうちに浮かび上がる疑問、そしてその謎が解かれたとき、もう一つの大きな真実が……という話なのですが、戦争経験者へのインタビューの形式で進んで行く話が非常に面白いです。零戦の空戦戦術の話、太平洋戦争の戦況の移り変わり、士官と下士官と兵の関係など多岐にわたるのですが、それが全て面白い。そして目頭が……。

もちろん、謎の中心である祖父の話もしっかり面白いですし、ラストの展開には驚かされました。

というわけでかなりオススメです。あえて言うと、分厚いので片手で読みにくいのが難点。

関連する話題: / 買い物

ゲームセンターCX 24 課長はレミングスを救う 2009夏

公開: 2010年8月31日23時55分頃

購入。

ゲームセンターCXではありますが、いつものDVD-BOXではありません。2009年8月29日~30日に行われた24時間生放送を編集したもので、収録時間合計13時間48分という代物。

Amazonのレビューを見ると賛否が割れているようで、星一つのレビューが結構ありますね。挑戦ソフトがレミングス (www.amazon.co.jp)のみで13時間超というのは、正直どうなのだろうと思いますが……観てみないことには何とも。

ということで地雷の予感もありますが、あえて購入。

問題は13時間を超える視聴の時間を取れるかどうかですね。

関連する話題: 買い物 / DVD / ゲームセンターCX

2010年8月26日(木曜日)

なれる! SE

公開: 2010年8月28日14時45分頃

読み終わったので。

タイトルからするとシステムエンジニアの話のように思えますが、中身はなんと、ネットワークエンジニアがひたすらルータの設定をするお話でした。これは予想外ですね。いわゆるSEらしい人たちも出てきますが、一瞬だけ、しかも全員討ち死にしているという壮絶なものです。

※SEの定義については巻末に補足説明があります。

しかし、これが意外に面白かったり。

関連する話題:

2010年8月25日(水曜日)

ホメオパシーは荒唐無稽

公開: 2010年8月28日13時50分頃

日本学術会議が「ホメオパシーは効かない」と断言、それが朝日新聞の一面に載ったようで……「ホメオパシーは「荒唐無稽」 学術会議が全面否定談話 (www.asahi.com)」。

会長談話では「ホメオパシーが医療関係者の間で急速に広がり、養成学校までできていることに強い戸惑いを感じる」とした上で、「治療効果は明確に否定されている」と指摘した。さらに「今のうちに、医療現場から排除されないと『自然に近い安全で有効な治療』という誤解が広がり、深刻な事態に陥ることが懸念される」として、医療関係者が治療に使うことは厳に慎むよう呼びかけた。一方で、「十分理解した上で、自身のために使用することは個人の自由」としている。

たとえ効果がなくても害がなければ良いではないか、という考えもあるのでしょうが、以下のような点には問題があると思います。

私が「ホメオパシー」という言葉を初めて知ったのはガードナーの「奇妙な論理 (www.amazon.co.jp)」を読んだときのことで、それまで世間にそういうものがあるとは全く知りませんでした。少なくとも日本では問題になっていないのだろうと思っていましたが、山口で新生児が亡くなった事件などを見ると、じわじわと広がってきていたようですね。世の中には「人工的なものよりも、天然自然のものの方が身体に良い」という考えを持つ人がけっこういるように思いますが、そういう人は、このような「疑似治療」を抵抗なく受け入れてしまうのかもしれません。

しかし、天然のものが身体に良いというのは誤解です。たとえば、天然のフグと養殖のフグを比較すると、天然の方が毒性が強いです (フグ毒のテトロドトキシンはフグが合成しているわけではなく、えさに由来するため)。自然界には危険なものがたくさんあります。

また、実は人間の身体もそんなに自然に適合しているわけではありません。先日読んだ「星を継ぐもの (www.amazon.co.jp)」でも語られていましたが、人間の身体にはたくさんの欠陥があります。食道と気管が繋がっているとか、立って歩くのに適した骨格になっていないとか。

そんな欠陥のある人間も、昔は、危険な自然の中で生きていたわけです。そしてその時代、人間の寿命はとても短かったのです。それを工夫して、時には環境の方を変えることで、人間は長く生きることができるようになりました。

もっと科学というものを敬っても良いのではないかと私は思います。

関連する話題: トンデモ

大東京トイボックス 6

公開: 2010年8月28日12時35分頃

6巻出ました。

発売日の昨日(24日)にはゲリラサイン会が行われたようで、サインをもらったというつぶやきが流れていましたね。

ストーリーですが、前から出ていた表現規制の話のほうに振れてきました。規制されないために自主規制を強化する、と……。CDを焼く話もアツイですね。

関連する話題: マンガ / 買い物 / 東京トイボックス

2010年8月24日(火曜日)

MELIL/CSケータイ版の叫び

公開: 2010年8月26日0時30分頃

岡崎市立中央図書館の件、朝日新聞の神田大介記者によるツイートはまだ続いています。その中に非常に興味深い話が。

i-mode用プログラムには、2003年3月3日の日付でこんなコメントがされています。「i-mode側ではやってはいけない(意味も無い)処理なので、すべてコメント化 ' ※メモリを食いつぶすので絶対コメント解除しない事!」

以上、http://twitter.com/kanda_daisuke/status/21917782920 より

MELIL/CSにはケータイ用のコンテンツを提供する機能があるようで、岡崎市立中央図書館のドメインにもそれらしいコンテンツが置かれています。

岡崎市立中央図書館のサービスが停止した理由」で書きましたが、MELIL/CSがあっさりサービス停止した原因は、セッション開始時にDB接続をしていることです。そして、そのセッションをCookieで管理しているため、Cookie無効状態で連続アクセスされるとDB接続がどんどん増殖してしまい、やがて停止に至ります。逆に言うと、Cookieが有効な環境でのアクセスであれば、大きな問題に発展しにくいと言えます。

しかし、ケータイサイトはそもそもCookie有効を前提にできません。docomoの端末がCookieに対応したのは2009年夏以降であり、現在でもdocomo端末ではCookie無効が主流だからです。ではMELIL/CSのケータイ用コンテンツはどうなっているかというと、ちゃんとCookie無効でも問題なく動作するように作ってあるのですね。

※実際にアクセスしてみると、スクリプト無効でも動きますし、けっこうサクサク動いてくれます。こちらのほうがPC版よりずっと使いやすいような……。

そのケータイ用のソースコードに、上記ツイートのようなコメントが書かれていたらしいというお話。これはつまり、ちゃんと問題点を理解して対応することできる人がいたということです。この対応がPC版にフィードバックされていれば不幸は避けられたと思うのですが。

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

星を継ぐもの

公開: 2010年8月25日0時50分頃

これは面白かったです。

つい先日、2010年7月12日に亡くなったジェイムズ・P・ホーガンのデビュー作ですね。1977年に書かれた作品なのですが、機上から端末で情報を検索する際の描写などは、2010年現在、ほとんど違和感がありません。

※残念ながらDECはもうなくなっていますけれど。:-)

ミステリとしても質が高いと思います。謎が明らかになるとまた次の謎が出てきて飽きさせません。後半の大きな謎については、私はすぐに分かってしまったのですが、最後にまたどんでん返しがあって楽しめました。

関連する話題: / 買い物

2010年8月23日(月曜日)

リューシカ・リューシカ

公開: 2010年8月24日22時30分頃

読みましたよ。

総天然色マンガ。リューシカって「龍鹿」なんですね。

幼い少女がパワフルに過ごす日常のあれこれ、ということで「よつばと!」を連想させますが、絵のタッチや雰囲気はだいぶ違います。ちょっと前衛的な感じでしょうか。

個人的には「う○こバリアー」……もとい、カチューシャの話が面白かったです。

関連する話題: マンガ

2010年8月21日(土曜日)

岡崎市立中央図書館のサービスが停止した理由

更新: 2010年8月26日0時30分頃

朝日の報道と前後して、高木さんからも情報が出ていますね……「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」。

福岡県の篠栗町立図書館のサイトにFTPサーバが立っていて、Anonymous FTPでソースコードらしきものが取得できたというお話のようで。今どきFTPのポートが開いているというだけでも驚きますが、Anonymous FTPは物凄いですね。

※私の記憶では、Windows 2000 ServerのFTPサービスはデフォルトで匿名アクセスが有効になっていたような気がします。Windows Server 2003ではFTPを使おうと思ったこと自体がないので、最近どうなっているのかは良く分かりませんが。

※2010-08-26追記: デフォルト設定どころか、管理会社 (MDISとは別らしい) が故意に認証を外したらしく、しかも書き込み可能だったという説があるようで……http://twitter.com/HiromitsuTakagi/status/22096009910 (twitter.com)。それは想像もできませんでした。にわかには信じがたい話ですが、事実だとすれば驚愕の一言です。

以前から、MELIL/CSはSession_OnStartでDBコネクションを確立しているのではないかと推察されていました。高木さんが取得したGlobal.asaの内容は、まさにその予想を裏付けるものでした。

この実装では、セッション開始の際にDBへの接続が確立され、セッション終了時に破棄されます。しかし、この図書館の蔵書検索は、そもそもログインして使うサービスではありません。ログアウトの機能もありませんから、ユーザーのログアウトでセッションが終了することはありません。ユーザーがサイトから離脱してもサーバ側にはセッションが残り、タイムアウトになるまで維持されます。タイムアウトまでの時間は設定によりますが、IISのデフォルトでは20分です。

さらに注目するべきは、セッションがCookieで管理されているということです。誰かがブラウザでこのアプリケーションにアクセスすると、アプリケーションではセッションが開始され、そのセッションIDを含むCookieが発行されます。次回アクセス時には、ブラウザからアプリケーションにCookieが送られ、アプリケーションはそのCookieを見て、同一セッションであるかどうかを判断します。

では、ブラウザのCookieが無効だったらどうなるでしょうか。この場合、初回アクセス時にセッションが開始されてCookieが発行されますが、ブラウザはそのCookieを無視します。次回アクセス時にはCookieが送られてこないため、アプリケーションは初回アクセスだと判断します。アプリケーションは別のセッションを開始し、別のCookieを発行します。

つまり、Cookie無効状態でアクセスされると、アプリケーションはどんどん新しいセッションを作ります。普通はそれでも大した問題は起きないのですが、セッション開始時にDB接続を確立する場合、DBへの接続数がどんどん増えていくことになります。DB接続できる本数には限りがありますから、その上限に達するとDB接続できなくなり、エラーで終了してしまいます。たとえば以下のようなエラーメッセージが出ることになります。

Oracle Automation エラー '800a01b8' 接続できません。,ORA-00020: maximum number of processes (150) exceeded

/LM/W3SVC/1/Root/tosho/global.asa, 行 31

これは、私が尼崎市立図書館のサイトで目撃したメッセージです。岡崎市立中央図書館においては、このエラーが On Error Resume Next で飛ばされ、別の場所でエラーになっていたと考えられています。いずれにしても、DB接続数が上限に達してしまい、サービスを継続できなくなるという現象が発生します。CPUパワーやメモリ、ディスクの容量などとは全く関係なく発生します。

ふつう、クローラはCookieを送出しませんから、クローラがアクセスしてくると一気に大量のDB接続が発生することになります。だからrobots.txtでクローラのアクセスを拒否していたのでしょう。

ではCookie有効のブラウザであれば問題が起きないかというと、そうでもありません。多くの人がアクセスしてきた場合、アクセスしてきた人数分だけDB接続が発生し、タイムアウトまで維持されます。短時間の間に多くの人が来れば、負荷がそれほど高くなくてもサービスが停止してしまうおそれがあります。

そもそも、セッション開始時にDB接続を確立するような設計がナンセンスなのであって、その設計を見直すべきです。高木さんの報告によれば、ASP.NET版では実際に見直しがされているようですね。

※どうでも良い話ですが、「'エラー対策?」というコメントが秀逸で笑ってしまいました。「エラー対策」と書くなら分かるのですが、どうして疑問形で書かれているのでしょうか。

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

岡崎市立中央図書館の件、朝日新聞に

公開: 2010年8月22日19時0分頃

岡崎市立中央図書館の件、朝日新聞名古屋本社版に記事が出たそうで。asahi.comでも見られますね。

日経コンピュータと比べてもかなり踏み込んだ取材を行われたようで、問題の本質をとらえた良い記事だと思います。要するに、サービス停止の原因は図書館側のプログラムの不具合ということですね。Twitter界隈では盛んに言われていたのですが、一般の人に分かりやすく伝えるのはなかなか難しいところでした。

記事を書かれた神田大介さんは、Twitter上でもいろいろ語られています。

みなさま、おはようございます。記事を書きました朝日新聞の神田と申します。今回の件では、ツイッターやブログなどネット上の情報をたくさん参考にさせていただきました。まずはお礼を申し上げます。

以上、http://twitter.com/kanda_daisuke/status/21704708183 より

私のアカウント (@bakera (twitter.com)) もフォローしていただいているようで、私のツイートが多少なりとも役に立ったのであれば嬉しいですね。

その後のやりとりは以下にまとめられています。

そして、最も印象に残ったツイートがこちら。

警察発表があったとは言え、もともとlibrahack氏の名誉を毀損したのは朝日新聞をはじめとするマスコミの報道です。その意味でも今回の記事は必要だったと考えています。

以上、http://twitter.com/kanda_daisuke/status/21745676285 より

これはなかなか言えないですよね。

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack / Twitter

2010年8月20日(金曜日)

脆弱.inふたたび

公開: 2010年8月22日15時10分頃

ドラッグ&ドロップで簡単プログラミング 文科省が子ども向けに公開、まとめサイトも登場 (www.itmedia.co.jp)」というお話が。

プログラミンで公開された作品を一覧で見たり、評価を投稿できる非公式サービス「プログラミン作品ギャラリー」を個人開発者の矢野さとるさんが同日中に公開するなど、反響が広がっている。

矢野さとるさんと言えば……ということで、今回も早速指摘されていますね。

現在は修正済みのようです。公表されたら直すのですね。

話は変わりますが、情報セキュリティ早期警戒パートナーシップの制度に関して「脆弱性を修正しようとしない運営者・開発者をどうするか」という議論が行われているようで、私も少し意見を述べさせていただきました。

まあ、いろいろありますよね。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

パスワードを含むURLで警告が出ない話

公開: 2010年8月22日13時45分頃

こんな話が……firefoxのiframeに脆弱性? (slashdot.jp)

URIには http://username:password@example.com/ のようにしてIDとパスワードを入れることができたのですが、この形式で http://bakera.jp:bar@example.com/ のようにすると異なるドメインのように見せかけられるというアドレスバー偽装の問題がありました。この問題に対して、IEはその形式のURLにアクセスできないようにするという対応を行いました。Firefoxの方はアクセスできないようにするのではなく、アクセスしようとしたときに警告が出るようにしています。

[サイト www.st.ryukoku.ac.jp にユーザ名 "archives" でログインしようとしています。]

アクセス先が認証を求めていない場合はさらに厳しい警告が出ます。

[サイト bakera.jp にユーザ名 "foo" でログインしようとしていますが、Webサイトは認証を必要としていません。このサイトはあなたをだまそうとしている可能性があります。サイト bakera.jp に接続しますか?]

今回話題になっているのは、このURLがiframesrc属性に指定してある場合に警告が出ない、というお話のようで。実際やってみると、確かに警告は出ないのですが、リロードすると警告が出たり、良く分からない動作になるようですね。

iframeの中であればアドレスバー偽装の問題は起きませんが、そもそもFirefoxではアドレスバーにIDとパスワードが残らないようになっているようで、いずれにしてもアドレスバー偽装としては問題にはならないように思いますが……。

関連する話題: Web / セキュリティ / UA / Firefox

2010年8月19日(木曜日)

CSS Nite in Ginza, Vol.51

公開: 2010年8月21日23時25分頃

CSS Nite in Ginza, Vol.51 (cssnite.jp)に行ってきました。

技術評論社の馮さん、Adobeの西村さんによる電子書籍のお話。話の流れはこんな感じでした。

鷹野さんからは「InDesignの吐くePubのCSSが汚すぎる」というツッコミがあったりしましたが……。

Webとの繋げ方をどう考えていくのかといったあたりに興味がありましたが、そのあたりはまだこれから模索していく感じのようで。ひっそりと懇親会にも参加させていただいて、いろいろ貴重なお話をお聞かせいただきました。

※次回Vol.52 (cssnite.jp)の予定の紹介もあったりしましたが、やたらハードルを上げられているような気がするのは気のせいでしょうか……。

関連する話題: Web / 出来事

脆弱性関連情報流通にまつわるAppleのスタンス

公開: 2010年8月21日16時55分頃

こんな話が……「Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 (d.hatena.ne.jp)」。

WEBrickというのはRubyで書かれたWebサーバで、Railsのテスト環境としてよく使われます。それに脆弱性があったのですが、Appleが開発者に連絡せずに自分のところだけ修正して公開してしまった、というお話のようで。

※脆弱性の内容としては、単純に、エラーページのHTTP応答ヘッダにcharsetパラメータがついていなかったという話のようです。

こういう話こそ、情報セキュリティ早期警戒パートナーシップで何とかしてほしいと思うのですが……。

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / Apple

2010年8月18日(水曜日)

HTTPSで通信すると個人情報が筒抜けになってしまう……という話ではない話

公開: 2010年8月21日15時25分頃

SSL通信で個人情報が筒抜け? カード明細に見知らぬ購入履歴 (internet.watch.impress.co.jp)」。

タイトルだけ見ると、「通常のHTTPでは大丈夫なのに、HTTPSで通信すると個人情報が筒抜けになってしまうケースがある」と読めて、一瞬ドキッとしたわけですが、ぜんぜん関係ない話でしたね。

これ、単に「見知らぬサイトでカード情報を入れるな」という話ですね。正当な証明書があったとしても、基本的には通信相手が本物であることを示しているだけですので、通信相手が本物の詐欺師だった場合は被害に遭います。この被害はSSL/TLSと関係ない話ですし、フィッシングとも関係ありませんね。

関連する話題: セキュリティ

2010年8月17日(火曜日)

CSS Nite in Ginza, Vol.52 開催まで1ヶ月

公開: 2010年8月21日13時55分頃

まっちゃだいふくさんに CSS Nite in Ginza, Vol.52 をご紹介いただきました。ありがとうございます。

ふと気付くとあと1ヶ月なのですね。準備しないと……。

関連する話題: Web / セキュリティ / CSS Nite / 講演

2010年8月16日(月曜日)

サイン会はいかが?

公開: 2010年8月18日1時0分頃

読み終わったので。

短編5編を収録。さくさく読めて、読後感が良いです。やはり長編よりも、短編集の軽妙な感じの方が合っているように思いますね。

取り寄せトラップ

4人のTさんをめぐる事件、謎の取り寄せ注文、そしてトラップ。この解決はちょっとどうかなという感じもありますが。

以下、登場した実在する本。

君と語る永遠

謎の小学生。あの引き出しはストッカーと言うのですね。

バイト金森君の告白

雑誌の処理は大変なのだぞ、というお話(なのか?)。ゼクシィは確かに異常に分厚いですね。

サイン会はいかが?

表題作。サイン会は大変なのだぞ、というお話(なのか?)。

面白いのですけれど、職業柄、ネット関係の記述は気になりますね。犯人(?)は掲示板荒らしやメール送信をしているのですから、まずはリモートホストのIPアドレスやメールヘッダのRecieved:を調べるのがセオリーでしょう。また、アクセス制御していたはずなのにサイトを改竄されたというのは、完全に犯罪 (不正アクセス禁止法違反) になりますので、警察への通報を考えて良いレベルです。

ヤギさんの忘れ物

写真がなくなる話。ひそかに「あかずきん (www.amazon.co.jp)」の博美が活躍していますね (「サイン会はいかが?」にも登場していますが)。

関連する話題: / 買い物

システムが安全であるということを証明しているラベルまたはロゴ、とは?

公開: 2010年8月17日23時30分頃

インターネット上のサービスにおけるプライバシについての調査結果を公開~日本・EUの比較により、日本人のプライバシ侵害を自身で防ぐ意識の低さが判明~ (www.ipa.go.jp)」。

いろいろ調査されているのですが、「プライバシを確保するためにブラウザーのセキュリティ設定を変える」が日本でも24%あるというのがちょっと驚きです。しかし、どの設定をどう変えたかまでは調査されていない模様……。

しかし、それより気になったのは、「システムが安全であるということを証明しているラベルまたはロゴ」とか「重要な個人情報を入力する前に、取引が保護されている、あるいは、サイトが安全であるという表示を持っていることを確認する」とかいった項目。これ、もしかして、ベリサインのシールだとかPマークとかいったものを指しているのでしょうか……?

関連する話題: プライバシー / IPA

2010年8月14日(土曜日)

岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目

公開: 2010年8月17日0時55分頃

岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件(岡崎市中央図書館事件) (aiailifeyanase.cocolog-nifty.com)」。

そこで、私も図書館の担当者に聞いてみました。

「中央図書館りぶらに導入した蔵書検索システムは、全国のいくつかの図書館でも使用しているもので、この5年間、特にこのようなトラブルは起こっていない。しかし、コンピュータの技術革新はたいへん早く、今回のようなWebサイトの利用形態などは5年前には想定できなかった。」

とのことでした。

それはないでしょう。「5年前には想定できなかった」などということは、あり得ないと言って良いと思います。

絨毯爆撃で有名だったdloader(NaverBot)Baiduspiderは、2003年の時点で稼働していました。今回問題になったクローラーは1秒に1回以上のアクセスをしないように配慮していましたが、dloaderにはそのような待ち時間はなく、はるかに激しいアクセスをしていました。クローラによる短時間での連続アクセス、それも今回のものよりもっと激しいアクセスが、2003年には既に実際に起きていたのです。

dloaderとBaiduSpiderは極端な例ですが、他にもこのように自動でWebにアクセスするプログラムは多数存在します。クローラーアンテナプリフェッチャなどさまざまな種類があり、ずっと昔から稼働していました。

では、岡崎市立中央図書館ではなぜ今まで死んでいなかったかというと、/robots.txt を置いてクローラーからのアクセスを拒否していたためでしょう。robots.txtの内容については「高木浩光@自宅の日記 - 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) (takagi-hiromitsu.jp)」で詳しくレポートされています。このrobots.txtには無意味な記述も大量に含まれていますが、基本的には全てのクローラの全てのアクセスを拒否する指定になっています。

※昔のdloaderはrobots.txtを読まなかったという噂もあるのですが、MELIL/CSができた頃には読むようになっていたのかも。そのあたりは良く分かりません。

機密性があるわけでもない情報に対してrobots.txtでアクセスを拒否するということは、普通はしません。なぜrobots.txt が置かれているのかと言えば、それは置かないとまずいことが起きると分かっていたからであり、おそらくは実際にまずいことがあったから置いたのでしょう。クローラーが来て落ちるということが実際に起きたため、robots.txtを置いて対応したという可能性が高いと思います。

本来であれば、クローラーのアクセスに耐えられるように設計を見直すべきです。というか、普通に作っていればクローラーが来ただけで落ちたりはしないはずです。「この5年間、特にこのようなトラブルは起こっていない」とのことですが、それ以前にはトラブルが頻繁にあって、しかしながら根本的な対応をせずに姑息な手段で済ませてしまった……という経緯があるのではないかと推察します。

今回は、たまたまその姑息な手段が通用しなかったというだけでしょう。5年前にはなかったことが起こったとか、そんな高度な話ではありません。システムには昔からずっと問題があって、その問題が今回たまたま表面化したというだけの話のように思います。

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

2010年8月13日(金曜日)

誤報: 幻のiPhoneウィルス配布サイト

公開: 2010年8月16日23時30分頃

【注意喚起】アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して (www.lac.co.jp)」という記事が。例のiPhoneでJail Breakできる脆弱性に関する注意喚起なのですが、気になる記述が。

当社注意喚起に関する報道に関して

一部の報道では、iPhoneを制御できるコンピュータウイルスを配布するサイトが既に存在するような誤解を与えかねない表現で記載されていますが、8月12日現在、弊社ではウイルスの発生は確認しておりません。

たとえば読売のこれですね……「iPhone OSに弱点…ウィルスが勝手に電話 (www.yomiuri.co.jp)」。

ネットセキュリティー会社「ラック」(東京)によると、iPhoneなどで海外のあるサイトを閲覧するとウイルスに感染。感染したiPhoneは、第三者のパソコンで自由に操られ、勝手に電話をかけられたり、保存している写真やメールを見られたりするという。

確かに「海外のあるサイトを閲覧するとウイルスに感染」と言っていて、既にウィルス配布サイトが存在するというニュアンスに読めますね。どうしてこうなってしまったのかが気になります。

関連する話題: セキュリティ / Apple

2010年8月12日(木曜日)

mixiがダウンから復旧

公開: 2010年8月15日1時20分頃

mixi、大規模障害から復旧 原因は「キャッシュシステムの不具合」 (www.itmedia.co.jp)……ということでmixiは復旧したようです。

「キャッシュシステムの不具合」ということなのでプロキシサーバの障害なのかとも思いましたが、どうやらmemcachedの障害のようで。

memcachedが大量の接続を受けると突然停止をするので、memcachedへの接続数を減らし安定運用中。外部からの過剰アクセスではなく、サーバ追加→クライアント数増加→停止。

memcachedが死ぬというのも珍しいように思いますが、mixiクラスになるといろいろあるのでしょう。

関連する話題: Web

2010年8月11日(水曜日)

XmlPreloadedResolverでXHTML1.1を処理する

公開: 2010年8月12日22時30分頃

W3CのDTDを取りに行きすぎるとBANされるという話がありますで紹介したXmlPreloadedResolverクラスですが、.NET Framework4から使えるようになっています。

DTDを取りに行かなくてもXHTMLをWell-formedなXMLとして扱うことはできるのですが、©などの実体参照が解釈できないという問題があります。XmlPreloadedResolverを使えば、無駄な通信をせずに実体参照も扱えるようになるので便利です。

というわけでさっそく試してみました。たとえば以下のようにすると、

XmlDocument doc = new XmlDocument();
doc.XmlResolver = new XmlPreloadedResolver(XmlKnownDtds.Xhtml10);

文書型宣言に http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd などのURLが出現しても、取りに行かずに解釈することができるようになります。これですべて解決……と思いきや、XmlKnownDtds列挙体 (msdn.microsoft.com)にはXHTML1.0とRSS0.91のものしかありません。XmlKnownDtds.All を指定した場合でも、以下のもので全てのようなのです。

何が困るって、XHTML1.1がどこにもないわけですよ。

とはいえ、諦めるのはまだ早いです。XmlPreloadedResolver.Add() を呼ぶと任意のUriとDTDのペアを追加できるようなので、XHTML1.1のDTDをローカルに置いてからこんな感じでやれば簡単に……。

FileInfo dtdFile = new FileInfo("xhtml11.dtd");
Uri dtdPublicUri = new Uri("http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd");

XmlPreloadedResolver xpr = new XmlPreloadedResolver();
using(FileStream fs = dtdFile.Open(FileMode.Open, FileAccess.Read, FileShare.Read)){
    xpr.Add(dtdPublicUri, fs);
}

……と思いきや、実際に使ってみたらこんな例外が。

System.Xml.XmlException: 'http://www.w3.org/TR/xhtml-modularization/DTD/xhtml-inlstyle-1.mod' を解決できません。

そういえば、XHTML1.1の特徴はモジュール化でしたね。

幸い、XHTML1.1にはモジュール化されたDTD群を合体させたxhtml11-flat.dtdがついているので、ローカルのxhtml11-flat.dtdを読ませるようにして解決しました。flat版があって良かったです……。

関連する話題: C# / .NET / プログラミング

2010年8月10日(火曜日)

フルメタル・ジャケット

公開: 2010年8月12日0時30分頃

セキュリティホールmemoで「フルメタル・ジャケット」、GyaO!で無料配信開始 (www.st.ryukoku.ac.jp)という話が出ていたので、せっかくだからということで視聴してみました。

噂のハートマン軍曹大活躍。これはおそらく単に厳しいのではなくて、いったん人間性やプライドといったものを全部壊し、何も考えられなくしてから再教育するためなのでしょうね。

ファミコンウォーズ (www.amazon.co.jp)のCMはこれが元ネタだったということを初めて知りました……。

関連する話題: 映画

晩夏に捧ぐ

公開: 2010年8月11日23時40分頃

読み終わったので。

配達あかずきんの続編にあたる作品。なかなか面白かったです。

ただ、後半に出てくるWeb関係の描写はちょっと違和感が。ふつうにWebメール的なものを使えば良さそうに思うのですけれど。

※ラストの本は「秘密の花園 (www.amazon.co.jp)」?

関連する話題: / 買い物

mixiがダウン

公開: 2010年8月11日14時45分頃

mixiがダウン (www.itmedia.co.jp)だそうで。アクセスしようとするとこんなメッセージが出ますね。

復旧作業をおこなっております。申し訳ございませんが、しばらく時間をおいてから再度アクセスをお試しください

そういえば、1日1回以上アクセスしないと損をするようなmixiアプリのゲームがあったような気がするのです。

関連する話題: Web

2010年8月9日(月曜日)

週刊東洋経済 実践的「哲学」入門

公開: 2010年8月11日14時20分頃

今日発売の「週刊東洋経済 2010年8月14・21日合併特大号 (www.amazon.co.jp)」ですが、特集記事が「混迷する現代社会を生きるビジネスパーソンのための実践的『哲学』入門」となっています。今話題のマイケル・サンデルのインタビューや「これからの「正義」の話をしよう (www.amazon.co.jp)」も取り上げられているのですが、それよりも、その前の「15テーマを政治哲学で徹底解明」という記事が面白かったです。

最初に自分のスタンスを「政治的自由度」「経済的自由度」の2軸でプロットして、15のテーマについて4つの象限それぞれの立場から解説しています。政治的意見の対立を左右の1軸で説明されてもなかなかピンとこなかったのですが、こうやって2軸で説明されると分かりやすいですね。

自分のスタンスもマッピングできますし、最近のオバマ政権や鳩山政権・菅政権のスタンスに興味のある人は読んでみると面白いのではないでしょうか。

関連する話題: / 政治 / 経済

.NET Framework4 / ASP.NET4を導入

公開: 2010年8月11日0時45分頃

URLに%22が含まれると例外が出る問題」を受けて「URLに%22が含まれても何とかする方法」を実装したのですが、これはこれで以下のような問題があります。

というわけでさらにスマートな解決方法を探していたのですが、意外にあっさり見つかりました。

ASP.NET 4 also enables you to configure the characters that are used by the URL character check. When ASP.NET finds an invalid character in the path portion of a URL, it rejects the request and issues an HTTP 400 error. In previous versions of ASP.NET, the URL character checks were limited to a fixed set of characters. In ASP.NET 4, you can customize the set of valid characters using the new requestPathInvalidChars attribute of the httpRuntime configuration element, as shown in the following example:

<httpRuntime requestPathInvalidChars="&lt;,&gt;,*,%,&amp;,:,\,?" />

以上、ASP.NET 4 and Visual Studio 2010 Web Development Overview - Expanding the Range of Allowable URLs より

以前のASP.NETでは、URLに含まれる「不正な文字」をチェックするルールは固定でしたが、ASP.NET4からはカスタマイズできるようになったと。ASP.NET4ではルーティングの設定が可能になったということもあって、このようなカスタマイズができるようにしたのでしょう。

そんなわけで、早速.NET Framework 4 をインストール。IISの設定を変えてASP.NET4を有効にして、web.configに <httpRuntime requestPathInvalidChars=""> を追加してみました。

するとこれがエラーで動かないわけですよ。httpRuntime要素の説明 (msdn.microsoft.com)を見てもそれらしい属性が載っていませんし。本当に使えるのかと疑問に思いつつもさらに調べると、「RequestPathInvalidCharacters プロパティ (msdn.microsoft.com)」というドキュメントがみつかりました。

なんだあるじゃないか……と思いきや、よく見るとrequestPathInvalidCharsではなくrequestPathInvalidCharactersとなっているではありませんか。試しに属性名をrequestPathInvalidCharactersにしてみたところ、あっさり動作しました。さっきのサンプルが間違っていたということになりますね。

まあともあれ動いたのでめでたし、と思ったら、今度は掲示板にタグを含むコメントを投稿することができなくなっていることが判明。「危険な可能性のある Request.Form 値がクライアントから検出されました。」と言われてしまうので、validateRequest=true相当の動作になっているものと思われます。

※validateRequestについては「ASP.NET に XSS?」参照。

ASP.NET4ではこのあたりの動作も変更されているようで、結論としてはrequestValidationMode (msdn.microsoft.com)に2.0などを指定してやれば良いようです。

結局、以下のような記述になりました。

<configuration>
<system.web>
<httpRuntime requestPathInvalidCharacters="" requestValidationMode="2.0" />
</system.web>
</configuration>

ひとまずこれで意図通りの動作になっているようです。

しかし言うまでもありませんが、XSSへの考慮が不十分なシステムでは、この設定は危険なので注意が必要です。逆に言うと、ASP.NET4では、デフォルトである程度のXSSは防いでくれるということでもありますが。

関連する話題: C# / .NET / ASP.NET / IIS / プログラミング / hatomaru.dll

それは「情報」ではない。

公開: 2010年8月9日18時15分頃

ひっそりと読み終わったので。

情報アーキテクチャの世界ではよく知られている有名な本なのですが、実はまだ読んでいなかったので、ひっそりと読みました。2001年に出た本なのでかなり古いのですが、今読んでもそれほど古さを感じません。

※なぜかAmazonでは2007年発売と表記されていますが、どう考えても間違いだと思います。手元のものは2001年発行の初版ですし。ちなみに原著Information Anxiety 2 (www.amazon.co.jp)は2000年に出ています。

情報の整理方法の話はもちろんなのですが、成功より失敗、回答より質問、知らないと認めることの重要性など、普遍的な内容も多く含まれています。オフィスでのモチベーションの話などは、いまだに「あるある」という感じですね。

関連する話題: / Web / IA

2010年8月7日(土曜日)

HTML4.01邦訳が読めなくなっている問題

更新: 2010年8月8日13時15分頃

HTML4.01邦訳は以下のURLで知られていますが、

これが昨日(8月5日)から Not Found になっています。URLを削って一つ上のディレクトリにアクセスしてみると、ファイル一覧が見えます。そこで適当なファイルを選ぶと、見たかった内容にアクセスできます。

どうも、ASAHIネットのApacheの設定が変わってしまったようですね。少なくとも以下2点が変更されています。

1日経っても直る気配がないので問い合わせてみたところ、すぐに返事がいただけました。土曜日なのに素晴らしいですね。

個人ホームページサービスのサーバのメンテナンスによる影響かと思われますが、現在担当部署に確認を行っております。

誠に恐縮ではございますが、今しばらくお待ちいただきますようお願い申し上げます。

というわけで、そのうち直るのではないかと思います。

※あるいは「担当部署」は土日休みという可能性もありますが、週明けには直るでしょう。たぶん。

※追記: 8月8日の昼頃から復旧しているようです。

関連する話題: Web / ASAHIネット

ゲーム機の数割がボットに感染している話、補足

公開: 2010年8月8日10時50分頃

10代のネット利用を追う 子どものDSユーザー、マジコン率が7割!? 野良APでネット接続、WEP破りまで (internet.watch.impress.co.jp)」という記事が出ていましたが、よほど問い合わせがあったのか、補足説明が追記されていますね。補足というより訂正と言った方が良さそうな内容のように思えますが……。

まずは「パソコン以上にゲーム機が危険。ゲーム機の数割がボットに感染している」という話について。

【追記 2010/08/06 22:40】

田島氏は2009年9~12月、小学校7校と中学校5校において、協力が得られた児童・生徒71名の携帯ゲーム機(ニンテンドーDS/DS Lite/DSi/DSi LL、PSP)計114台を調査。その結果、マジコンを使用またはカスタムファームウェア化したゲーム機の39%で、ウイルス(スパイウェア)の混在が確認されたという。

ウイルスとしては、悪意のあるプログラムに限らず、常駐型プログラム以外であっても、フック系関数(自作アプリが動作する環境のこと)が混在している非正規アプリはすべてカウントした。

自作アプリが動作する環境になっているだけで「ボットに感染」とカウントするのは斬新ですね。「将来ボット感染の可能性あり」ということでカウントしたのかもしれませんが、それをカウントするのであれば、PCはほぼ100%ボットに感染しているという結果になるはずです。

※なんというか、トラッキングCookieをウィルスとしてカウントするアンチウィルスソフトみたいですね。

それから、「ニンテンドーDSを持つ子どもの7割がマジコンを持っている」という話について。

【追記 2010/08/06 22:40】

マジコンの所持率については、地域・学校によって大きなばらつきがあるため、この7割という数字が、広くどこででも当てはまるわけではない点に注意が必要だ。マジコンの存在自体あまり知られていない地域もあれば、田島氏の報告にあるように、高い比率を示す地域もある。野良APについても同様だが、こうしたことに詳しい子どもが数人いると、その地域の子どもたちの間で口コミによって一気に“普及”してしまう模様だ。

田島氏が紹介した7割という数字は、同氏が2008年9月~2009年6月、小学校3校の児童約190名に対して、「マジコンを持っている人? PSPでカスタムファームウェアしている人?」と質問し、挙手で回答してもらった結果。そのため、厳密にはニンテンドーDSにおけるマジコン使用のほか、PSPにおけるカスタムファームウェア化も含まれる。

なお、田島氏によれば、マジコン以上に、中・高校生におけるPSPのカスタムファームウェア化の方が比率は高いとしている。2009年10月と2010年3月、中学校2校の生徒計203名に対して同様に挙手で回答してもらった結果、計168名がカスタムファームウェア化をしていたという。

挙手回答の結果だそうで。本当にマジコンが使われているのかどうかを調べたわけではないうえに、PSPのカスタムファームウェアも込みの数字ということですね。そもそも、小学生で「カスタムファームウェア」というものを正しく理解できているのでしょうか……?

関連する話題: セキュリティ / 統計

2010年8月6日(金曜日)

はてなインターン講義でご紹介いただきました

公開: 2010年8月8日0時50分頃

ここ数日、はてな社内で「はてなインターン講義」というものが行われてUstreamで中継されたりしていたようです。Togetterに「はてなインターン講義「ユーザーインターフェース, HTML5」 (togetter.com)」というまとめがあるという話が流れてきたので、何となく見てみました。

すると気になるつぶやきが。

……。

いったい何の話をしているのでしょうか……と思ったりつぶやいたりしたところ、スピーカーのnanto_viさんからコメントをいただきました。

@bakera HTMLの構文に関して http://bakera.jp/ebi/topic/2738 の「だいたい、XSS なんてのは『何が起きても常に valid な HTML を出力する』という誇りがありさえすれば~」を引用しました。

以上、http://twitter.com/nanto_vi/status/20439759849 より

というわけで、「H18年度ウェブアプリケーション開発者向けセキュリティ実装講座」の内容を引用していただき、そこで話題に出たということのようで。ご紹介いただきましてありがとうございます。

関連する話題: Web / HTML / 出来事 / Twitter

2010年8月5日(木曜日)

ネットスーパーからカード番号流出

公開: 2010年8月7日11時0分頃

ネットスーパー8社の顧客カード情報1万2191件が流出 (internet.watch.impress.co.jp)

NEO BEATによると、7月24日~26日にかけて同社のウェブサイトに対して、日本と中国の4つのIPアドレスから不正アクセスが行われ、データベース上のクレジットカード情報が窃取されたという。流出した情報は、カード番号、名義、有効期限などを含むクレジットカード情報1万2191件。

いかにもSQLインジェクションっぽい雰囲気が漂っていますね。

……なんか「マルエツネットスーパー」って聞いたことがあるなと思ったら、2008年8月15日にSQLインジェクションを発見して届け出ていました。当時は http://www.shokutaku.jp/maruetsu/ というURLに置かれていましたが、今回問題になったものは http://maruetsu.net/ ということで、別のサイトのようですね。

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

2010年8月4日(水曜日)

動かないコンピュータ: 岡崎市立中央図書館事件

公開: 2010年8月4日23時20分頃

本日発売の「日経コンピュータ」に岡崎市立中央図書館の話が出ていると聞いたので、早速購入。

うっ……この薄さでこの値段か……こんなに高かったっけ……と思いつつも、とにかく購入しました。

図書館側の方のコメントなども交えて事件の経緯が語られていますが……「動かないコンピュータ」というわりに、システムが動かなかった原因などはほとんど述べられていないですね。Twitter の #librahack をしっかり追っていた人にとっては、ほぼ既知の話ではないかと思います。

※DB が Oracle9i と判明したのはいちおう新情報かも。

出ていた話ベンダー側や警察側の話もあれば面白かったと思うのですが、さすがにそれは難しかったという感じですかね。

関連する話題: / 買い物 / 岡崎市立中央図書館事件 / librahack

2010年8月1日(日曜日)

紙魚家崩壊 九つの謎

公開: 2010年8月2日23時15分頃

読み終わったので。

これも短編集でした。「九つの謎」とは短編9編の意味。

しょっぱなの「溶けていく」がいきなり救いのないお話でなんとも。

個人的に好きなのは「サイコロ、コロコロ」「おにぎり、ぎりぎり」の2編。十面ダイスにどんな使い道があるかって、それはズバリD&D以外にないでしょう。:-)

※ちなみに私は赤ではなく黄色いアクリルのやつ (www.amazon.co.jp)を愛用していました。

関連する話題: / 買い物 / 北村薫

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト