2011年10月
2011年10月30日(日曜日)
和民のポルナレフメニュー
公開: 2011年11月6日1時20分頃
坐・和民のメニューの正式名称を確認しようと、和民のサイトにアクセスしていたときの出来事。
とりあえず以下のページにたどり着きました。
- メニュー|和民/坐・和民/和み亭/|ワタミフードサービス株式会社 (www.watamifoodservice.jp)
東日本、西日本、九州地区とタブで分かれていますが、東日本がデフォルトで選択されているので、そのまま「グランドメニュー」をクリックしました。すると表示されたのは……西日本のグランドメニュー。
あ……ありのまま 今 起こった事を話すぜ! おれは東日本のグランドメニューをクリックしたと思ったら、いつのまにか西日本のグランドメニューをクリックしていた。な、何を言ってるのかわからねーと思うが、おれも何をされたのか (以下略、ポルナレフAA略)。
訳が分からないまま先の画面に戻ってしばらく様子を見ると、何が起きたのか分かりました。何と、3つあるタブが5秒おきに勝手に切り替わるのですね。ボタンにマウスポインタが載っていてもお構いなしに切り替わるので、クリックしようとした瞬間に切り替えが発生すると、クリックしたつもりのないものがクリックされてしまう現象が発生します。
アクセスした直後だとすぐに切り替わってしまうので、しばらく (15秒ほど) 待ってタブが一周するのを待つか、あえて別のタブを一度クリックしてから「東日本」をクリックし直すと良いでしょう。目的のタブが表示された直後なら、切り替わるまで5秒の猶予がありますから、タイミングはそれほどシビアではありません。
しかし、なんでこんなところでゲームじみた操作をしなければならないのか……。タブが自動で切り替わる必要性は全くないと思うのですが、ファーストビューで西日本や九州地区が見えていないと駄目とか何とか、そういう政治的な事情でもあったのでしょうか?
ともあれ、メニューの項目が勝手に動いたり変化したりすると、「あるボタンをクリックしたと思ったら、別のボタンをクリックしていた」という現象が起きるわけですね。これはあまりにもポルナレフの台詞にマッチした状況……。このようなインターフェイスを「ポルナレフメニュー」と命名したい気分です。
- 「和民のポルナレフメニュー」にコメントを書く
2011年10月29日(土曜日)
深夜食堂 8
公開: 2011年11月5日1時20分頃
出ていたので購入。
- 深夜食堂 8 (www.amazon.co.jp)
印象に残ったエピソードがあまりないですね……。オモニが助けてくれたという震災の話くらいでしょうか。
むしろラストの箸休めの方が印象的でした。たこウィンナーをタコで作るという発想はなかった……。
日常 (七)
公開: 2011年11月4日23時10分頃
完全にノーマークでしたが7巻が出ていました。
- 日常 (七) (www.amazon.co.jp)
相変わらず面白いですね。アニメで既出のネタもありますが、そうでないネタも十分にあります。
今回笑わされてしまったのは、パラシュート花火のエピソード。田中がふいうちを受けたときの台詞 (?) に、声を出して笑ってしまいました。何が面白いって、これ、絵じゃなくて写植なんですよね。「〠」……U+3020 の "POSTAL MARK FACE"。この文字自体シュールな感じがしますが、「日常」のシュール感と良く合っていると思います。
それから囲碁サッカーがまた新しい次元に。また一人の修羅が爆誕……しなかった……。
あとは中村先生が良かったですね。髪を縛ったなのとか、謎の新聞屋とかも良かったです。つまり全体的に良かったということです。
2011年10月28日(金曜日)
賭博堕天録カイジ 和也編 7
公開: 2011年11月4日2時5分頃
出ていたので購入。
- 賭博堕天録カイジ 和也編 7 (www.amazon.co.jp)
早く和也vsカイジの対決が見たい、というそれだけの思いでページをめくるも、まだ友情確認ゲーム終わらず。
いちおう、新たに「前の回で救出者だった者は必ず人質になる」という法則が明らかになりましたが、特にどうということもないですね。ゲームの必勝法はとっくの昔に判明していますので……。
3人が勝利するには、和也の揺さぶりを無視して淡々と必勝法を実行すれば良いだけです。べつに裏切る必要はありませんし、本来は裏切る動機もないはずなので、あとは実行できるかどうかだけが問題になります。戦術を考えて楽しむような余地が既になくなってしまっているのがつらいところです。
徳丸本ができるまで
公開: 2011年11月4日1時50分頃
こんなお話が……「「徳丸本ができるまで」スライドを公開します (d.hatena.ne.jp)」。
徳丸本こと「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 (www.amazon.co.jp)
「脳内での妄想」と言われていますが、「HTML4なのかXHTMLなのか明確にしたい」というのは実際に私がコメントしたものですね。サンプルコードに <br> と <br/> が混ざっていたので統一したいという話をしました。
とはいえ、その他はHTMLに関するコメントはほとんどしていなかったような。むしろ印象に残っているのは終盤での図版への大量コメントで、図を作成された方にはいろいろお手数をおかけしたのではないかと思います。
2011年10月27日(木曜日)
ガリレオの苦悩
公開: 2011年10月31日1時5分頃
読み終わったのでメモ。
- ガリレオの苦悩 (www.amazon.co.jp)
探偵ガリレオシリーズ。相変わらずの科学トリックではあるのですが、科学っぽさは抑え気味で、科学の知識があると解けるという話は少ないです。特定の知識を問うというよりも、「科学的なアプローチとは何か」とか「科学者の倫理とは何か」といった、根本的な考え方の部分にフォーカスしたストーリーが多いように思いました。
特に印象に残ったのは、論理ではなく実験、実践を重視する姿勢。やってみる、というスタイルが肯定的に描かれています。
あとは、単に犯人を追い詰めるだけではない湯川の姿。科学者と対峙することになったり、逆にあえて科学を使わなかったりと、「科学の知識は必要だが、科学の知識だけでは解決できない問題がある」というテーマが見て取れます。
このあたりは、容疑者xの献身 (www.amazon.co.jp)
2011年10月26日(水曜日)
さくらツリーフィズのある光景
公開: 2011年10月30日22時50分頃
昨日、ウェブアクセシビリティ基盤委員会のワーキンググループの後に飲みに行ったのですが、謎の飲み物があったので写真を撮ってみました。
まずは、「東京さくらツリーフィズ」。あからさまにスカイツリーを意識したデザインですが、光っているのが謎。
そして「香港百万ドルの夜景」と「上海ぐるぐるオレンジ」。花火とか……。
光る飲み物は、ライトキューブと呼ばれる発光物体が入っています。ちなみにライトキューブは持ち帰り不可だそうです (あたりまえ)。
ちなみに議論もけっこう盛り上がって、そちらの方も印象に残っています。私が発言したことだけ少し書いておきます。
- かつてHTML4が出たとき、tableレイアウトからCSSへの転換が起こり、その際に「何故CSSの方が良いのか」という議論が起きた
- その議論の中では、必ずアクセシビリティという概念が語られたはず。だから、当時その議論に参加した人は、必ず一度はアクセシビリティという概念に触れていたはず
- そして今、HTML5というものが出てきているが、そこでアクセシビリティが語られることはあるだろうか。何でもJavaScriptでやるという風潮があるが、アクセシビリティは置き去りにされていないか
他にもみなさんいろいろな話をされて大変興味深かったです。公開を前提とした話ではないと思うので、ここには書きませんが。
アクセシビリティ系飲み会はけっこうアツイ話が出るので、また「アクセシビリティBAR」みたいなイベントをやりたいですね。
AppLogサービス終了
更新: 2011年10月31日1時5分頃
いろいろと話題になっていたAppLog、「10月26日に次の一手を発表」と予告されていて、いろいろな期待や予測がなされていましたが……結局、発表されたのはこれでした。
- AppLogSDKサービス終了のお知らせ (milog.co.jp)
サービス終了だそうで。サービス終了の発表を「次の一手」として予告するのも変ですから、本来はもっと別な発表を予定していたのでしょう。しかし、その予定が流れてしまったのだと思います。おそらくは、パートナーとの契約を白紙に戻されてしまったのでしょう。
いちおう、おわびの言葉が出ていますね。
アプリケーションの利用者様から取得させて頂いた情報の扱いに関しては、第三者委員会をはじめ外部有識者の指導に従い適切に管理、破棄等の手順を踏ませて頂きますと同時に、情報取得を一切停止することを維持するために必要な運営管理を継続的に行って参ります。
また、本件で明らかになった問題点、課題点の改善を、第三者委員会、及び外部有識者と誠実に取組み、再発防止に真摯に取り組んで参ります。
このたびはご迷惑おかけして誠に申し訳ありませんでした。
以上、AppLogSDKサービス終了のお知らせ より
「情報取得を一切停止することを維持するために必要な運営管理」というのがちょっと分かりにくいかもしれません。
AppLogは、オプトアウトの情報を端末側ではなく、サーバ側で保持する仕組みになっています。「AppLogのオプトアウトの仕様の脆弱性 (typex2.wordpress.com)」では、以下のように報告されています。
AppLogSDKが組み込まれたアプリはログ収集の許可状態を確認するためにサーバに以下のURLをGETする。
https://api.applogsdk.com//v2/device
(~中略~)
AppLogSDKが組み込まれたアプリが、ユーザにログ収集の同意確認画面を表示されるのは、”notification”:{“enable”:true} の場合であるため、第三者に不正にオプトアウトの状態を変更されると、ユーザにログ収集の同意確認画面を表示することなく、ログ収集を行うことが可能である。
以上、AppLogのオプトアウトの仕様の脆弱性 より
AppLogの入った端末は、まずサーバと通信し、設定情報を得ようとします。
サービスが終了して、このサーバを放棄したとしましょう。脆弱性が放置されたり、ドメインの期限が切れたりすれば、このサーバを誰かに乗っ取られる可能性があります。するとどうなるか、これは言うまでもないことでしょう。
ですから、AppLogの入った端末が一台もなくなるまで、ドメインやサーバの維持管理を続けならければならないのです。「情報取得を一切停止することを維持するために必要な運営管理」というのは、このようなことを言っているのだと思います。
※2011-10-31追記: ドメインは維持したままサーバは止める、という選択肢もあるのかもしれませんが、サーバを止めたときに端末側がどういう挙動をするのかが良く分からないので、何とも言えません。基本的にはサーバ側からオプトアウトの指令を送ってやる形が望ましいのだろうと思います。
しかし、何の利益も生まないサーバを維持し続ける羽目になる、というのは厳しいですね。こうなってしまったのは、サーバ側に設定を持つという設計が原因です。設計時に「サービス終了したときにサーバを放棄できるか」というところまで明確に考えるのも難しいとは思うのですが、やはり全体的に安易な設計だったという印象は否めないところです。
ところで、AppLogのおわびには続きがあります。
つきましては、今後のサービス開発の参考にさせて頂くべく、アンドロイドユーザーの皆様のお力をお借りさせて頂きたいと思います。下記のフォームから、【「3分で終わる」アンドロイド利用状況調査】にご協力を是非とも宜しくお願いいたします。
以上、AppLogSDKサービス終了のお知らせ より
「つきましては」の意味が全く分かりませんでした。おわびの内容と、このアンケートとは何の関係があるのでしょうか。そもそも、こういう意味不明な情報収集をやってしまう感覚が問題にされたのだと思うわけで、これでは「おわび」が台無しだと思うのですが……。
2011年10月25日(火曜日)
果しなき流れの果に
公開: 2011年10月30日19時0分頃
読み終わったので。
- 果しなき流れの果に (www.amazon.co.jp)
先日亡くなった小松左京の作品。だいぶ前に買っていたのですが。
序盤と中盤以降で全く違う作品のように読めるのが興味深いですね。最初は、日本の遺跡で謎の砂時計が発見されて……という話なのですが、エピローグ2 (エピローグ1よりエピローグ2のほうが先にある) の後はいきなり宇宙。場面が激しく入れ替わりながら、どんどん観念的な感じになっていきます。この辺りは好みが分かれるところかも……。
ラストでしっかりエピローグ2に繋がる構成はしっくり来るので、途中で混乱しても、最後まで読むとほっとできるという感じですね。
2011年10月24日(月曜日)
Q&Aサイトのやらせ広告
公開: 2011年10月30日15時10分頃
こんな話が……「ヤフー知恵袋で“やらせ”代行業 匿名クチコミの信憑性に暗い影 (business.nikkeibp.co.jp)」。
知恵袋などのQ&Aサイトに広告目的の投稿が行われている、という話はずっと前からあったと思います。しかし、ここまであからさまな営業が実際に行われているというのは驚きですね。
もとより、Q&Aサイトでは質問者も回答者もどこの誰か良く分からないことが多く、それほど信頼性のあるコンテンツではないはずです。にもかかわらず、サーチエンジンで検索したときに妙に上位表示されることがあり、だからこそ宣伝にも使われるのでしょう。
検索したときにQ&Aサイトのコンテンツがやたらヒットしたり、同じようなQ&Aのコンテンツが複数ヒットしたりするのは鬱陶しいので、ちょっと何とかして欲しいと思ったりはするのですが……。
2011年10月23日(日曜日)
私のおウチはHON屋さん4
公開: 2011年10月25日1時25分頃
出ていたので購入。
- 私のおウチはHON屋さん 4 (www.amazon.co.jp)
また帯の文句が……。
エロ人間ども、集まれ!
求めよ、尋ねよ、門を叩け。さすればエロを授けよう。
これちょっと女性店員がいるレジには持って行きづらいですよ。いや、持っていきましたけど。
そして、みゆの繰り出した技「エロ本道 気配りの章『私見てません。』」が神認定されるという流れ……これは狙っているのかっ……!?
今回も新キャラ続々登場ですね。官能小説家の野々村先生が面白かったです。しかし、キャラが出過ぎでどんな人物がいたか分からなくなってきた……というニーズがあったのか、キャラ大集合のお風呂回もあったりしてなかなか親切。
関連する話題: マンガ / 買い物 / 私のおウチはHON屋さん
2011年10月22日(土曜日)
ゼルダの伝説 4つの剣 修練場クリア
公開: 2011年10月25日0時25分頃
「ゼルダの伝説 4つの剣 25周年記念エディション (www.nintendo.co.jp)」、少しずつプレイしていたのですが、ようやく修練場3をクリアしました。
修練場は初見だと異常に難易度が高く、「こんなの無理」と思いますが、何度かトライするとけっこう対処できるようになってきます。アイテムの使い方がけっこうポイントだったり。
- 盾 …… 基本の道具。使いどころは少ないですが、これがあると亀を倒すのが楽です。敵の弓矢を防ぐこともできますが、防いだときには反動があるので、足場の悪いところで矢を防ぎづけようとすると厳しいです。過信しないように。
- ブーメラン …… ほとんどの敵の動きを止められる素晴らしいアイテム。ワープするウィズローブ (魔術師)、ジャンプする骨、突進してくるギブド (ミイラ) などの対処に便利。なお、穴の上に浮遊しているウィズローブに当てると穴に落とすことができます。
- 爆弾 …… 強武器。ほとんどの敵に大ダメージ。特にタートナック (騎士) は爆弾が無いとかなり厳しいです。囲まれたときは、爆弾を抱える→キャラ交代、とすると爆弾がその場に落ちて、少し待つと周囲の敵にダメージを与えることができます。状況によってはこの戦法がけっこう強いです。亀をひっくり返すこともできます。
- はねマント …… 移動用の道具と思いきや、実は Y → B の順で素早く押すと繰り出せる下突きがかなり強力。周囲に攻撃判定が出るので、囲まれたときには強いです。特に、タートナック (騎士) に有効なのが嬉しいです。また、下突きでも亀をひっくり返すことができます。
- 弓 …… 弓は意外に使いにくいような……。弓矢の連射で何とかなる局面は結構ありますが、修練場ではイマイチ使いにくい感じがします。できれば爆弾かブーメランを持っておきたいところ。ちなみに、弓はため撃ちもできます (役に立つかどうかは微妙ですが)。
特に、はねマントは重要です。修練場3では、はねマントを持つことになる局面が多いので、下突きはかなり使えます。
あとは戦闘時にキャラ交代を駆使するのもポイント。操作していないキャラは無敵なので、追い詰められてもキャラ交代で一気に抜けられます。操作していないキャラは本当に無敵で、抱えて穴に捨ててもノーダメージで復活します。
こういった諸々をうまく利用すると、たいていの敵には何とか対処できます。
修練場を全クリアすると、大回転斬りを習得。回転斬りを出した後にBボタンを連打すると、しばらくの間回転斬りを出しながら移動することができます。これが非常に便利です。何に便利かというと、草を刈るのがものすごく楽になります。また、散らばるルピーを回収するのにも便利です。戦闘には……一見強そうですが、大回転斬り中は無敵ではないので、耐久力のある敵に突っ込むとやられてしまいますね。
たぶんこれで1人プレイできる面は一通りクリアしたことになるかと思います。マルチプレイもやってみたいのですが、周囲にやっている人がいないという悲しい現実。
2011年10月19日(水曜日)
GoogleのHTTPS化で検索ワードのRefererが取れなくなる
公開: 2011年10月23日23時5分頃
こんな話が……「Google、検索ページのSSL接続をデフォルトに (www.itmedia.co.jp)」。
これはユーザーにとっては朗報だが、Webサイトオーナーにとっては検索クエリーが入手できなくなることを意味する。
「検索クエリーが入手できなくなる」というのは、Refererが送られなくなるという話ですね。RFC2616では以下のようになっていて……。
Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol.
以上、RFC2616 15.1.3 Encoding Sensitive Information in URI's より
HTTPSのページからはRefererは送られないようにするべき (SHOULD NOT) と書かれています。ほとんどのブラウザはこの記述に従って、HTTPSのページからHTTPへの遷移の際にRefererを送らないようにしています。
※たとえば、http://www.b-architects.com/careers/jobs/ (www.b-architects.com) で「求人応募フォーム」をクリックして https://secure.b-architects.com/careers/form/ (secure.b-architects.com) へ行くときは Refererが送られますが、そこから「ホーム」をクリックして http://www.b-architects.com/ (www.b-architects.com) に行くときはRefererが送られません。
従来、Googleの検索結果からのアクセスでは多くのブラウザでRefererが送出されていました。Refererは検索結果ページのURLで、そのURLには検索キーワードが含まれていますから、Webサーバのログを見るだけで、どんなキーワードで検索してきているのかを知ることができました。
しかし、Googleの検索結果がHTTPSになると、Refererが送られなくなります。そうすると、ログから検索キーワードを知ることができなくなってしまうわけです。
GoogleはWebサイトオーナー向けの対策として、Webmaster Toolsで過去30日間のサイト訪問者による上位1000件の検索クエリーリストを提供するという。このデータで引き続きトラフィックの分析が可能だとしている。
キーワードを知りたければ、Googleウェブマスターツールを使えということのようで。こういうのを「囲い込み」と言うのでしょうか。
HTTPSになること自体は歓迎されて良いように思うのですが、既存の解析手法が使えなくなる可能性があるので、そこは注意が必要ですね。
めしばな刑事タチバナ3
公開: 2011年10月23日12時25分頃
引き続き、3巻を購入。
- めしばな
刑事 タチバナ 3 (www.amazon.co.jp)
3巻にしてはじめて巻頭に人物紹介が載りましたが、立花は警部なんですね。古畑任三郎より階級が上なのか……と考えると、なかなかどうして。
この巻はやっぱりカップ焼きそばですね。いちばん笑ってしまったのは、このやりとり。
「……まずいっておくと、すでにあいつとは "ちゃん" 付けの関係じゃない」
「ん?」
「俺は親しみを込めてこう呼んでる。……『一平』」
「一平!」
「呼び捨て……」
これ、「明星 一平ちゃん 夜店の焼きそば (www.amazon.co.jp)
それから、ペヤング (www.amazon.co.jp)
「でもさぁ『ペヤング』ってなんかか麺がフニャフニャで……」
「細麺だから食べやすい反面、後半は麺がふやける。そこは認めますが、気合いを入れて短時間で食べれば何の問題もありません」
(~中略~)
「でも課長、いくらペヤング好きでもアレはきついんじゃないですか? ほら、麺が2玉分入った "超大盛" ってあるでしょ……」
(~中略~)
「アホか。超大盛の時はさらに気合いを入れて倍の早さで食べるだけだ。問題はない」
この時の絵がまた笑えるので未読の方はぜひ。
関連する話題: マンガ / 買い物 / めしばな刑事タチバナ / 飲食物
2011年10月18日(火曜日)
マクドナルドのハンバーガーはサンドイッチだった
公開: 2011年10月22日22時55分頃
ビッグマック200円の話題でマクドナルドのサイトを見ていたのですが、驚きの発見が。
それはメニューのページ。
- レギュラーメニュー | メニュー情報 | McDonald's Japan (www.mcdonalds.co.jp)
「ビッグマック」や「チーズバーガー」などのメニュー、一般的にはハンバーガーと呼ばれていると思いますが、公式サイトのメニューに付けられた見出しのラベルは、なんと「サンドイッチ」。下の方にも「サンドイッチとのお得なバリューセット」という文言がありますし、間違いなどではないようです。どうもマクドナルドでは、いわゆるハンバーガー類を正式には「サンドイッチ」と呼ぶらしいですね。
これは全く知りませんでした……。
たまに「フィレオフィッシュはハンバーガーなのか?」というような論争を目にすることがあると思いますが (ない?)、「実はマクドナルドはハンバーガーとは一言も言っていない」ということでファイナルアンサーな感じですね。
※このように、正式な用語と世間一般に認識されている用語が異なるというパターンは、サイトの情報設計の際には悩みどころになりますね。
めしばな刑事タチバナ2
公開: 2011年10月22日17時20分頃
昨日に引き続き、2巻を購入。
- めしばな
刑事 タチバナ 2 (www.amazon.co.jp)
これがまた面白かったです。お気に入りは冒頭付近のこのあたり。
卓に置いてあるのは「餃子のタレ」と醤油のみ
焼き餃子の王道はタレのみと無言で押しつけるこの迫力……
一号店恐るべし
これ、「餃子の王将の一号店に行ったら酢が置かれていなかった」という話です。
あと面白かったのは、所持金が150円しかない状態で松屋に行く話。タレ充実の松屋だからできる、まさかのタレ丼。その後の牛丼の歴史蘊蓄もなかなか興味深く、なにより牛丼への愛や情熱のようなものが吹き出してくるような感じで、非常に面白いです。
関連する話題: マンガ / 買い物 / めしばな刑事タチバナ / 飲食物
2011年10月17日(月曜日)
めしばな刑事タチバナ
公開: 2011年10月22日15時50分頃
地域最大で力強くオススメされていたので購入してみました。
- めしばな
刑事 タチバナ 1 (www.amazon.co.jp)
これは面白かった。そして、腹が減る……。「お腹が空く」のではなく「腹が減る」という感じ。
食べ物系漫画なのですが、富士そばとかすき家とか、誰もが知っているものがテーマ。高級な食べ物をテーマにされても「へぇ、美味しそうだな」という程度ですが、この漫画に出てくるのは食べたことがあるものがほとんどなので、リアルな味覚の記憶が鮮烈によみがえります。
そして表現がまた面白い。
ガツンと強打するみそと――
技巧で確実に塁に出る塩――
といった感じで芸風がカブらないから、すぐにファンが信者化する。
もはや原理主義の領域に達したこの2大派閥のみにくい口ゲンカの現場に俺は何度も立ち会ってるぜ。
これ何の話かって、「サッポロ一番」なんですよね。「すぐにファンが信者化する」って、見たことないですけど……。
あと笑ってしまったのが、「小諸そば」の「小諸そば」というメニューがいったい何なのかという話。食べたことがあると倍楽しめます。まあ、そもそも普通に注文すれば良いと思うのですが。
「ゆで太郎のテイクアウトを買って、全力疾走で帰って大吟醸を呑む」というのも面白いです。
関連する話題: マンガ / 買い物 / めしばな刑事タチバナ / 飲食物
iOSのSafariがContent-Dispositionを無視する問題が修正された
公開: 2011年10月18日2時25分頃
既に「About the security content of iOS 5 Software Update (support.apple.com)」に出ていますが、JVNの方でも公開されました……「JVN#41657660 iOS 上の Safari におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。
書いてあるまんまですが、iOS上のSafariがContent-Disposition: attachmentの指定を無視するという問題でした。
これを届け出たのは、2010年の8月のことです。9月のCSS Niteでしゃべることになっていたのですが、会場のアップルストアではWindowsマシンの持ち込みが原則禁止となっています。私はMacを持っていないのでどうしようかと思ったのですが、せっかくなので、当時話題だったiPadでプレゼンをしてみようかと思い立ちました。
そこで、まずbakera.jpにPDFファイルを置いて、会社のiPadで開けるかどうか見てみました。すると、特に支障なくSafari上で表示できました……が、これは変なのですね。bakera.jpではPDFのHTTP応答ヘッダにContent-Disposition: attachmentをつけているので、PDFはダウンロードになるはずなのです。
しかし、よく考えてみると、iPadにはファイルをダウンロードして保存する機能がないのですから、これで良いわけですね。
……とは行きません。さらによくよく考えてみると、問題があることに気付きます。
私は以前、「JVN#465742E4 Wiki クローンにおけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」とか「JVN#91706484「Trac におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」といったものを届け出ています。WikiもTracも、サイト利用者が自由にHTMLファイルを添付する機能を持ったアプリケーションですが、スクリプトを含むHTMLを添付されると、クロスサイトスクリプティング脆弱性の問題が生じます。
そのための対応策として採用されたのが、HTTP応答ヘッダでContent-Disposition: attachmentを指定するという方法です。この指定があると、ほとんどのHTMLはブラウザ上で開かれず、ダウンロードのダイアログが開きます。ダウンロードした後のHTMLを開いてもドメインが異なりますので、クロスサイトスクリプティング脆弱性の問題は生じません。
※怪しげなファイルをローカルで開いて良いのかどうかという問題は別にありますが、それは利用者の行動の問題で、脆弱性とはまたちょっと違う話になります。
ところが、iPadのSafariではこの対策が無視され、Safari上でファイルが開かれてしまいます。実際に上記の脆弱性の対応が行われたTracにHTMLを添付してiPadで開いてみたところ、あっさりとスクリプトが実行されました。
……ということで問題を発見したのですが、実はこれ、ブラウザの問題ではないと考えることもできます。そもそもRFC2616では、Content-Dispositionについて以下のように書かれています。
RFC 1806 [35], from which the often implemented Content-Disposition (see section 19.5.1) header in HTTP is derived, has a number of very serious security considerations. Content-Disposition is not part of the HTTP standard, but since it is widely implemented, we are documenting its use and risks for implementors. See RFC 2183 [49] (which updates RFC 1806) for details.
広く実装されているという言及もありますが、HTTPの標準の一部ではないという扱いになっていますので、「Content-Dispositionが無視されるのはNG」とは簡単には言い切れません。逆に、「Content-Dispositionでダウンロードになるという挙動は仕様ではないので、そのような挙動に依存した対策はNG」、という考え方もできるわけです。そうすると、これはSafariの側の問題ではなく、Tracや多くのWikiの対応方法が間違っているということになります。
しかし、この対応方法が採用できないとなった場合、アプリケーション側では他にどんな対応ができるのでしょうか。
まず、すぐに思いつくのが「ファイル添付を一切行わない」という対応です。これは要するに機能を諦めているわけで、利便性を大幅に低下させてしまいますから、対策としては採用しにくいでしょう。
User-Agentを見て、iOSだったら添付ファイルにアクセスできないようにする、という方法も考えられます。しかし、どのUser-AgentがiOSのように振る舞うのかを把握するのは困難です。その手のブラウザが新しく現れるたびにUser-Agentのリストをメンテナンスする必要に迫られてしまいますし、漏れなく列挙しきれる保証もありません。これも採用しにくいでしょう。
アプリケーション側での対策がなかなか難しい一方で、ブラウザ側での対応としては以下のようなものが考えられます。
- ダウンロードを意図したファイルへのアクセス時にはスクリプトが実行されないようにする
- ダウンロードを意図したファイルへのアクセスを禁止する (「アクセスできない」旨を表示するなど)
これらの対応は現実的ですし、大きなデメリットもないものと思います。
以上のことから、この問題はブラウザ側で対応することが望ましいと判断し、Safariの問題として届出を行いました。
ちなみに、実際のSafariの対応がどうなったかというと、スクリプトは実行され、しかしながら元のサイトとは異なるOriginとみなされるようです。TracやWikiなどにHTMLを添付して開くと、スクリプトは実行されますが、そのドメインのCookieを読み取ったりはできないようになっています。
これは「そのドメインに偽のフォームが作られる」といった類の問題を防げないので、若干微妙な感もあります。とはいえ、もとより自由に添付ファイルが置けるような環境が対象なので、その手の問題はそれほど大きな脅威ではないと考えることもできるでしょう。
そんなわけで、iOSの対応としてはひとまず良かったのではないかと思っています。
ただ、気になっているのは、Content-Dispositionを無視するのがiOSのSafariだけではないかもしれないという点で……。最近ではスマートフォンや携帯端末がたくさん出てきています。iOSと同じようなポリシーで作られているものもたくさんありそうに思うのですが、その辺りどうなのでしょうね。
関連する話題: セキュリティ / UA / Safari / Apple / モバイル / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ
2011年10月16日(日曜日)
6割がクビになるミスマッチ制度
公開: 2011年10月18日1時5分頃
サイバーエージェントが退職金制度と同時に「ミスマッチ制度」なるものを始めたという話が……「退職金とミスマッチ制度 (ameblo.jp)」。
やはり興味深いと思うのがミスマッチ制度。5%というのは少ないように思えるかもしれませんが、20代で入社して60代で定年と考えると、およそ40年。レッドカードを受けずに40年間働くとなると、なかなか難しいのではないでしょうか。
40年間生き延びられる可能性はどのくらいか、以下のような単純な条件で計算してみました。
- ミスマッチ判定が行われる頻度は年に一回とする
- ミスマッチ判定は無作為に行われ、誰でも等しく5%の確率でミスマッチ判定されるものとする
- レッドカードを受け取ったら退職するものとする (実際には異動という選択肢もあるようだが、ここでは考慮しない)
全体の中の5%というルールなので、人数の増減は確率に影響しません。脱落者が何人出ても、新人がどれだけ入社しても、ミスマッチ判定される確率は5%のままです。
レッドカードはミスマッチ2回で発生します。判定を40回行って、ミスマッチ判定が0~1回ならセーフです。0回、1回の場合をそれぞれ計算してみると、こんな感じです。
- ミスマッチ0回の確率 : (0.05^0)×(0.95^40)×1 = 0.128512157
- ミスマッチ1回の確率 : (0.05^1)×(0.95^39)×40 = 0.270551909
合わせるとほぼ40%ですね。逆に言うと、定年までに6割がクビになる計算です。
とはいえ、これはミスマッチ判定を無作為に5%に適用した場合の話です。実際には判定は恣意的に行われるでしょうし、経験や人脈を持ったベテランに有利に働く可能性が高いでしょうから、この数字がそのまま適用できるわけではないと思います。
2011年10月15日(土曜日)
吹田市立図書館を襲った謎の「サイバー攻撃」の報告書
公開: 2011年10月17日1時35分頃
「吹田市立図書館、謎の「サイバー攻撃」を受ける?」という話がありましたが、カーリルの作者の方がこんな資料を公開されていますね。
- 吹田市立図書館から回線事業者宛に送信されたネットワークのabuse 報告(PDF) (dl.dropbox.com)
なかなか興味深い内容がちらほらと。
※吹田市立図書館へのカーリルのアクセスは同時5アクセスまでに制御されていた
※ユーザーエージェントにはcalil.jp(libcheck)の表示あり
User-Agentにはカーリルのドメインが明記されていたそうで。これだけはっきり書いてあれば何の目的でアクセスに来たのか分かりそうなものですが……。あるいは、そもそもログにUser-Agentを残していなかったのでしょうか。
13:10
原因は特定できないが、ゴミがたまっていて、レスポンスが溜まっている。一度、サーバーを落としてリセットする。通常状態
に復帰。
ゴミがたまっていたというのは何なのでしょうね。詳しくは分かりませんが、何かが貯まっていってしまうような何らかの不具合があったということのように思えます。
17:00
F社、担当者現状報告。
該当IPアドレス:202.212.177.193
中継プロバイダー:NTTPC COMMUNICATIONS 岐阜
手法:HTTP GET構文で、ISBN番号で検索
「HTTP GET構文で、ISBN番号で検索」とまで分かっているので、つまりログを見てアクセスのパターンを見ているはずです。そこまで見ていれば、クローラによるアクセスだということは分かりそうなものですが。いったいどうして攻撃と判断したのでしょうね。
関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack
2011年10月14日(金曜日)
iOSのSafariの問題が修正されたらしい
公開: 2011年10月16日21時5分頃
iOS5が出て、セキュリティ関係の修正もいろいろあったようです。Twitterで「Safariのところに名前が出ている (twitter.com)」と教えていただいたので、確認したら本当に載っていました。
■Safari
Available for: iOS 3.0 through 4.3.5 for iPhone 3GS and iPhone 4, iOS 3.1 through 4.3.5 for iPod touch (3rd generation) and later, iOS 3.2 through 4.3.5 for iPad
Impact: Opening maliciously crafted files on certain websites may lead to a cross-site scripting attack
Description: iOS did not support the 'attachment' value for the HTTP Content-Disposition header. This header is used by many websites to serve files that were uploaded to the site by a third-party, such as attachments in web-based e-mail applications. Any script in files served with this header value would run as if the file had been served inline, with full access to other resources on the origin server. This issue is addressed by loading attachments in an isolated security origin with no access to resources on other sites.
CVE-ID
CVE-2011-3426 : Christian Matthies working with iDefense VCP, Yoshinori Oota from Business Architects Inc working with JP/CERT
例によってIPA経由で届け出たものです。読めばだいたい分かると思いますが、詳細はJVNの方で公開されてからということで。
関連する話題: セキュリティ / UA / Apple / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ
大つけ麺博 その13 落合務×CHABUYA / インクとチャコールの黒いつけ麺バジル風味 落合・森住風
公開: 2011年10月16日20時30分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その13。
「落合務×CHABUYA (dai-tsukemen-haku.com)」の「インクとチャコールの黒いつけ麺バジル風味 落合・森住風」。トッピングは、フォアグラコロッケとか良く分からないものがありましたが、良く分からないので煮たまごのみを選択。
この真っ黒な麺はイカスミじゃなイカ!? ……と思いきや、実は竹炭練り込みで、イカとは関係がなかったでゲソ。麺は平たい細麺で、ネギとバジルが載っているでゲソ。この麺、なかなか食感が良くていい感じでゲソ。バジルの葉は一枚しか載ってないのでゲソね。もっと欲しかったでゲソ……。
スープにはイカスミが入っているじゃなイカ! 他には細かく切った椎茸とか、細かくほぐれた干し貝柱みたいなものが入っているでゲソ。他の具はないでゲソ。他店のつけ麺には初期状態で肉類が入っているのに、椎茸とかちょっとガッカリしちゃうでゲソ……。
スープは最初温かいのでゲソが、冷めてからのほうが美味しいかもしれないでゲソ。
2011年10月13日(木曜日)
Cookieのdomain属性はない方がよい
公開: 2011年10月16日19時55分頃
「CookieのDomain属性は *指定しない* が一番安全 (d.hatena.ne.jp)」。タイトルの通り、必要もないのにCookieにdomain=を指定すると、サブドメインにもCookieが送られるようになってよろしくないというお話。
ちなみに、旧規格とされているRFC2965では、Set-Cookieではなく謎の「Set-Cookie2」を使うことになっていて、これはほとんど誰も実装していません。RFC2965でどうだったか、というのはあまり参考にならないかもしれません。
大つけ麺博 その12 RED RICE(湘南乃風)×参○伍 / 六本木乃風
公開: 2011年10月16日17時25分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その12。
選んだのは「RED RICE(湘南乃風)×参○伍 (dai-tsukemen-haku.com)」の「六本木乃風」。トッピングはチャーシュー追加と煮たまご。
つゆはアメリケーヌソース、つまりエビの殻のだしをベースにしたソースのようです。写真では見づらいですが、左上のエリアに辛味噌のようなものが収められていて、辛みを付けることも可能になっています。
そして麺。特徴的な赤い麺は、唐辛子ではなくパプリカの練り込みです。そしてこの麺が……強度が足りないのか、簡単に短くプツプツ切れてしまいます。つなぎの入っていない十割蕎麦のようなイメージでしょうか?
具は、初期状態ではパプリカと
味は悪くないと思うのですが、麺が細切れになってしまうのがあまりにも残念。麺にはもう少し改良の余地があるのではないでしょうか。
2011年10月12日(水曜日)
AppLogSDKの脆弱性?
公開: 2011年10月16日15時40分頃
話題のAppLogですが、こんなリリースが出ましたね……「AppLogSDKの脆弱性に関する報告 (www.applogsdk.com)」。
脆弱性指摘の概要
現在 AppLogSDK につきましては、弊社サーバのとの通信内容を SSL(Secure Sockets Layer) を用いて暗号化しております。しかしながら、SSL の通信内容についてどのようなパラメーターで弊社サーバとの通信が行なわれているかが解析され、不正に第三者のAndroid端末に対して AppLog 送信の許可を行なう事ができるのではないかとの指摘を頂いております。
えっ? SSLとか何の関係もないですよね。
SSL/TLSは、サーバとクライアントとの通信を第三者に傍受されることを防ぐ役には立ちます。しかし、ユーザーが自らクライアントアプリケーションの挙動を解析することを妨げることはできません。まあ、解析が面倒にはなりますが、単に面倒になるだけです。SSL/TLSに解析妨害を期待するのは間違っています。
また、Androidアプリケーションは、もとより耐タンパ性が期待できるような状況にないので、挙動は解析され得るというのが大前提となります。解析されると困るような設計は、それ自体がNGです。
ご指摘を頂いた内容に関しましては、第三者から不正に AppLog 送信の許可フラグを操作される事も想定し、IPアドレスの監視を用いて不正検知を行うよう準備は進めておりましたが、指摘の通り第三者が不正に AppLog 送信に関する許可フラグを操作を試みる事自体は可能となってしまっております。
これ、どこからツッコミを入れれば良いのか……。
まず、「準備は進めておりました」というのはけっこうすごい話です。準備を進めていたのは、対応の必要性があると分かっていたからでしょう。つまり、指摘される前から問題を認識していて、にもかかわらずサービスを続けていた、ということになります。
そして、「IPアドレスの監視」というのが意味不明です。監視してどうするのでしょうか。
仮に、特定IPアドレスからの接続以外を拒否する、という意味なのだとすると、それは無意味です。たとえPCからのアクセスを制限しても、単にAndroid端末から指令を送れば良いだけだからです。
本来であれば、IPアドレスなどに依存しない認証の仕組みを考えておかなければならないはずです。それがされていないところを見ると、やはりオプトアウトする機能は最初から考えられていたわけではなく、後からおざなりに付け足したもののように思えます。
SSL の通信内容(パラメーター)が外部に流出する事で、AppLog 送信の許可フラグの操作を悪意を持った第三者が行う事が可能となってしまっている事を重く受け止め、IPアドレスの監視を用いた不正検知に加え、AppLog 送信の許可フラグを 正規の Android端末が操作している事を確認した上で、実際の許可フラグの処理を行う等の対策を検討しております。
「正規の Android端末が操作している事を確認」って簡単に言いますけど、どうやるのでしょうね。端末固有IDの類はこの用途には使えないでしょうし、初回インストール時に鍵を生成して端末側に保存しておくような対応をしようとすると、既存のアプリとの互換性がなくなります。まあ、互換性を維持することはいろいろな意味で無理でしょうから、全てなかったことにしてやり直すのでしょうかね。
いずれにしても、脆弱性を修正するとかいうレベルの問題ではなく、仕組み自体を根本的に考え直す必要がありそうな気がします。
魔法少女かずみ☆マギカ 2
公開: 2011年10月16日15時0分頃
出ていたので購入。
- 魔法少女かずみ☆マギカ 2 (www.amazon.co.jp)
魔法少女が魔女化するという設定は健在の模様。どうも主人公達は魔法少女狩りをしている? 記憶喪失の設定が生きているような生きていないような。
ラストは仲間の一人が魔女化したっぽい感じの終わり方で、続きが気になりますね。
関連する話題: マンガ / 買い物 / 魔法少女まどか☆マギカ
大つけ麺博 その11 五福星 / 桜エビの低温焙煎全粒粉つけ麺
公開: 2011年10月16日2時0分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その11。
今日は「
桜エビが入った、王道タイプのつけ麺……かと思いきや、かなり癖のある変化球でした。
麺には大量の味付け海苔、そして粉チーズとタバスコ。つゆは桜エビ入りで和風の味付けなのですが、麺にかけられたチーズとタバスコで洋風テイストもプラスされて、不思議な味になります。まずいわけではないのですが、タバスコが大量にかかった部分を食べるとなかなか大変なことになるので注意が必要です。
そして異彩を放つのが具材。まず、初期状態でついてくるのが角切りチャーシュー。普通チャーシューはやわらかく煮てありますが、これはけっこう固く焼いてあって歯ごたえがあります。これはこれでこの麺には合っていると思います。
そして、追加の味付けたまごも異色。これがなんと、ラスクにのっかった状態で提供されます。しかもラスクと一緒に食べるように指示されます。つまり、トッピングではなくて、前菜の一品料理という扱いです。
さらに、水ワンタン。これは完全に麺とは別途に別容器で提供されます (写真右)。スープではなく、わずかな酸味と香味のついた水につかったワンタン。つるつるした食感は良いです。そのまま食べる想定のようですが、味があんまりついていないので、つけ汁を付けても良いと思います。
2011年10月11日(火曜日)
第2回「アクセシビリティBAR」秋の文字サイズ変更ボタン祭り 開催
公開: 2011年10月15日22時30分頃
「秋の文字サイズ変更ボタン祭り」、無事に開催されました。
このテーマを発案したのは私なので、責任を取って (?) スライドを作ったり。以下に置いておきますので、興味のある方はダウンロードしていただければと思います。けっこう急いで作ったので枚数が多く、重いです。
会場はカラオケのお店なのですが、カラオケ用のモニターにPCを繋ぐことができるようになっています。そのモニターの解像度が低く、そのおかげで「まず文字サイズ変更ボタンがどこにあるか探す」というのがちょうど良い具合の難易度になりました。
ちょっと残念だったのは、おおむね文字サイズ変更ボタンに否定的な参加者ばかりが集まってしまい、擁護や推進の立場からの発言がなかったこと。また、ユーザーテストや定量調査で文字サイズ変更ボタンの利用状況を調べたことのある人がいなかった、というのも残念ポイントです。
とはいえ、みなさんかなり活発に発言してくださって、なかなか楽しい雰囲気でお話しすることができました。本当にありがとうございます。
非常に楽しかったので、是非またやりたいですね。次回のテーマの候補としては、今のところ「入力フォーム」「スキップリンク」「別ウィンドウ」といったところが挙げられています。話題も尽きないので、定期的に開催して行けると良いかなと。
参加された方の感想やTogetterのまとめなども挙げておきます。
- 第2回アクセシビリティBAR『秋の文字サイズ変更ボタン祭り』に行ってきた (sho.tdiary.net)
- 第2回アクセシビリティBAR 『秋の文字サイズ変更ボタン祭り』に行ってきた (pmakino.jp)
- とぎゃりました、とりあえず。2011年10月11日の #a11ybar (togetter.com)
関連する話題: Web / アクセシビリティ / アクセシビリティBAR
大つけ麺博 その10 麺屋一燈 / 渡り蟹と豚骨のブレンドつけ麺~フレンチあえつけ'11~
公開: 2011年10月15日20時10分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その10。
第三章に突入し、お店総入れ替えとなりました。選択したのは「麺屋一燈 (dai-tsukemen-haku.com)」の「渡り蟹と豚骨のブレンドつけ麺~フレンチあえつけ'11~」。トッピングはのり、チャーシュー、味付け煮たまごで300円。
これはウマい!
まずは麺にカニパウダーをまぶして食べ、次にその麺をスープで。蟹の風味がして非常に美味しいです。写真では見えにくいですが、左上のエリアにはバジルトマトソースがついています。飽きてきたらそのソースを付けると、酸味がプラスされてあっさり食べられます。
トッピング具材のバランスも非常に良いです。スープを吸った状態ののりは実に美味。そしてチャーシュー、煮たまごもバランスが良く、非常に良いと思いました。初期状態では鶏肉団子が入っているようですが、これはトッピング追加した方が良いです。
さらに、最後にはスープ割りもあって至れり尽くせりです。
これは今まで食べてきた中でいちばん美味しいと思いました。
パース付き円グラフの脅威
公開: 2011年10月15日17時5分頃
この円グラフはすごいと思いました……「Web Equity2011 回答者プロフィール (japanbrand.jp)」。
右側の年代のグラフ、4つの項目はそれぞれ25%で全く同じはずなのに、変なパースがついているせいで奥の項目が小さく見えてしまいます。
各項目の大きさの比率を見せることに意味があるはずなのに、こんな処理をしてしまっては台無しです。いったい何のために円グラフを載せたのでしょうか?
2011年10月10日(月曜日)
AppLogサービス停止
公開: 2011年10月15日16時25分頃
AppLogのサービス停止だそうで。ついでにapp.tvも停止しています。
- AppLogSDKに関する公式見解 (www.applogsdk.com)
- AppLogSDKサービスの停止に関して (www.applogsdk.com)
- app.tvサービス停止に関して (milog.co.jp)
株式会社ミログ(以下、弊社)が2011年9月28日に公開したAppLogSDKに関して、一部ご指摘頂いている脆弱性の対応及び、AppLogSDKのサービスをよりよいものへと改善していくために、AppLogSDK全てのサービス、情報収集送信を停止させて頂きます。
以上、AppLogSDKサービスの停止に関して より
脆弱性というのはこれですかね。
- AppLogのオプトアウトの仕様の脆弱性について (typex2.wordpress.com)
このAPIは端末とサーバ間で何ら認証を行っておらず、第三者がANDROID_IDを収集し、上記のリクエストをサーバに行えば、不正にオプトアウトの状態を変更することができることが確認できた。
(~中略~)
AppLogSDKが組み込まれたアプリが、ユーザにログ収集の同意確認画面を表示されるのは、”notification”:{“enable”:true} の場合であるため、第三者に不正にオプトアウトの状態を変更されると、ユーザにログ収集の同意確認画面を表示することなく、ログ収集を行うことが可能である。
以上、AppLogのオプトアウトの仕様の脆弱性について より
勝手に他人のオプトアウトを解除してオプトイン状態に変更することができるという話。しかも、変更されたことは通知されないようで。
脆弱性というより、最初から認証をしようとしていない感じがしますが……。
そして、脆弱性がどうこう言う以前の問題がありそうな感じもしますが……。
app.tvが同意前に情報を送信している話
公開: 2011年10月15日16時0分頃
AppLogの開発会社が作っているapp.tvという別のアプリケーションについて、こんな話が……「株式会社ミログのAndroidスパイアプリ問題について (blog.sakichan.org)」。
前節の話、普通に読めば、利用許諾とプライバシーポリシーに同意して、そこではじめて「アプリケーション情報を取得」が行われる、と思うだろう。が、そうではない。app.tv 発表のプレスリリースにも登場する、【闘牌伝説アカギ】日テレオンデマンドというアプリを Android エミュレータにインストールし、起動して利用規約同意画面までたどり着いたところでしばらく置いておいた。そうすると、 log.friend-app.com というサイトに自動的に通信を始めて、起動アプリの情報とインストールアプリの情報を送信した。つまり、同意とか関係ない、という動作をするのだった。
なんと、同意する前に情報を送信し始めるというお話のようで。これは完全にアウトですね。
バグなのかどうか良く分かりませんが、仮にバグだとすると、元々オプトインではなくオプトアウトを想定して作っていて、後から急ごしらえでオプトインに変更したのでこうなってしまった……というところでしょうか。
ところで、興味深いのはコメント欄。
>app.tv は 利用者の許諾なく、端末内のアプリ情報を送信する
とありますが、すべてのAndroidのアプリはインストール時にアプリのアクセス権限についてユーザーが同意しているはずです。
まず、アプリケーションがアクセス権限を求めても、その権限で実際に何をするのかまでは分かりません。たとえば、インターネットに接続して情報を送るといっても、何をどこへ送るのかによって意味合いがまったく違ってきます。ユーザーが許諾したと言っても、何でもして良いと思って許諾しているとは限らないわけです。
また、詐欺や錯誤がないということも必要です。ユーザーを騙して、あるいは勘違いさせて許諾をさせることはけっこう簡単なのですが、そのような許諾は有効な許諾とは言えないでしょう。
この話に限りませんが、「とにかくユーザーに同意ボタンを押させさえすれば問題はない」という考え方は通用しない場合も多いので、注意した方が良いでしょう。
2011年10月7日(金曜日)
とあるFirewallの写真
公開: 2011年10月10日21時10分頃
我が社からMicrosoft MVP (www.microsoft.com)の受賞者が出たので、それを祝って焼き肉屋で飲み会を実施。
華々しい写真を撮ったので載っけておきます。
ニンテンドー3DSで炎を撮影すると、かなり良い感じになりますね (3Dで見ないと駄目ですが)。
関連する話題: 写真
侵略! イカ娘10
公開: 2011年10月10日19時45分頃
10巻が出ていたじゃなイカ。
- 侵略! イカ娘 10 (www.amazon.co.jp)
良くも悪くもマンネリ化してきた印象がありますが、清美があまりにも良い子すぎて一人突出している印象ですね。イカ娘よりも清美の方が印象に残ってしまうわけですが……もちろんそれはそれでOK。
大つけ麺博 その9 孫(山岸一雄×ほん田×道) / 本流伝承つけ麺2011
公開: 2011年10月10日16時55分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その9。
今日は「孫(山岸一雄×ほん田×道) (dai-tsukemen-haku.com)」の「本流伝承つけ麺2011」。トッピングはあぶりベーコン、ネギナムル、味付け煮たまごの「絆盛り」を選択、300円。
オーソドックスなつけ麺。つけ汁は膜が張るほど濃厚な魚介系です。野菜多めという紹介がされていましたが、もやし類が申し訳程度に入っている感じで、そこまで野菜たっぷり感はありません。むしろ、トッピングのネギナムルのほうが存在感があります。巨大なあぶりベーコンも存在感十分で、トッピングのコストパフォーマンスは良いですね。
味ですが、オーソドックスで安定した味。つけ麺といえばこれ、という感じの味です。つけ麺の始祖と言われる山岸一雄氏がたずさわっているので、まあそんな感じなのでしょう。
あぶりベーコンはやや肉が過剰な感もありますが、チャーシューとはまた違った風味で楽しめます。ネギナムルも麺やつけ汁に良く合います。煮たまごはしっかり味がついていて、ちょっと塩辛いですが、これも単独ではなく麺と一緒に、という想定なのでしょう。具材の完成度は高いと思いました。
奇をてらった新規性はありませんが、全体が高いレベルで良くまとまっていて美味しいと思いました。
2011年10月6日(木曜日)
タイアップ書籍で薬事法違反
公開: 2011年10月10日14時25分頃
こんなニュースが……「本で効能うたい健康食品販売の疑い 出版元社長逮捕へ (www.asahi.com)」。
勝手に「ガンに効く」などの効能をうたって健康食品を販売すると、薬事法違反になります。しかし、売る方は効能をうたいたいわけで、そこで出てくるのが書籍です。健康食品の販売元とは関係ない人が勝手に本を書いて、その中で健康食品を勧める分には問題ないという理屈です。
しかしまあ、販売元と関係ないわけないだろうと思うわけで、実際に裏で繋がっていたことがバレてしまったというのが今回の話ですね。
世には、怪しげなオカルトまがいの諸々について「効能」をうたう本が結構ありますが、その中にはこの手のタイアップもかなり含まれているでしょう。そういう意味でも注意が必要だろうと思います。
スティーブ・ジョブズ 永眠
公開: 2011年10月10日13時10分頃
スティーブ・ジョブズが亡くなったそうで……「Apple - 追悼 Steve Jobs (www.apple.com)」。
とりたててApple製品が好きだったというわけでもないのですが、それでも寂しい感じがしてならないですね。
ニンテンドー3DS アイスホワイト発表
公開: 2011年10月10日12時50分頃
ニンテンドー3DS、アイスホワイト発表!
- ニンテンドー3DSに新色「アイスホワイト」を追加 (www.nintendo.co.jp)
- ニンテンドー3DS アイスホワイト (www.amazon.co.jp)
来た来た来た来た! 白来た! ついに来た!!
私は初代DSもDS Liteも白を買っていて、3DSも白が欲しいと思っていたわけです。ずっと待ち望んでいたわけです。しかも、それが3DSのキラーソフト、「スーパーマリオ3Dランド」と同時発売ですよ。
これはもう素晴らしいの一言。買わない理由が何一つありません。完全に買いです。買うしかないでしょう。
~現実~
現実を直視しなさいよ……。
個人的には完全に白待ちの状態だったので、「ピンクとかいいから、まず白を出せよ!」と声を出してツッコミを入れてしまいました。11月3日のまでに白が出ることはなさそうなので、白こだわると「スーパーマリオ3Dランド」を発売日にプレイできないということになりそうです。
以上、ニンテンドー3DSカンファレンス2011 より
これが現実ですよ……。
耐えきれなくなって購入。色は赤にしました。
- ニンテンドー3DS フレアレッド (www.amazon.co.jp)
以上、ニンテンドー3DS購入 より
m9(^Д^) プギャー
……問題はデータ移行。「ソフトとデータの引っ越しについて (www.nintendo.co.jp)」を見ると、DSiのデータを3DSに引っ越す方法はあるようですが、3DS同士で引っ越せるのかどうかは良く分からないですね。できそうな気もしますが、いずれにしてもDSiウェアのセーブデータは引っ越せないということなので、4つの剣が残念なことになりそうです。
深夜食堂 7
公開: 2011年10月10日12時10分頃
引き続いて。
- 深夜食堂 7 (www.amazon.co.jp)
食い逃げの話が出てくるのですが (結局お金は払われる)、その手法がなかなか鮮やかで興味深いです。
そしてマスターの一言。
おい、言っとくけど
この漫画 見て手口、真似すんじゃないぜ
あとはニンジンとアスパラあたりが面白かったかなと。
大つけ麺博 その8 東海四天王 / 名古屋つけ麺
公開: 2011年10月10日12時5分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その8。
今日は「東海四天王 (dai-tsukemen-haku.com)」の「名古屋つけ麺」にしてみました。
トッピングですが、トッピングのメニューも渡されずに「トッピングは?」と聞かれても困るのですが……。他には味噌カツがあるという話でしたが、詳しくは良く分からず……ともあれ全部入り以外だと「エビフリャー」がオススメだと言われたので、エビフリャーを選択してみました。300円。
写真では見えにくいと思いますが、つけ汁には大きめの水餃子がごろごろと入っています。スープは味噌味なのだと思いますが、正直なところインパクトが薄く、あまり印象に残らない味付けでした。
麺はきしめんのような平打ち。つけ麺の場合、この手の平麺はくっついてしまって取りにくい傾向にありますが、これも同様でした。特に、エビフリャー用のタルタルソースを盛りつけた海苔とくっついてしまって離れず、タルタルソースが大変なことに……。
そのエビフリャーですが、まあ要するにエビフライですが、まあ、普通にエビフライとしては美味しいです。ただ、つけ麺と一緒に食べてどうこうという訳でもなく、単なるおかずです。
つけ汁には水餃子が入っていますが、水餃子の味には強烈なインパクトがあります。ニンニクベースなのでしょうか、良く分かりませんがけっこう辛さがあって、とにかくインパクトはあります。インパクトがありすぎて麺の存在感がなくなるくらいの勢いです。
なんというか、いろいろ問題を感じたので頑張ってほしいです。とりあえずトッピングはメニューから選べるようにしてください……。
2011年10月5日(水曜日)
AppLogが何をしようとしているのか良く分からない
公開: 2011年10月10日11時30分頃
少し前から「AppLog」というものが話題になっていましたが、朝日新聞の記事になりましたね。
- アプリ利用時間や回数丸わかり 「アップログ」に批判 (digital.asahi.com)
記事を書かれたのは、岡崎市立中央図書館の事件でも活躍された神田大介さん。
そのAppLogのサイトはこちらのようです。
- AppLog (www.applogsdk.com)
見ていくと、いろいろ気になることが書かれています。
まず、どんな情報が送信されるかですが、以下のように説明されています。
- Android ID
- 端末の機種情報
- 端末のOS
- 端末にインストールされているアプリケーションの情報
- 端末で起動されているアプリケーションの情報
以上、AppLogSDKの概要 より
インストールされているアプリケーションの情報が送られるというのは、けっこう大きな話だと思います。さらに、こんなことも書かれています。
アプリケーションの使用状況から、統計的にユーザーの性別、年齢層、スマートフォンの利用頻度、アプリケーションへの興味、 有料アプリへの関心、などを推測することができます。
以上、AppLogオーディエンスターゲティング より
つまり、誰が誰だか分からないようにして統計に使うといった話ではなく、個々人についてインストールされているものを分析して、ユーザーの性別や年齢その他を推測するようです。こうなると、人によっては気持ち悪いと感じることもあるでしょう。
しかし、機微な情報を送信すること自体が駄目だというわけではありません。ユーザー自身にメリットがあって、ユーザーが承知の上で使うなら問題ないわけです。ただしその場合、ユーザーに内容を正しく理解させた上で、その同意を得るということが重要になってきます。
次に気になるのはビジネスモデル、マネタイズの仕組みです。
ユーザーから情報送信の許可を得られた端末1台につき1円を月額報酬としてお支払いいたします。 インストール数比例型の全く新しい収益モデルをアプリ開発者様に提供します。
以上、AppLogSDK導入のメリット より
エンドユーザーから情報を取得するのと引き替えに、アプリ開発者にお金が支払われる仕組みです。情報を取られているのはエンドユーザーなのに、その対価は開発者に支払われるというのは、いろいろな意味で画期的ではありますが、やはり違和感はありますね。
Q&Aにはこんな質問も出ています。
AppLogSDKが重複してインストールされた場合どういう動作となるのですか?
AppLogSDK が組込まれたアプリが複数同一端末にインストールされた場合
1番初めにインストールされ起動したアプリのみが AppLog の送信処理を行います。
2番目以降にインストールされ起動したアプリについては、1番目のアプリがアンインストールされるまでAppLog 送信の動作は行いません。
以上、AppLog Q&A より
要するに早い者勝ちなので、後から参入した開発者は不利になります。やがて参入メリットが無くなると思うのですが、そこはビジネスモデル的に大丈夫なのか少し心配ですね。
しかしもっと気になるのは、エンドユーザーに何のメリットもないように見える点です。このような情報提供に同意するユーザーがいるのでしょうか?
AppLogは以下のように説明しています。
取得したアプリケーション情報は、端末における広告配信の最適化など、端末のユーザー体験の向上に利用する事を目的として利用させて頂きます。
以上、AppLogSDKとは? より
「広告配信の最適化」が「ユーザー体験の向上」になるという理屈。ターゲットに合わせた広告を出すと、広告配信側の収益向上になるというのは分かります。しかし、ユーザー体験が向上するというのはどういう事なのでしょうか。「ユーザーにとっても、自身にマッチした広告が出た方が良いだろう」と言いたいのでしょうか?
ユーザーが最初から広告を見たいと思っていて、広告配信専用アプリをインストールしたというならば、その理屈は受け入れられるでしょう。しかし、AppLogはそういう使われ方を想定したものではないはずです。むしろ、広告を望んだわけではないユーザーに対し、アプリを無料で使わせる代わりに広告を配信する、というモデルなのではないでしょうか。
さらに別のページを見ると、こんなことも書かれています。
ユーザー様には、「AppLog」というアプリケーションの利用情報を送信する事で、利用しているアプリ開発者の収益化支援に協力する事ができ、より便利に「無料アプリ」を楽しむ事ができます。
アプリ内に表示される広告と異なり、初回の許諾画面以外は一切何も表示されないため、煩わしい広告表示でアプリの利便性が下がることもありません。
以上、For Users より
さっきは「広告配信の最適化」と言っていたのに、こちらでは「煩わしい広告表示でアプリの利便性が下がることもありません」と書かれています。広告は出るのでしょうか、出ないのでしょうか。
神田さんの (朝日新聞の) 記事ではこう書かれていますが……。
ミログはデータを解析して利用者の年齢層や性別、好きなアプリの傾向などを推定。KDDI子会社で携帯電話向け広告を手がける「メディーバ」(東京)がふさわしい広告を配信する仕組みだ。現在は本格サービスの準備中だが、たとえば株式アプリに熱中している人に証券会社の広告を集中して出す、などの使い方ができる。
これを見ると、広告を配信することは確定であるように読めます。AppLogを使用しているアプリケーションでは広告は出ずに、他のアプリケーションで広告が出るのでしょうか。仮にそうだとすると、そちらのアプリケーションで広告を拒否することは可能なのでしょうか。
AppLogのサイトにはプライバシーポリシーもあります。冒頭にPマーク (プライバシーマーク) が掲げられていますが、読んでみると、なかなか衝撃的な内容です。
弊社は、ユーザーから収集した本件情報を、以下の目的に利用いたします。なお、利用にあたっては、収集した本件情報を加工・分析する場合があります。
(1)ユーザーの趣味・嗜好等に合致した商品・サービスや、これらに関する情報の提供(ユーザーの趣味・嗜好等に合わせた広告の提供を主としますが、これに限られません。)
(2)商品・サービスの改善・新規開発
(3)取引先に対するプロモーション(販売促進活動)の提案
(4)第三者または弊社と第三者によって開発されるサービスの改善・新規開発
(但し、特定の個人を特定できない統計情報に加工されたデータとして利用する場合に限ります)
(5)その他ユーザーから得た同意の範囲内で利用すること
以上、Privacy Policy より
「ユーザーの趣味・嗜好等に合わせた広告の提供を主としますが、これに限られません」と書かれています。つまり、趣味指向のデータが広告以外にも使われ得ることがはっきりと示されています。しかし、具体的にどう使われるのかははっきりしません。極端な例としては、「趣味指向データを分析し、特定の病気を抱えていそうな人を抽出して、該当者のスマートフォンに直接電話し、健康食品を紹介する」という使われ方も許されるように読めます。
このプライバシーポリシーを読んだ上で、それでも情報の提供に同意する人はいるものなのでしょうか?
情報が何に使われるのかがはっきりしない状態で同意を求められても、本来なら判断のしようがないはずです。判断をせず、やみくもに「同意」ボタンを押すユーザーはいるでしょうが、それはユーザーが契約内容を正しく理解した上で同意の意思表示をした、とはみなせないでしょう。
そもそも、エンドユーザーにメリットが無いように見える時点で問題です。「エンドユーザーには何のメリットもないのに、アプリ開発者はそのユーザーの同意を得る必要がある」というのでは、ビジネスモデル自体に無理があります。そのようなビジネスを成立させるには、「メリットがあるのかのように錯覚させる」とか「深く考えさせないようにして、とにかく同意の意思表示をさせる」とか「同意を強く迫る」といったことが必要になってくる可能性があります。しかも、それを実行するのはAppLogの提供者ではなく、AppLogを利用する開発者になるでしょう。
まとめると、AppLogのビジネスモデルで気になる点は以下の2つです。
- 取得した情報を何に使うのかはっきりしない (プライバシーポリシーには広告に限らない旨が明記されている)
- エンドユーザーにどういうメリットがあるのか分からない (ユーザーが「同意」する動機が存在しないように思える)
この手の話ではFacebookやGoogleなどのサービスが引き合いに出されることも多いのですが、そういったサービスでは、ユーザーにどういうメリットがあるかは明らかです (もちろん、その明らかになっている目的以外に使用されれば問題になります)。あえて目的を告知しなくても十分だと言える場合も多いでしょう。
しかし、AppLogはそうではありません。もとより、様々な異なるアプリケーションによって利用される想定なのですから、情報を何にどのように使うのか、アプリケーションの性質から明らかになるということが期待できません。AppLogの側で事前に明示しておくことが必要になると思います。
ところで、神田さんは最後にこのようにまとめられています。
スマートフォンを巡っては、彼氏や彼女の位置情報や通話履歴を確認するアプリ「カレログ」(配信停止中)に批判が集まるなど、プライバシー保護の不十分さが問題視されている。
スマートフォンというか、Androidなんですよね。カレログもAndroidです。こういったアプリが次々と出てくると、「Androidアプリを入れるときは、意図に反する動作をしないものかどうか十分に注意・確認してから使うように」という注意喚起をせざるを得なくなってきます。実際、既にそういう状況ではあると思いますが……。
大つけ麺博 その7 日本ラーメン協会ドリームチーム by 一風堂×天神下大喜 / 鶏祭麺(チーサイメン)
公開: 2011年10月9日21時40分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その7。
今日は「日本ラーメン協会ドリームチーム by 一風堂×天神下大喜 (dai-tsukemen-haku.com)」の「
スープは鳥系で、鶏の挽肉が沈んでいます。イメージよりも濃厚で塩辛いです。
麺はふすま (麦の皮) 練り込み、ですが特に強い風味があるというわけでもなく、けっこう普通。
問題は具。鳥つくねの串がドンと1本入っています。まずいわけではないのですが、麺に合っていないと思いました。チャーシューなら麺と一緒に食べて一体感を味わえるのですが、この鳥つくねは薄味でやわらかく、麺と一緒に食べても存在感を感じられません。麺とは別にオカズとして食べる分には良いと思いますが、つけ麺の具材としては今ひとつな印象が否めませんでした。
トッピングの鳥もつ煮も微妙。こちらは味はしっかりついていて存在感がありますが、むしろ存在感がありすぎです。かなりの歯ごたえがあるので、麺と一緒に口に入れて噛むと、もつだけが口の中に残る結果になります。
タマゴもまた微妙。かなり柔らかめの半熟ゆでタマゴなのですが、味付けでない上に、黄身が流れ出すほどやわらかいです。これはこれで鳥つくねには合うのかもしれませんが、麺やつけ汁とはマッチしない感じがしました。
という感じで、つけ麺それ自体は美味しいと思うのですが、具材には再考の余地があるように感じました。
2011年10月4日(火曜日)
深夜食堂 6
公開: 2011年10月9日20時5分頃
引き続いて。
- 深夜食堂 6 (www.amazon.co.jp)
しょっぱなからこんなモノローグが。
プチトマトを豚バラスライスで巻いた串焼きは、
店 じゃあ結構よく出る人気メニューなんだ。
「メニュー」とはなんだったのか……。深夜食堂の「メニュー」は豚汁定食と酒だけのはずなのですが、にもかかわらず「人気メニュー」という概念があるというのは面白いですね。ガリガリ君を常備していたりするのもそうですが。
表紙の冷やし中華はまさかの展開。季節外れの冷やし中華好きというだけで……。
大つけ麺博 その6 カラツケ グレ / 牛つけ麺
公開: 2011年10月9日17時10分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その6。
今日は「カラツケ グレ (dai-tsukemen-haku.com)」の「牛つけ麺」を選択。辛いやつと普通のやつがあるそうなのですが、普通のやつを選択しました。トッピングは、たまご、もやしナムル、韓国のりで300円。
写真では見えにくいと思いますが、韓国のりはつけ汁の中に入れられています。つけ汁は牛肉も入っていて、味付けはコチュジャン系。悪くはないのですが、今ひとつインパクトに欠ける感じがしました。辛い方を選択した方が良かったのかもしれません。
トッピングはちょっと存在感がなさ過ぎというか、コストパフォーマンスが悪いように思いました。トッピングは無しでも良かったかも。
2011年10月3日(月曜日)
深夜食堂 5
公開: 2011年10月9日16時30分頃
引き続き購入。
- 深夜食堂 5 (www.amazon.co.jp)
表紙が餃子、そして最もインパクトのあった話も餃子。李さんのヌンチャクすげー。
それから何気に、深夜食堂の所在地が新宿であることが判明。これはまあ、そうだろうなとは思っていましたが。
大つけ麺博 その5 田崎真也×黄金の塩らぁめんDueItalian / ワインレッドの誘惑
公開: 2011年10月9日15時45分頃
「大つけ麺博 (dai-tsukemen-haku.com)」その5。
大つけ麺博も第二章となり、店が総入れ替えとなりました。今回選んだのは「田崎真也×黄金の塩らぁめんDueItalian (dai-tsukemen-haku.com)」、つけ麺の名は……「ワインレッドの誘惑」。
トッピングは、しゃぶしゃぶとかイタリアンオムレツとかがあって全部載せで2000円という意味の分からない設定 (本体は800円)。あまりにも意味が分からないのでトッピングはスルーしました。
麺はかなり固めで、クリームチーズが少しかけられています。麺の上に載っている具は、ナス、パプリカ、ズッキーニ。写真では見えにくいですが、マスタードもついています。
つけ汁はなんとデミグラスソース。どう見てもつけ麺という感じではありませんが、食べてみてもやはりつけ麺という感じはしません。が、うまい……。デミグラスソースはコクがあり、ほどよい酸味もあって非常に美味です。つけ麺というより、ごはんにかけたりパンに付けたりして食べたい感じ。このソースは塩分が強すぎたりもしないので、シチュー感覚で飲むことも可能です。というか飲みました。
あと、食べ終わった後にトリュフっぽい後味が残りますね。サイトで確認すると、麺にトリュフオイルが絡めてあるのだそうで。
見た目けっこうイロモノ系ですし、トッピングも意味不明ですが、食べてみると旨いです。なかなか良かったと思います。
2011年10月1日(土曜日)
ゼルダの伝説 4つの剣 25周年記念エディション
公開: 2011年10月9日11時40分頃
9月28日から、DSiウェアの「ゼルダの伝説 4つの剣 25周年記念エディション (www.nintendo.co.jp)」が無料でダウンロードできるようになっていて、ちくちくとプレイしていました。
ストーリー部分はほとんどなくて、ステージ選択画面から好きなステージを選んで手軽にプレイするスタイルです。基本的にはマルチプレイ用のゲームなのですが、「一人で練習」モードがあって、一人でもプレイできます。
一人プレイで「風の宮殿」をクリアし、出現した「思い出の地」をクリアしたところ、「修練場」が登場……。ここまで来るのは問題なかったのですが、修練場は凄まじい難易度で、初のゲームオーバーを喫してしまいました。純粋に敵が強い! 新しい敵が出てくるわけでもないのですが、敵の数が多くて袋だたきにされてしまいます。戦闘用に爆弾やブーメランを備えておかないとキビシイ。これ、ゼルダ史上最強の戦闘難易度なのではないでしょうか……。
マルチプレイなら大量の敵に対してこちらも大勢で対応できるはずなので、マルチプレイ推奨なんでしょうかね。
2度目のトライで辛うじてクリアしましたが、すると修練場その2が解禁に……。
- 前(古い): 2011年9月のえび日記
- 次(新しい): 2011年11月のえび日記
