水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2011年のえび日記 > 2011年2月

2011年2月

2011年2月28日(月曜日)

まさかの苺ましまろタクシー

公開: 2011年3月9日16時10分頃

まさかの苺ましまろタクシーですよ奥さん。

以前書いたように、苺ましまろは浜松が舞台になっていますので、地元でネタ……もとい町おこしとして取り組むということなのでしょう。

写真が豊富に見られますが、使われている絵は全て見覚えがありますね。各巻の表紙・背表紙の絵をそのまま使っているようで、書き下ろしはない模様。

関連する話題: マンガ / 苺ましまろ / 経済

2011年2月26日(土曜日)

ラストストーリー オンライン討伐と乱闘

公開: 2011年3月9日15時20分頃

ラストストーリー (www.amazon.co.jp)、討伐や乱闘を少しプレイ。

討伐はキャラ選択をランダムにしてみたら、いつの間にかみんなランダムにしてくれてランダム部屋に。みなさんノリが良いですね。

ただ、ランダム部屋になると妙に口数が減る気がします。キャラをランダムにしていると、autoの台詞がしゃべれなくなるからでしょうね……。

※台詞は各キャラの台詞を40種類ほど事前に選んで設定しておくのですが、中にはautoというものがあり、選択しているキャラに合わせた台詞になります。たとえば、autoの「[こんにちは]」をセットしておくと、現在のキャラがエルザならエルザの声で「やぁ」と発言しますし、セイレンなら「ハロー」、ジャッカルなら「うっす」になります。しかしランダムの場合、戦闘に入ってキャラが決定すればそのキャラで喋りますが、ロビーでは何もしゃべってくれないのです。ランダム時はエルザ固定でも良かったと思うのですが。

そして「乱闘」に挑戦。乱闘はいわゆる対戦モードです。討伐と同じようにロビーで待ち合わせて対戦に入ります。個人戦とチーム戦がありますが、チーム戦が人気のようで、私が入った部屋ではずっとチーム戦でした。私がホストになって個人戦に変えたら「チーム戦がやりたい」と言われてしまい……。個人戦よりもチーム戦のほうが戦略があったりして面白いのだと思います。

※にわかチームのハズなのに、剣士と魔法使いが見事に息のあった連携を見せたりすると感動します。もっとも、うまい連携をするのはたいてい敵チームの方なのですが。:-)

乱闘では本編での装備の性能は反映されず、見た目だけ反映されます。また、乱闘でしか使えないキャラが結構います。タシャ、トリスタ、ロッタあたりが使えるほか、ザングルグ、ゼーシャとゼーファ、スケルトンやリザードやベリト(牢獄で拘束されていたモンスター) も使えて盛りだくさんです。

ちなみに、キャラによってはautoの「[こんにちは]」に「失礼する」という台詞が割り当てられていることがあるので注意が必要です。挨拶のつもりで「失礼する」と発言してしまい、「お疲れ様」「またお会いしましょう」と返ってきて気まずい思いをしたことが何度かありました。

で、乱闘なのですが、全く勝てないですね……。本編とはかなり勝手が違うので、慣れが必要なのだろうと思います。何となく悟ったこと。

きっと最後が重要だと思いますよ。

乱闘が終わるとアイテムがもらえます。優勝者 (チーム戦の場合は勝利チームの中で最もポイントを多く稼いだ人) はゼロソードなどのレア武器やレア素材がもらえますが、負けても素材や各種エフェクト用の染料がもらえます。エフェクトは乱闘でしか入手できないので、乱闘をどんどん楽しんでエフェクトを揃えると良いでしょう。

※エフェクトは色替えでセットできます。乱闘未経験の状態だと何も選択できないので、使ったことがない人も多いことでしょう。

関連する話題: ゲーム / Wii / ラストストーリー

2011年2月25日(金曜日)

岡崎市立中央図書館事件で共同声明、ただし被害届はそのまま

公開: 2011年3月9日14時30分頃

岡崎市立中央図書館事件、いわゆるLibrahack事件で大きな動きがあったようです。

問題とされたクロールについて、図書館は以下のような見解を発表しています。

1 閲覧障害につながった行為について

事案発覚当時は、当館としては原因の詳細が分かりませんでした。しかし、現在では、ご本人様が行った図書館サイトへのクローリングが、技術的に一定の配慮が施されたもので、その意図も図書館システムの利便性を補おうとするものであったことと理解しています。

以上、図書館ホームページ閲覧障害に係る経過等について より

基本的にはクロール行為への正しい理解がなされ、「クロール行為は犯罪ではない」ということが確認され、円満な解決に至ったものだと思います。この点は非常に高く評価したいです。

ただ、気になるのはこの部分。

被害届を取り下げない理由

被害届の扱いには、きわめて慎重な判断を要します。同時にそれは、提出の必要があれば実施をためらってはならないものです。もし、今回これを取り下げることになると、次に何かあったときに「本当に出していいのか」と、提出をためらうことがあるかもしれません。

もし、被害届の提出をためらった結果、市民生活に多大な悪影響が出るとすれば、これは大変なことです。中川氏は、その危うさを理解し、行政の判断を受け入れました。そもそも中川氏は「取り下げ」という形にこだわっておらず、この声明は実質的な要求に応えるものとなっています。

以上、"Librahack"共同声明に関する詳細情報 より

中川さんは納得されているようですので、これはこれで問題はないと思います。ただ、市側の説明が私には理解できませんでした。

被害届を取り下げてしまうと次回提出がためらわれるというのですが、普通に考えると逆なのではないでしょうか。間違った被害届を取り下げできないということになれば、届出は慎重に行わなければならないはずです。ためらわずに被害届を出すためには、間違っていたら後から取り下げできるという方が良いはずです。市の説明は論理的に筋が通らないように感じます。

あえて整合性のある理由を探すなら、警察・検察との関係性を配慮した、というあたりでしょうか。

今回の事件では、既に警察によって逮捕勾留が行われ、検察によって嫌疑ありの状態のまま起訴猶予処分になっています。共同声明では犯罪性を否定するコメントが出ましたが、警察は「声明には関与していない。被害届が出たので対処したまでだ」とコメントすれば済むでしょう。しかし、被害届を取り下げてしまうと、警察は「関与していない」という態度は取れなくなります。

つまり、このタイミングで被害届を取り下げると、警察・検察との関係性が悪化する可能性があるわけです。そうなれば、次回に被害届を出しにくくなるでしょう。というわけで、「ここで被害届を取り下げると警察・検察との関係が悪化してしまい、今後の被害届を出しにくくなる」という話であれば、理屈としては理解できます。

もちろん、これは想像に過ぎず、実際にそんな背景があったのかどうかは分かりませんが。

いずれにしても、中川さんは元々「世の多くの技術者の方に迷惑をかけたくない」という考えを表明されていましたから、被害届の取り下げよりも、「クロール行為は犯罪ではない」という声明が出ることを重要視されていたのだと思います。できるだけ早く声明を出すことを優先され、その結果としてこのような落としどころになったのでしょう。これはこれでアリだと思いますし、評価したいと思います。

関連する話題: Web / セキュリティ / 法律 / 岡崎市立中央図書館事件 / librahack

2011年2月24日(木曜日)

「体系的に学ぶ 安全なWebアプリケーションの作り方」フラゲ

公開: 2011年3月8日15時5分頃

待望の荷物が届きました。中身はこの本。

まだ発売前なのですが、レビュアーの特権ということで。いわゆるひとつの「徳丸本フラゲ」です。

本になったものを改めて見ると大迫力ですね。レビュー時はPDFの原稿を見ていたので最終的な厚さが想像できていなかったのですが、まさかこんなにボリュームがあるとは。

というわけで早速内容をチェック。最終稿へのフィードバックが反映されていたりされていなかったりするのを確認しました。

※全て言ったとおりに反映されるわけではなく、徳丸さんの判断で反映されていないものもありますが、それはそれでOKなのです。

全体的に、かなり良い出来になったのではないかと思います。セキュリティ業界の定番本としての地位を占められる内容なのではないでしょうか。

あえてネガティブな点を挙げるなら、検索しにくそうなところでしょうか。

ふと特定の部分を見たくなったようなとき、これだけ厚いと目的のページにたどり着くのが大変です。本の前小口 (背表紙の反対側、開く方の側) には章ごとに印がつけられているのですが、いちばん見たいのはメイン部分の4章です。そしてその4章は、ひとつの章で240ページ近くあるわけでして。4章にはすぐにたどり着けますが、そこから先は地道にめくって探す必要があります。

ですので、横着せずに目次や索引を活用するべきです。まあ、索引もなかなか微妙で、自動生成した内容を調整しきれなかったという印象を受けるかもしれませんが、気にしない方向で。

とはいえ、それは些細な点です。Webアプリを作る方にはかなりオススメできる内容ですので、多少なりとも興味のある方は手元に置いていただくと良いかと思います。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

関連する話題: / セキュリティ / 徳丸本

2011年2月23日(水曜日)

ルームメイト

公開: 2011年3月8日14時10分頃

読み終わったので。

乖離性同一性障害を扱った作品……ということは序盤に分かるのですが、叙述トリックに近い要素もあって、「あいつが犯人だと思わせておいて実はあいつが犯人だろう」と思っていたら良い意味で裏切られました。

この本、解説がないかわりに、結末の直前に謎のエクスキューズがあります。作者はラストの後味が悪いと書かれていますが、私はこれで良いと思いました。むしろ、人が何人も死んでいるのにハッピーエンドというほうが後味が悪いのではないかと思います。

関連する話題: / 買い物

2011年2月22日(火曜日)

アドレスバーはXSSを防げるか

公開: 2011年3月8日13時40分頃

こんなお話が……「Google Chromeからアドレスバーが消えたとして騒ぐ必要ある? (d.hatena.ne.jp)」。

結局、「アドレスバーを見ただけでXSS型のフィッシング詐欺を判別できる人がどれだけいるのか」という問題。日頃ブラウジングをしていて何気なく出てきたフィッシングを、アドレスバーを見ただけで一発で見分けられるのか。

そもそも、アドレスバーでXSSの防止が期待できると主張している人がいるのでしょうか……?

ここで言われている「XSS型のフィッシング詐欺」という攻撃は、入力フォームにXSS脆弱性があって入力欄や送信先を改竄できてしまうパターンだと思います。この手の入力フォームはたいていPOSTで動作するようになっていますので、XSS攻撃もPOSTで行われることでしょう。POSTによるXSSではアドレスバーに攻撃の気配は全く現れませんので、どんなにアドレスバーを凝視してもXSS攻撃を見分けることはできません。

※中にはGETで攻撃できるフォームもありますが、例外的なケースだと思います。

ですから、そもそもアドレスバーでXSSを見破ることは期待できません。アドレスバーが重要になるのはXSSではなく、普通に偽サイトを構築するタイプのフィッシングの場合でしょう。

フィッシングでは、しばしば本物サイトと似た紛らわしいドメインを使って利用者を騙そうとします。これは、本物サイトと全く異なるドメインでは利用者を騙しにくいということでもあります。利用者にサイトのURL (とドメイン名) を知らせる機能は重要なもので、それを無くすのは危険でしょう。

その機能を提供するインターフェイスとしては、アドレスバーという形をとるのが現在の主流です。ですからアドレスバーを採用することは無難だと思いますが、これが最良なのかどうかは議論の余地があると思います。

関連する話題: セキュリティ / Web / UA

2011年2月19日(土曜日)

ラストストーリー オンライン討伐

公開: 2011年3月6日11時40分頃

ラストストーリー (www.amazon.co.jp)、2周目もクリアしたので、オンラインの討伐に参加してみました。

ラストストーリーはオンラインでのマルチプレイが可能で、見知らぬ人と一緒にプレイすることができます。といっても、ドラクエ9 (www.amazon.co.jp)のように本編のストーリー攻略が一緒にできるわけではなく、ストーリーとは絡まない番外編という扱いになります。システムは同じでも、ゲームとしては別物に近いです。

マルチプレイには、別のプレイヤーと共闘してボスを倒す「討伐」と、他のプレイヤーと戦う「乱闘」の2つの遊び方があります。今回は初めてなので、勝手が分からなくても何とかなりそうな討伐のほうをプレイしてみました。

戦闘開始までの流れはこんな感じ。

最大6人までが参加可能で、人数が少ない場合は他のプレイヤーが参加してくるのを待つこともできます。

また、ロビーでは「-」ボタンを押すと発言することが可能です。主にストーリーで使われている台詞の中から40種類をあらかじめセットしておき、その中から選んで発言するこができます。

基本的には意思の疎通に使うのですが、ネタ会話も可能です。「その髪型……テメェはカリアゲクォーク!」→「誰がカリアゲだ、テメェ!」のようなストーリーそのまんまの普通の会話もできますし、「まぁ……これ全部いただいても?」→「カリアゲにはやらねぇ!」のように、ぜんぜん関係ないのに妙につながりが良い会話ができたりします。これが結構面白いです。カリアゲ系の会話はとても便利なので、いくつかセットしておくと良いと思います。

戦闘はこんな感じ。

戦闘に勝利すると、オンラインでしかもらえない武器や強化用素材をもらえたりします。

装備の能力は反映されるのですが、本編で有用な装備が乱闘ではイマイチだったり、その逆だったりする場合があります。たとえば、TP上昇率アップのスキルは生かせませんし、魔法系のキャラは物理攻撃力の高い武器を生かすことができます。

戦闘中でも台詞をしゃべれるのですが、戦闘に忙しいので発言する余裕があまりありません。戦闘中に意思疎通するための台詞も結構あるのですが、「ありがとう」「すまない」くらいしか使わないですね。

戦闘中は殴るだけなのですが、みんなと一緒にボスを殴っているだけでもけっこう楽しいです。ルールはほぼ同じはずなのに、オフラインとは全く違う楽しさがありますね。

関連する話題: ゲーム / Wii / ラストストーリー

東京家政学院大学の入試問題にミス

公開: 2011年3月3日23時35分頃

東京家政学院大学の入試問題にミスがあったそうで、Twitter方面で話題になっていました……平成23年度一般入試B日程入試問題(数学)における出題ミスについて (kasei-gakuin.net)

問題文はこんなのですね。

生徒45人の所持硬貨について、50円硬貨を持っている生徒は21人、500円硬貨を持っている生徒は29人、50円硬貨も500円硬貨も持っていない生徒は17人であった。50円硬貨も500円硬貨も持っている生徒は[ 17 ]人であり、500円硬貨は持っているが50円硬貨は持っていない生徒は[ 18 ]人である。(配点 各4)

以上、平成23年度一般入試B日程入試問題(数学)における出題ミスについて より

[ 17 ][ 18 ]を選択肢から選んで埋めるのですが、選択肢を見るまでもありません。生徒45人と言っているのに、「500円硬貨を持っている生徒は29人、50円硬貨も500円硬貨も持っていない生徒は17人」ということはあり得ないからです。「500円硬貨を持っている」という条件と「50円硬貨も500円硬貨も持っていない」という条件は排他で、2つを同時に満たすことはありませんから、最低でも46人いなければ矛盾します (29 + 17 = 46)。

単に出題者が数字のどれかを間違えた単純ミスだろうと思いますが、指摘された後の対応が……。

解答時間中に受験者から「正答がない。」との指摘があったが、問題作成委員による確認では「ミスなし。」との結論が出、受験者にその旨回答した。

試験終了後、同受験者から電話にて「やはり正答がない。予備校教員に相談したが『正答』なしとのことであった。」との指摘が再度あった。

その時点までは委員の判断に変更がなかったため、解答時間中と同じ回答をしたが、合否判定までの間、再度試験問題を精査した結果、指摘のとおり「正答がない。」ことが判明した。

以上、平成23年度一般入試B日程入試問題(数学)における出題ミスについて より

なんと、一度「ミスなし」と判断しているのですね。問題がおかしいことは見ればすぐに分かると思うのですが、問題作成委員はどこを見ていたのでしょう。「正答がない」という言い方で指摘されたから選択肢のほうしか見なかった?

関連する話題: 思ったこと / 論理

2011年2月18日(金曜日)

論理少女5

更新: 2011年5月7日18時55分頃

出ていたので購入。

最終巻でしたか。さすが最終巻というべきか、自分でも考えてみたくなるような面白い問題が多く、楽しめました。1巻に次ぐ面白さだったと思います。

以下、順に気になった問題をメモしておきます。

ハノイの塔の問題

積み重ねたコインを1枚ずつ移動していくパズル。有名な問題ですが、なぜか「ハノイの塔」という名前は出ませんでしたね。

4枚のコインを移動する手数について、先生の解説では一般化してからn=4を代入していましたが、3枚を動かすのに7手かかることが分かっているはずですから、以下のように分解して考えれば一般化しなくても回答できます。

  • まず上の3枚をどかす (7手)
  • 一番下のコインを移動する (1手)
  • どかしていた3枚を上に載せる (7手)

基本的にハノイの塔は再帰の問題なので、1枚少ない状態の答えが分かっているなら、それをベースに考える方が筋が良いと思います。

水泳部員を一言で追い出す

ルールがちょっと曖昧ですね。

まず、「たった一言」の定義がはっきりしません。霧子の回答より「2、3、6、7、9番は出ていけ」のほうが短くて簡潔な気もします。

また、霧子の回答では他部員が出ていった後に水泳部員まで出ていくことになりそうです。水泳部員は命令に従わなくて良いということであれば、「全員出ていけ」で済みますし。

長さを求める問題

これが今作で一番盛り上がる部分だと思うのですが、いつきの計算方法には問題があると思います。

いつきは最終的に (31.847×100) / (31.847 + 100) を計算しているのですが、この31.847という数値は、100を3.14で割って求めたものです。しかし、そもそも円周率は3.14ではありませんから、この値は正確ではありません。Google電卓の計算では、3.14とπを使用した場合、それぞれ以下のようになります。

  • 100 / 3.14 = 31.8471338
  • 100 / π = 31.8309886

と、この時点で誤差があることがわかります。いつきはこの数字を丸めた状態で複数回使って計算しているのですが、できるだけπを残して式を解き、最後にπ=3.14を代入するほうが誤差が少なくなるはずです。

a = 100, b = 100/π のときに 1/a + 1/b = 1/c であるような c を求めれば良いのですから、

  • 1/100 + π/100 = 1/c
  • c = 100 / (π + 1)

となります。そして 100 / (π + 1) をGoogle電卓で計算すると、こうなります。

  • 100 / (π + 1) = 24.1453007

いつきの回答は24.155メートルですから、少し誤差が出ましたね。円周率を3.14とした場合はどうなるかというと……。

  • 100 / (3.14 + 1) = 24.1545894

おや、意外にもいつきの回答と一致する結果になりました。いつきの計算方法もGoogle電卓で計算しておくと、

  • (31.84700 × 100) / (31.84700 + 100) = 24.1545124

と、こんな感じです。誤差はありますが、思ったより少ないですね。偶然かもしれませんが結果オーライで。

よく考えると円周率を3.14とするというルールも無かったような気がするので、そういう意味では誤差はあります。ただ、そもそもどの程度の精度で回答する必要があるのか全く述べられていないわけです。トラックの線がミリ単位の正確さで引かれているとも思えませんし、誤差がどのくらいまで許容されるのかは何とも言えません。「約25メートル」と答えて「精度は指定されていない」と言い張るのも一計かもしれません。

※2011-05-07 追記: NHKで2010年5月4日に放送された「頭がしびれるテレビ・神はπに何を隠したのか」によると、陸上のトラックの設計では円周率を3.1416として計算することになっているのだそうです。

津隠ダウト

ルールがフレキシブルすぎます……。

  • 霧子がタイムアウトで失格と言われていますが、制限時間があるというルールは説明されていません。
  • 「カードの山から3枚を持ってテーブルに対峙」とはっきり説明されているのですから、ミーナはルール違反でしょう。
  • 「相手に1つ質問できる」というルールのはずですが、なぜか相手ではなく先生に、しかも平然と2回質問するいつき。相手に質問しない場合は回数は関係ないのかもしれませんが、いつきの口ぶりはルールで許された「質問」という感じなので……。

あと、細かいですが巻末の「ある日の一日」で沖橋さんが2回登場しているふうですね。実際には2回目は井波さんです。

関連する話題: マンガ / 買い物 / 論理少女 / 論理

2011年2月17日(木曜日)

死亡フラグが立ちました!

公開: 2011年2月27日21時20分頃

読み終わったので。

タイトルだけで購入。何とも奇妙な味のあるスラップスティックですね。

「究極の殺し屋」がテーマ……というと、星新一の「殺し屋ですのよ (www.amazon.co.jp)」を思い出しますが、そういうスマートなオチはなく、けっこう無茶苦茶な感じでした。だがそれが良い。

ラストは若干中途半端な気がしましたが、あのオチはアレしかないような気もしますね。

関連する話題: / 買い物

ITゼネコン構造と情報システムの品質

公開: 2011年2月27日21時20分頃

こんな記事があり、面白いと思いました……「新卒一括採用が「ITゼネコン構造」を生む (ascii.jp)」。

いわゆるITゼネコンは基本的に上流工程しか担当せず、コーディングは下請けにやらせるのが大半です。普通に考えると、「ITゼネコンは上流工程しかやらない」、だから「プログラマは不要であり、主にSEになる人材を採用している」という順番に思えますが、この記事では逆の見方をしています。

たとえばJavaのコーディング能力で採用すると、それを使うソフトウェアの開発をやめたとき、そのプログラマーが社内失業してしまう。日本以外の企業では仕事のなくなった社員は解雇されるのが普通だが、日本では解雇規制や「終身雇用」の規範が強いので、仕事がなくなってもクビにできない。

つまり、「大企業では解雇規制が強いために特定の言語に特化したプログラマが採用できない」ということが先にあり、それゆえに「ITゼネコンは上流工程しかできない」という分析ですね。非常に面白いと思います。

おそらく、プログラマについて以下のような前提があるのでしょう。

あるいは、昔のプログラマは実際にそうだったのかもしれませんね。「Javaしか書けない人」はちょっと想像しづらいですが、「COBOLしか書けない人」なら想像できるような気がします。外部のシステムと連携することも今よりは少なかったでしょうから、一つの言語しか書けなくても問題なかったのかもしれないですね。

しかし、このような雇用慣行を続けた結果、日本のソフトウェア産業では親会社は仕様の決定と工程管理を行なうだけで、コーディングなどの専門的な仕事は下請けに出されるITゼネコン構造が生まれた。こうした構造は、高度成長期の製造業のように単純な技術で安くつくるブルーカラーが競争力の源泉だったときには、一定の合理性があった。

(~中略~)

ソフトウェア技術者の能力によってコーディングの能率は大幅に変わるので、才能のあるスターを何人もっているかで企業の競争力が決まる。だからソフトウェア企業はハリウッドのスタジオのような専門家集団になり、その中心はエンジニアやプロデューサーのようなクリエイターだ。ホワイトカラーはスターをサポートするマネジャーで、企業は芸能プロダクションのような才能の入れ物になる。

このような変化は、日本でも不可能ではない。

今や海外では、大規模な情報システムはITゼネコンではなく、「ハリウッドのスタジオのような専門家集団」によって構築されているのだそうで。海外の情報システムの事情はよく知らないので、事実なのかどうかは良く分かりませんが、事実なら面白いですね。

いずれにしても、ITゼネコン型のメリットはもはや無いように思えます。発注側はITゼネコンを通さずに下請けに直接発注するべきであり、そうすれば大幅なコスト削減ができるでしょう。それはおそらく正しく、実際に「この案件はITゼネコンを通す必要がないのではないか」と思えるような状況は結構あります。

しかし、少なくとも現在の日本では、システム構築の能力よりも企業の規模が重要になる案件があります。たとえば、以下のようなケースです。

いずれも、システム構築の能力とは関係ない要因で大企業に受注が集まります。こういった案件を受注しようとする場合、まず企業の規模が重要であり、次いで重要なのが提案や見積もりの能力です。優秀なSEは必要ですが、プログラマは必要ありません。ITゼネコン構造ができる原因はその辺りにあるのでしょう。

インフラとの抱き合わせはまだしも、ランクによる足切りは単なる参入障壁です。純粋にシステム構築の能力で発注が行われることが望ましい……とは思いますが、それは容易ではありません。なぜなら、システム構築の能力を判断することは難しいからです。

システム構築の能力が判断できないから、企業の規模、認証の取得状況、提案のうまさなどで判断せざるを得なくなります。そうやって判断した発注先に能力が不足していると、プロジェクトは失敗するおそれがあります。そして実際に失敗しているケースがたくさんあります。

しかし、失敗の事例はほとんど公表されません。そもそも、構築された情報システムを評価して「失敗」と判断することも容易ではありません。たとえば、岡崎市立中央図書館の事件でシステムに問題があったことは明らかですが、当初、図書館では「システムが悪いかもしれない」という見方を全くしていませんでした。自分が実際に運用しているシステムに対しても、「失敗」という評価はなかなか出来ないものなのです。

このあたりの構造をうまく変えることができれば、もう少し効率の良い発注・受注ができるのではないかと思いますが……。

※そういう意味でも、岡崎市立中央図書館の件が世に知られることには意味があったのではないかと思います。

関連する話題: 思ったこと / セキュリティ / システム開発 / 岡崎市立中央図書館事件 / librahack

2011年2月14日(月曜日)

徳丸さんのセキュリティ本 レビューの感想など

公開: 2011年2月22日22時40分頃

「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です (d.hatena.ne.jp)」。

このように、レビュアーの皆様には、字句の間違い指摘というレベルを超えて、非常に本質的な「この脆弱性のなりたちは何か」という議論に及ぶこともあり、私自身非常に勉強になりました。

と、徳丸さんも書かれているように、誤字脱字の指摘が中心かと思いきや、そうでもありませんでした。「この脆弱性の本質は何か」とか「この保険的対策は実施した方が良いのか」といった、かなり奥深い部分から考え直す機会が何度もあり、面白かったです。しかも調子に乗って「追加でこれを書いてほしい」というリクエストまで出してしまい……。どう考えてもレビューの枠を超えていますが、それでも快く対応していただきました。本当にありがとうございます。

他に面白いと思ったのは、なぜか役割分担ができているように感じたことでしょうか。たとえばPHPを中心に見られている方、VMを中心に見られている方など、自然に担当が分かれるような感じになっていて、そのおかげで、私はPHPやVMには完全ノータッチで済みました。レビュアー間の役割分担などは全く話し合われていなかったのに、自然に分担ができていたのが面白かったですね。これは徳丸さんの人選が良かったのかもしれません。

悩ましいと思ったのは、ある概念に名前をつけて説明しないと分かりにくいという状況がしばしばあったことでしょうか。徳丸さんは同一生成元ポリシーの話をされていますが、他にも、CSRFにおいて「副作用」という用語の説明をするべきかどうかなど、悩みどころはたくさんありました。脆弱性って難しいですね。

……という「脆弱性」という語にについても、冒頭で読みが提示されているので、「きじゃくせい」と読んでしまったりしないで済む設計です。分かりにくい説明や難しい表現は複数のレビュアーによってかなりチェックされていると思いますので、かなり分かりやすいものになっているのではないでしょうか。

と言いつつ、私も最終形は見ていないので期待しております。

関連する話題: / セキュリティ / 徳丸本

2011年2月10日(木曜日)

徳丸さんのセキュリティ本、Amazonで予約開始

公開: 2011年2月18日22時35分頃

徳丸さんのセキュリティ本、Amazonで予約できるようになりましたね。

業界ではおそらく「徳丸本」と呼ばれることになるでしょう。

実は私もレビュアーとして参加していたので、一冊いただけることになっているのでした。レビューの内容などについては、また改めて書こうかと思います。

※しかし、「11%のカスタマーが魔法少女まどか☆マギカ (1) (www.amazon.co.jp)を購入しています」と言われるのがメッチャ気になるのですけれど……。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

関連する話題: / セキュリティ / 徳丸本

2011年2月5日(土曜日)

ラストストーリー クリア

公開: 2011年2月16日22時45分頃

ラストストーリー (www.amazon.co.jp)、クリアしました。

プレイ時間は40時間弱。サブイベントを一通りこなしたり、闘技場に籠もったり、各ダンジョンを最低一回は再訪したりと満喫したので、ストレートに進めばもっと早くクリアできると思います。

感想としては、やはり戦闘が面白かったです。連打で疲れることもなく、爽快感もあり、ずっと戦っていたい感じ。

システムで印象的だったのは、Aボタン押しっぱなしでムービーシーンを早送りできる機能。これは良いと思いました。ただ、早送りできない (スキップはできる) ムービーシーンも混ざっているのがちょっと。早送りできる形式で統一してほしかったです。

ストーリーは……良くも悪くも王道という感じでしょうか。ひとつ気になったのは、ある人物が殺された時の反応です。その直前の状況を考えるとあからさまに怪しい人物がいるのですが、なぜか全く疑われず、何をしていたのか聞かれもしないという不自然さ。私は最後までずっと「こいつだろ」と心の中でツッコミを入れていたわけですが。

まあ、個人的にはゲームのストーリーはあまり重視していないので、ゲームの肝である戦闘が面白ければ満足です。

ちなみに、クリア後はセーブデータを保存できて、そのデータをロードすると2周目が始まります。レベルや所持金、アイテムなどはそのまま引き継がれます。敵の強さはそのまま……でもなくて、ボスや大型モンスターは強化されています。レベル100を超えるモンスターも出てくるので歯ごたえがあります。「異邦の粒」というアイテムが出てきて武器をさらに強化できたり、2周目以降だけの特典もあるようです。

関連する話題: ゲーム / Wii / ラストストーリー

2011年2月4日(金曜日)

賭博堕天録カイジ 和也編 5

公開: 2011年2月15日12時20分頃

出ていたので購入。

うーん。心理戦ぽくなってきたのですが……なぜか、いまいち迫力がないような気がします。

限定ジャンケンも裏切りをテーマにしていましたが、あれは誰がいつ裏切るか分からない適度な緊張感が良かったのだと思います。今回は、元々裏切る余地がないはずのところに、和也が無理に不信のタネを植えようとしているだけ。3人にとってはアクシデントでも、実は和也がコントロールしてしまっているので、すべてが予定調和なのですよね。

仮に予定調和が崩れたとしても、和也には何のリスクもありません。3人に同情・共感しているカイジにしても、自身は安全な場所にいます。誰かが死ねばショックを受けるでしょうが、カイジは石田さんが目の前で死ぬ場面を経験してきているわけで、それを上回るショックにはなり得ないでしょう。

そんなわけで、やはり「カイジ」にしては緊張感が薄いというのがいまいち感の原因かも。このゲームの結果によって、カイジや和也に何かが起きるようなことになったら盛り上がるのかもしれませんが……。

今後の展開に期待します。

関連する話題: マンガ / 買い物 / カイジ

2011年2月2日(水曜日)

私のおウチはHON屋さん

公開: 2011年2月14日18時30分頃

そろそろシーズンということで、Amazonで「超立体マスク 花粉用 (www.amazon.co.jp)」を注文したわけですが、せっかくだからついでにテキトーなマンガでも買っておこうかと思い、オススメされていたものを購入してみました。それがこれ。

実はちょっと急いでいたので、レビューとか説明とかはあんまり見ないで買いました。配達あかずきん (www.amazon.co.jp)みたいな感じで小学生書店員が活躍する話なのかなと思っていたわけですよ。

で、会社宛に送っておいたのが今日届いたのですが、開封してビックリ。Amazonの表紙写真には帯が付いていませんでしたが、出てきた品物にはしっかり帯がついていました。その文句がこれです。

成人向けの小学生。

未成年の女の子、成人相手にHなお仕事超がんばる!

ギャーッ! なんだこれ!!

思わず周囲を見回してしまいましたが、午前中に届いたのが幸いして目撃者はほとんどおらず。滝のように汗が流れたりしつつも、でもAmazonで注文したとき18禁って言われなかったしなぁ、と思い起こして、おそるおそる読んでみました。

……ぜんぜん18禁な内容ではありませんでした。

主人公の中沢みゆは小学五年生の少女ですが、生家が本屋で、そのお手伝いをしています。ただしそのお店は、成人向け書籍専門の「とっても恥ずかしい本屋さん」。家は父子家庭でバイトもおらず、父が出かけると店番をさせられるのですが、「こんなお店で店番したくない!」と叫ぶ毎日。……と、こんな設定です。タイトルの「HON屋さん」は、「本屋」と「H本屋」をかけているのでしょう。

というわけで舞台はあからさまなエロ本屋なのですが、内容としては純粋なコメディで、その手の絵やシーンは皆無です。作中にエロ本は大量に出てきますが、表紙絵もコメディタッチなので大丈夫。

面白いのは、主人公のみゆがエロ本を「恥ずかしい」と思いつつ、書店員としてのプロ意識をしっかり持っているということ。ポップも書きますし、しっかりした商品知識もあって顧客にも信頼されています。学校帰りに、つい商品の配置を考えてしまったりもします。でも恥ずかしいという。

というわけでべつに18禁でもないし、面白かったです。しかし、この帯のアオリ文句は……。書店で手に取っていたら絶対に買わなかったと思うので、よく見ないでAmazonで買ったのはある意味正解だったかもしれません。

関連する話題: マンガ / 買い物 / 私のおウチはHON屋さん

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト