水無月ばけらのえび日記

Windows Server 2003 SP2

Windows Server 2003 SP2 (www.microsoft.com) を適用してみました。例によって BIOS がおかしくて日付が 2003年1月1日に戻ったりとか、いろいろ苦労しましたが……。

何故かデスクトップと Quick Launch から IE6 のショートカットがなくなったのが謎。IE6 自体は生きていて、Microsoft Update しようとすると普通に立ち上がってくれますし、他のサイトも見に行けるのですが。

• 「Windows Server 2003 SP2」にコメントを書く

関連する話題: サーバ

MailDwarf脆弱性2題

JVN 公表され系。

• JVN#40511721 MailDwarf におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• JVN#08951968 MailDwarf においてメールの不正送信が可能な脆弱性 (jvn.jp)

今気がつきましたが、ソフトウエア製品の脆弱性だと一緒に届け出ても枝番処理されないんですね……。

ちなみに前者はひたすら良くある XSS で、後者はこれまたひたすら良くあるメールヘッダへの CR+LF のインジェクションですね。ユーザがフォームに入れたメールアドレスが From: の値になるのですが、そこに CR+LF がインジェクションできるという。

• 「MailDwarf脆弱性2題」にコメントを書く

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

東京ミッドタウンのリンクポリシー

これだけ。トップページへのリンクは事前に連絡が必要としつつ、それ以外のページへのリンクについては特に何も言及していない、というのは珍しいですね。

「バイラル・マーケティング」という言葉が知られるようになって、ディープリンクを禁止しようとする人は少なくなってきたように思いますが……何故トップページへのリンクだけは許可制なのか、これがわからない。前世紀的な「リンク集」からのリンクはチェックしたいけれども、個人 blog から各ページへの直接リンクは許可したいという意図……なのでしょうか。

• 「東京ミッドタウンのリンクポリシー」にコメントを書く

関連する話題: Web

マンガ買った

いろいろ出ていたので 3冊ほど。

• ドラゴン桜 18 (www.amazon.co.jp)
• すもももももも~地上最強のヨメ 7 (www.amazon.co.jp)
• ふたばの教室 2 (www.amazon.co.jp)

※何故か Amazon の ふたばの教室 2 (www.amazon.co.jp) のページにはまだ画像がないですね。もう出ているというのに。

• 「マンガ買った」にコメントを書く

関連する話題: 買い物 / マンガ

ゆとり教育

興味深いと思ったのでメモ : 「ゆとり教育で学力が向上した ～逆風を追い風に変えた京都の教育改革 (business.nikkeibp.co.jp)」。

少子化で大学の合格率自体が上がっているという話は聞きますが、それにしてもすごいですね。ドラゴン桜を地で行く感じなのでしょうか。

• 「ゆとり教育」にコメントを書く

関連する話題: 教育

Windowsアニメーションカーソルの脆弱性

更新: 2007年4月2日

「マイクロソフト セキュリティ アドバイザリ (935423) Windows アニメーション カーソル処理の脆弱性 (www.microsoft.com)」。

うへー、これは厳しいですね。

CSS の cursor プロパティで cursor: url(……); という具合に任意の画像を指定できるわけでして。そもそも cursor プロパティで画像を指定できる機能って要らないんですが、無効にする方法なんてあるのでしょうか。あらかじめユーザスタイルシートで cursor を全部指定しておく?

※追記: 「画像」と書きましたがもちろん Win IE 向けには *.ani なファイルが指定できちゃったりします。さらに参考 : 葉っぱ日記 - 「Windowsアニメーションカーソルの脆弱性」@水無月ばけらのえび日記 (d.hatena.ne.jp)

※2007-04-02追記 : *.ani なファイルは favicon としても使えてしまいます (えむけいさん情報ありがとうございます)。回避方法はないですね……。関連: 続・Windowsアニメーションカーソルの脆弱性。

• 「Windowsアニメーションカーソルの脆弱性」へのコメント (3件)

関連する話題: セキュリティ

安全なWebサイト利用の鉄則

とある事情で、利用者がフィッシングを防ぐための心得のような文書を探していたのですが、「安全なWebサイト利用の鉄則 (www.rcis.aist.go.jp)」というものがあるのですね。これはなかなかナイスです。

本筋とはあまり関係ないのですが、

少し前、O に CN と同じ値 (ドメイン名) が設定されている証明書を見たことがあります。オレオレ証明書ではなく、どうもジオトラストのサービス (www.onlinessl.jp)で正式に発行されたもののようです。中にはドメイン名をそのまま法人の名称としている組織もあろうかと思いますが、その組織はそうではありませんでしたので、O の値としてはおかしいと思うのですが……。

• 「安全なWebサイト利用の鉄則」へのコメント (2件)

関連する話題: セキュリティ / SSL/TLS

聖剣伝説4が安いっぽい

この前ビックカメラに寄ったら、昨年末に出たばかりの聖剣伝説4 (www.amazon.co.jp)がワゴンに投入されていて驚いたのですが、Amazon で見てみると アンリミテッド:サガ (www.amazon.co.jp)に迫るくらいお安くなっていますね。地雷扱いっぽい……。

アンリミテッド:サガは個人的には楽しめたので、もう少し安くなるようなら考えてみても良いかも。

• 「聖剣伝説4が安いっぽい」にコメントを書く

関連する話題: ゲーム / 聖剣伝説

ASP.NET 2.0 にしてみた

Vista には .NET Framework3.0 が最初から入っていて、コンパイラの csc.exe は .NET Framework 2.0 のものになっています。これで hatomaru.dll をコンパイルすると、2.0 で obsolete となったメソッドがあるのいっぱい警告が出てしまいます。せっかくだからということで、遅ればせながら ASP.NET 2.0 で動かすことにしました。

アップデートは問題なく完了。IIS の設定で ASP.NET 2.0 を選ばないと有効にならないという罠があってはまりましたが、とりあえず 2.0 の csc でコンパイルしたバイナリが無事動くことを確認しました。

※昔ひどいと思った System.Uri.MakeRelative() も obsolete になっていて、MakeRelativeUri() というメソッドができていたり、いろいろ変わっているようですね。

• 「ASP.NET 2.0 にしてみた」にコメントを書く

関連する話題: .NET / プログラミング

ATOK2007 体験版

ATOK2007 の体験版 (www.justsystem.co.jp)が配布されているようなので、入れてみました。

やっぱり ATOK は良いですね。新しく買ったマシンは Office 2007 (2007 Microsoft Office system) プリインストールなので一太郎はあんまり必要ないのですが、ATOK だけ買おうかしら。

• 「ATOK2007 体験版」へのコメント (6件)

関連する話題: ジャストシステム / ATOK

今日のもじぴったん

もじぴったんDS (www.amazon.co.jp)の今日のお言葉。

• 「今日のもじぴったん」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / もじぴったん

VistaFace

せっかくの Vista なので、サイドバーとガジェットでも使ってみるかということで、ダウンロードランキング 2位の VistaFace (gallery.live.com)を入れてみました。

……署名されてないし。orz

※いつのまにかダウンロードランキング 3位に落ち込んでいますね。

• 「VistaFace」へのコメント (2件)

関連する話題: Windows Vista / MacFace / ガジェット

絶対領域

「ウィッシュルーム (www.amazon.co.jp)」をクリアしたのでもじぴったんDS (www.amazon.co.jp)に没頭。まだ全然進んでいませんが……。

進まない原因のひとつとして、もじくん達のしりとりデモを見てしまうという点が挙げられます。成立する言葉を使ってひたすらしりとりをするだけなのですが、意外な単語が出てきて面白いのです。今日のヒットはこれ。

……こんなのまで言葉として登録されているのですね。ちなみに「わんせぐほうそう」なんてのもあるようで。

• 「絶対領域」へのコメント (2件)

関連する話題: ゲーム / ニンテンドーDS / もじぴったん

Vista と IPv6

「第1回　Vista時代の到来でネットワークは大きく変わる (itpro.nikkeibp.co.jp)」。IPv6 の話。

普通に DNS に AAAA レコードを訊きに行ったりするのでしょうか……と疑問を抱いたわけですが、これも FAQ なのか「Windows Vista でのドメイン ネーム システム クライアントの動作 (www.microsoft.com)」というドキュメントがありました。グローバル IP アドレスを割り当てていなければ余計なクエリは出ない、という理解で良いのですかね。

※いずれにしても、実際にパケットキャプチャしてみた方が良さそうではありますが。

• 「Vista と IPv6」にコメントを書く

関連する話題: Windows Vista / ネットワーク

ロデオキングとロデオボーイII

どうでもいい話。

去年バランスボール (www.amazon.co.jp)が話題沸騰だった頃、「Amazon でロデオボーイ (www.amazon.co.jp)が売られている」という話題で盛り上がっていた時期があったのですが、当時は「ロデオキング」や「ロデオボーイII」が売られておらず、Amazon は負け組」という説が流れていました。

ふと見ると、いつのまにか両方とも Amazon にあるのですね。

• ロデオキング (www.amazon.co.jp)
• ロデオボーイII (www.amazon.co.jp)

※売れるものなんでしょうか……。

• 「ロデオキングとロデオボーイII」にコメントを書く

関連する話題: 与太話

ウィッシュルーム クリア

「ウィッシュルーム 天使の記憶 (www.amazon.co.jp)」クリアしました。

悪くないのですが、惜しいと思った点がいくつかあります。

• 移動がちょっと遅くてイライラするかも。アナザーコード (www.amazon.co.jp)では未知の場所を探索して行くので歩いて移動でも問題ないのですが、ウィッシュルームでは同じ場所を何度も行き来することになるので、だんだん移動が面倒になってきます。
• 同様に、「扉を開ける」「電話を取る」といったアクションも最初は良いのですが、繰り返し行うとだんだん面倒になってきます。電話が鳴ったら自動で出ても良かったのでは。
• そして、ちょっと理不尽なゲームオーバー。持ち物検査で3回、地下室で4回くらいゲームオーバーになりましたが……。同じ箇所でゲームオーバーを繰り返すと、当然ながら同じ話を何度も聞かされることになってイライラしてきます。

そして個人的に一番気になったのは、疑問アイコンのマージンが揃っていないこと。主人公が疑問を抱くと左画面の左上に「?」のアイコンが表示され、それが複数並ぶのですが、最初のアイコンと 2番目のアイコンの間隔が 4ドットなのに、2番目と3番目の間隔は 3ドットしかありません。これがメチャクチャ気になってしまい、疑問が 3つになるたびに「うわ、マージン違うよ～勘弁してよ～」と思ってしまいました。

※こんな 1px の差が気になってしまう自分が悲しいです……。

• 「ウィッシュルーム クリア」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS

新マシンいじり中

新マシンにデータを移したりいろいろ設定をいじったり。

とりあえず hatomaru.dll は Vista の IIS7 でも動作してくれて一安心……と思ったら微妙に動作しないところがあったりしてしょんぼり。掲示板に書こうとすると「IPv4アドレスの形式が不正です : ::1」というメッセージが出たりしまして、HttpRequest.UserHostAddress の値が見事に IPv6 になっていることが分かったりするわけですね。

※「::1」は IPv6 のループバックアドレスで、IPv4 の「127.0.0.1」に相当するもの。

そもそも IP アドレスのチェックは現在していないので、チェックしないように修正して動作させましたが。

• 「新マシンいじり中」にコメントを書く

関連する話題: Windows Vista / hatomaru.dll

Let's Note R6

おかげさまで、去年あたりからちらほらと講演や執筆のお仕事をいただくようになったのですが、私物の PC はかなりくたびれているし、会社の共有マシンをつかうのも微妙なので、思い切って一つ買うことにしました。そして本日、Let's Note R6 (panasonic.jp) が届いたりしたわけです。

銀色は嫌だとか言いつつ買っているわけですが、そこはまあ天板色でカバー……と思って白の天板を選んだのですが、いざ届いてみると、これがまた琺瑯(ホーロー)のキッチンみたいな質感で何とも……。いっそのこと赤で3倍とかネタに走った方が良かったのかもしれません。

ともあれ Windows Vista を使っているわけですが、さすがにとまどいますね。とりあえず Hosts ファイルを書き換えようとしたところではまったりしましたが、これはお約束のようで「Windows Vista で Hosts ファイルや Lmhosts ファイルを変更できない (support.microsoft.com)」という KB があります。

まあ、セキュリティ強化がうたい文句ですから……と思いつつも、やっぱり「拡張子ではなく、内容によってファイルを開く」はデフォルト「有効」なのが納得いかない今日この頃。

IE7 ではインターネットゾーンのデフォルトが「中高」というレベルになっていて、「スクリプトによる貼り付け処理」や「異なるドメイン間のサブフレームの移動」などの設定は改善されているのですが、どうしてこんな厄介な奴がそのままなのでしょうか……。

あと意外に思ったのですが、初期状態では Flash が入っていないようですね。特にスクリプトや ActiveX を無効にした訳でもないのに、Flash は再生されません。いちばん面白かったのが Let's Note のサイト (panasonic.jp)で、打ち出しの画像をクリックしたら Adobe のサイトに飛ばされてしまったという……。

• 「Let's Note R6」へのコメント (5件)

関連する話題: 買い物 / Windows Vista / Let's Note / Flash

ASAHIネットパスワードの罠

数日前に久々に ASAHI ネットのパスワードを変更したら何故かメールサーバが使えなくなって、おかしいなーと思いつつも「どうせ spam しか来ないから良いか」と思っていたのですが、ちょっとメールを送る用事ができたので改めて設定ガイド (asahi-net.jp)を確認してみました。

半角は良いのですが、「小文字」で設定する必要がありましたか……。パスワードを小文字で入れ直してみたら、無事に使えるようになりました。

※しかし、なんでこんな事になっているのでしょうか……?

• 「ASAHIネットパスワードの罠」へのコメント (4件)

関連する話題: セキュリティ / ASAHIネット

ネット証券に不正アクセス、手法はブルートフォース

ジェット証券 (www.jetsnet.co.jp)のサイトに「当社WEBサイトへの不正アクセスに関するお詫び (www.jetsnet.co.jp)」というプレスリリースが出ていますが、この犯人が逮捕されたようですね。

自動的に接続できるプログラムを開発? 何なのでしょう……。

機械的に検索というとブルートフォース?

……ブルートフォースで確定ですね。ジェット証券のサイトを見るとアクセシビリティもユーザビリティもボロボロのようなので、接続するプログラムを作る気持ちは何となく分かる気がしますが、どう考えてもブルートフォース攻撃できるような機能は必要ないでしょうに。

しかし手法がブルートフォースだとすると、プレスリリースのこれは……。

これ、再発防止策として適切なのですかね。「ログイン時におけるセキュリティ強化等」って何なのでしょう……。

• 「ネット証券に不正アクセス、手法はブルートフォース」へのコメント (2件)

関連する話題: Web / セキュリティ

もじぴったんDS買った

もじぴったんDS (www.amazon.co.jp)の発売日なので、会社を抜け出して購入。

……おお、もじぴったんですね(当たり前)。体験版では「ふたりのもじぴったん」にボーカルが入っていないのが気になりましたが、製品版ではちゃんと歌っていて一安心。サウンドモードもありますね。

プロモーション映像で「いなばうあー」という言葉ができる様子が流されていましたが、「ぶろぐ」「うえぶろぐ」「うえぶりんぐ」なんてのもできたりするようで、言葉はいろいろ増えているみたいです。ちなみに「ぐーぐる」はないみたい。:-)

さて、これでワードバスケット力を鍛えますか。

※Amazon に ワードバスケットのページ (www.amazon.co.jp)あるんですね。在庫切れですけど……。

• 「もじぴったんDS買った」へのコメント (2件)

関連する話題: ゲーム / ニンテンドーDS

ウィッシュルーム

何となく「ウィッシュルーム 天使の記憶 (www.amazon.co.jp)」の話をしていたら、何故か横からソフトが出てきてお借りできました。

ということでプレイ中ですが、縦持ちのスタイルがうまく生かされていると思う一方、縦持ちだとテーブルに置いてのプレイがちょっとしづらいと感じていたりもしており。

ともあれプレイ中。

• 「ウィッシュルーム」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS / 任天堂

Trac日本語版の XSS 脆弱性が修正された

先日の Trac の話ですが、日本語版の修正版が公開され、同時に JVN でも情報が公開されました。

• JVN#91706484 Trac におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)
• JVN#91706484「Trac」におけるクロスサイト・スクリプティングの脆弱性 (www.ipa.go.jp)
• インタアクト株式会社--業務内容--公開資料 (www.i-act.co.jp)

JVN での公開は日本語版の公開を待っていたようですね。

ちなみに内容は、「利用者が Internet Explorer を利用している場合に」と書いてある瞬間に分かった人も多いと思いますが、例によって Content-Type: text/plain が無視されるという問題です。Content-Disposition をつけて回避したようですね。

• 「Trac日本語版の XSS 脆弱性が修正された」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

マンガ買った

2冊ほど購入。後で読みます。

• 美味しんぼ 98 (www.amazon.co.jp)
• 街角花だより (www.amazon.co.jp)

• 「マンガ買った」にコメントを書く

関連する話題: マンガ

情報セキュリティ白書

お疲れ様でした。各所で話題が出ていますね。

• 「情報セキュリティ白書 2007年版」の発行について- 10大脅威 「脅威の“見えない化”が加速する！」 - (www.ipa.go.jp)
• 2006年最大の脅威はWinnyによる情報漏洩、IPAがセキュリティ白書発行 脅威の“見えない化”が進む (www.atmarkit.co.jp)
• 2006年の10大脅威を発表 見えない脅威が増加、IPAがセキュリティ白書で警告 (internet.watch.impress.co.jp)
• 最大の脅威は「漏えい情報のWinnyによる流通」 2007年情報セキュリティ白書 (slashdot.jp)

ただ微妙な話もあって、

これは誤りかと。少なくとも私は投票していませんし、他にも 10大脅威確定後に参加したメンバーは大勢いるはずで、85人全員で投票しているわけではないでしょう。

• 「情報セキュリティ白書」にコメントを書く

関連する話題: セキュリティ / IPA / 情報セキュリティ白書

もじぴったんDS

もじぴったんDS (www.amazon.co.jp)の体験版が配信されていたので、ダウンロードしてプレイしてみました。

……おお、もじぴったんですね(当たり前)。もじぴったんの操作はタッチペンと非常に相性が良いですね。快適。価格もお手頃ですし、購入決定で。

※ただ、BGM「ふたりのもじぴったん」にボーカルが入っていないのが気になりましたが、体験版だからなのでしょうか……。

• 「もじぴったんDS」にコメントを書く

関連する話題: ゲーム / ニンテンドーDS

Tracの XSS 脆弱性が修正された

セキュリティホールmemo (www.st.ryukoku.ac.jp)で、「Trac "download wiki page as text" Cross-Site Scripting Vulnerability (secunia.com)」という話が紹介されていました。Trac の XSS ってなんか聞いたことあるような気がしていたのですが……。

……ってこれ私だし! なんでセキュリティホールmemo 経由で初めて認識しているのでしょうか……。これは例によって「情報セキュリティ早期警戒パートナーシップ」の制度を利用して IPA に届け出たものなのですが、JVN (jvn.jp) には何も出ていないようですね。時差?

※あとどうでも良いのですが、Oota じゃなくて Ohta と書いていたつもりだったのですけれど。

• 「Tracの XSS 脆弱性が修正された」にコメントを書く

関連する話題: セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ

制服が売れる

「日本でのXboxのキラーコンテンツはアレだった (slashdot.jp)」。アレ = アイドルマスター (www.amazon.co.jp)ということで。

YouTube の動画などを見ても、なんかみなさんこぞって 1000ゲイツの制服を購入していらっしゃるような雰囲気で、売れていそうだとは思っていましたが。

※「1000ゲイツ」は正しくは「1000マイクロソフトポイント」で、1500円に相当。

• 「制服が売れる」にコメントを書く

関連する話題: ゲーム / 与太話

禁煙スタイル

こんなサイトを発見 : 禁煙スタイル 全国の禁煙飲食店情報を掲載するグルメサイト (www.kinen-style.com)

飲み会などは喫煙される方が多いので敬遠していたりするのですが、自ら幹事になって禁煙の店を会場にしてしまうという荒技は使えるかもしれないと思ったり。

• 「禁煙スタイル」にコメントを書く

関連する話題: 出来事 / 思ったこと / たばこ / 飲食物

削除済みアイテムの意外な使い方

「迷惑メールを「削除」してはいけない (www.nikkeibp.co.jp)」。うーん……内容が分かりにくいですが、以下のような前提条件があるようですね。

• Outlook2007 / Outlook2003 / Windows Mail のいずれかを使っている
• 削除済みアイテムを過去メールの保管庫として使うメール整理術を実践している
• プレビューしただけで問題が起きるような危険なメールが来る
• あらゆる危険なメールは確実に迷惑メールフォルダに振り分けられる

私も仕事で Outlook 2003 を使っているのですが、「全ての標準メールをテキスト形式で表示する」というオプションを有効にしているので、「削除済み」の中身もテキストとして表示されますね。まあ、そもそも「削除済みアイテムを過去メールの保管庫として使う」なんてことをしていないので、あまり関係ない話ではありますが。

※テキスト形式で表示するのはかなりオススメ。「テキスト形式に変換されました」という情報バーっぽいものが出るのですが、これをクリックすると元の形式 (リッチテキストや HTML メール) で表示することもできるようになっていますので、テキストで読んでから必要に応じて元の形式で表示なんてのも可能です。ちなみに [ツール] - [オプション] を開いて「メールオプション」を押して「全ての標準メールをテキスト形式で表示する」にチェック。

• 「削除済みアイテムの意外な使い方」にコメントを書く

関連する話題: セキュリティ

電車が……

「京浜東北線で信号トラブル　山手線もダイヤ乱れる (www.asahi.com)」ということで深夜バスにすら間に合わず、残念な思いを満喫しました。

• 「電車が……」にコメントを書く

関連する話題: 出来事

サーバ押収

「放置サーバーにヤバい物が置かれて家宅捜索 (slashdot.jp)」だそうで。気をつけねば。

※まあ脆弱性の届出なんてのを行っている以上、突然逮捕されたりサーバを押収されたりするリスクは常にあるわけですが。

• 「サーバ押収」にコメントを書く

関連する話題: セキュリティ

アイドルマスター動画

なんとなくアイドルマスター (www.amazon.co.jp)の動画を集めてみました : ゲームのメモ : アイドルマスター。

• 「アイドルマスター動画」にコメントを書く

関連する話題: ゲーム / アイドルマスター

墓屋の参拝作法

細木数子の参拝作法は「誤り」　全国の神社から苦情 (www.j-cast.com)。

信仰心ゼロの私には「正しい」作法なんてのがあるとは思えないわけですが、細木数子という人は基本的には墓屋の営業らしいので、葬式の作法を推奨するのは正しい姿のような気がします。

※墓を買わされた人たちがメインで「細木数子 地獄への道 (www.amazon.co.jp)」という本を出しているようですね。

• 「墓屋の参拝作法」にコメントを書く

関連する話題: 与太話