水無月ばけらのえび日記

永遠の0(ゼロ)

公開: 2010年9月2日21時25分頃

読み終わりました。

• 永遠の0 (www.amazon.co.jp)

これは凄い。

零戦のパイロットであり特攻で亡くなったという祖父について調べるうちに浮かび上がる疑問、そしてその謎が解かれたとき、もう一つの大きな真実が……という話なのですが、戦争経験者へのインタビューの形式で進んで行く話が非常に面白いです。零戦の空戦戦術の話、太平洋戦争の戦況の移り変わり、士官と下士官と兵の関係など多岐にわたるのですが、それが全て面白い。そして目頭が……。

もちろん、謎の中心である祖父の話もしっかり面白いですし、ラストの展開には驚かされました。

というわけでかなりオススメです。あえて言うと、分厚いので片手で読みにくいのが難点。

• 「永遠の0(ゼロ)」にコメントを書く

関連する話題: 本 / 買い物

ゲームセンターCX 24 課長はレミングスを救う 2009夏

公開: 2010年8月31日23時55分頃

購入。

• ゲームセンターCX 24 課長はレミングスを救う 2009夏 (www.amazon.co.jp)

ゲームセンターCXではありますが、いつものDVD-BOXではありません。2009年8月29日～30日に行われた24時間生放送を編集したもので、収録時間合計13時間48分という代物。

Amazonのレビューを見ると賛否が割れているようで、星一つのレビューが結構ありますね。挑戦ソフトがレミングス (www.amazon.co.jp)のみで13時間超というのは、正直どうなのだろうと思いますが……観てみないことには何とも。

ということで地雷の予感もありますが、あえて購入。

問題は13時間を超える視聴の時間を取れるかどうかですね。

• 「ゲームセンターCX 24 課長はレミングスを救う 2009夏」にコメントを書く

関連する話題: 買い物 / DVD / ゲームセンターCX

なれる! SE

公開: 2010年8月28日14時45分頃

読み終わったので。

• なれる! SE 2週間でわかる?SE入門 (www.amazon.co.jp)

タイトルからするとシステムエンジニアの話のように思えますが、中身はなんと、ネットワークエンジニアがひたすらルータの設定をするお話でした。これは予想外ですね。いわゆるSEらしい人たちも出てきますが、一瞬だけ、しかも全員討ち死にしているという壮絶なものです。

※SEの定義については巻末に補足説明があります。

しかし、これが意外に面白かったり。

• 「なれる! SE」にコメントを書く

関連する話題: 本

ホメオパシーは荒唐無稽

公開: 2010年8月28日13時50分頃

日本学術会議が「ホメオパシーは効かない」と断言、それが朝日新聞の一面に載ったようで……「ホメオパシーは「荒唐無稽」　学術会議が全面否定談話 (www.asahi.com)」。

たとえ効果がなくても害がなければ良いではないか、という考えもあるのでしょうが、以下のような点には問題があると思います。

• 人工的な治療や薬が良くないものであると説明して、治療から遠ざける
• 症状が悪化しても「好転反応」と説明して、治療を受けさせない
• 実際には効果がないのに、高いお金を取る

私が「ホメオパシー」という言葉を初めて知ったのはガードナーの「奇妙な論理 (www.amazon.co.jp)」を読んだときのことで、それまで世間にそういうものがあるとは全く知りませんでした。少なくとも日本では問題になっていないのだろうと思っていましたが、山口で新生児が亡くなった事件などを見ると、じわじわと広がってきていたようですね。世の中には「人工的なものよりも、天然自然のものの方が身体に良い」という考えを持つ人がけっこういるように思いますが、そういう人は、このような「疑似治療」を抵抗なく受け入れてしまうのかもしれません。

しかし、天然のものが身体に良いというのは誤解です。たとえば、天然のフグと養殖のフグを比較すると、天然の方が毒性が強いです (フグ毒のテトロドトキシンはフグが合成しているわけではなく、えさに由来するため)。自然界には危険なものがたくさんあります。

また、実は人間の身体もそんなに自然に適合しているわけではありません。先日読んだ「星を継ぐもの (www.amazon.co.jp)」でも語られていましたが、人間の身体にはたくさんの欠陥があります。食道と気管が繋がっているとか、立って歩くのに適した骨格になっていないとか。

そんな欠陥のある人間も、昔は、危険な自然の中で生きていたわけです。そしてその時代、人間の寿命はとても短かったのです。それを工夫して、時には環境の方を変えることで、人間は長く生きることができるようになりました。

もっと科学というものを敬っても良いのではないかと私は思います。

• 「ホメオパシーは荒唐無稽」にコメントを書く

関連する話題: トンデモ

大東京トイボックス 6

公開: 2010年8月28日12時35分頃

6巻出ました。

• 大東京トイボックス 6 (www.amazon.co.jp)

発売日の昨日(24日)にはゲリラサイン会が行われたようで、サインをもらったというつぶやきが流れていましたね。

ストーリーですが、前から出ていた表現規制の話のほうに振れてきました。規制されないために自主規制を強化する、と……。CDを焼く話もアツイですね。

• 「大東京トイボックス 6」にコメントを書く

関連する話題: マンガ / 買い物 / 東京トイボックス

MELIL/CSケータイ版の叫び

公開: 2010年8月26日0時30分頃

岡崎市立中央図書館の件、朝日新聞の神田大介記者によるツイートはまだ続いています。その中に非常に興味深い話が。

MELIL/CSにはケータイ用のコンテンツを提供する機能があるようで、岡崎市立中央図書館のドメインにもそれらしいコンテンツが置かれています。

• http://www.library.okazaki.aichi.jp/tosho/i/index.html (www.library.okazaki.aichi.jp)

「岡崎市立中央図書館のサービスが停止した理由」で書きましたが、MELIL/CSがあっさりサービス停止した原因は、セッション開始時にDB接続をしていることです。そして、そのセッションをCookieで管理しているため、Cookie無効状態で連続アクセスされるとDB接続がどんどん増殖してしまい、やがて停止に至ります。逆に言うと、Cookieが有効な環境でのアクセスであれば、大きな問題に発展しにくいと言えます。

しかし、ケータイサイトはそもそもCookie有効を前提にできません。docomoの端末がCookieに対応したのは2009年夏以降であり、現在でもdocomo端末ではCookie無効が主流だからです。ではMELIL/CSのケータイ用コンテンツはどうなっているかというと、ちゃんとCookie無効でも問題なく動作するように作ってあるのですね。

※実際にアクセスしてみると、スクリプト無効でも動きますし、けっこうサクサク動いてくれます。こちらのほうがPC版よりずっと使いやすいような……。

そのケータイ用のソースコードに、上記ツイートのようなコメントが書かれていたらしいというお話。これはつまり、ちゃんと問題点を理解して対応することできる人がいたということです。この対応がPC版にフィードバックされていれば不幸は避けられたと思うのですが。

• 「MELIL/CSケータイ版の叫び」にコメントを書く

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

星を継ぐもの

公開: 2010年8月25日0時50分頃

これは面白かったです。

• 星を継ぐもの (www.amazon.co.jp)

つい先日、2010年7月12日に亡くなったジェイムズ・P・ホーガンのデビュー作ですね。1977年に書かれた作品なのですが、機上から端末で情報を検索する際の描写などは、2010年現在、ほとんど違和感がありません。

※残念ながらDECはもうなくなっていますけれど。:-)

ミステリとしても質が高いと思います。謎が明らかになるとまた次の謎が出てきて飽きさせません。後半の大きな謎については、私はすぐに分かってしまったのですが、最後にまたどんでん返しがあって楽しめました。

• 「星を継ぐもの」にコメントを書く

関連する話題: 本 / 買い物

リューシカ・リューシカ

公開: 2010年8月24日22時30分頃

読みましたよ。

• リューシカ・リューシカ1 (www.amazon.co.jp)

総天然色マンガ。リューシカって「龍鹿」なんですね。

幼い少女がパワフルに過ごす日常のあれこれ、ということで「よつばと!」を連想させますが、絵のタッチや雰囲気はだいぶ違います。ちょっと前衛的な感じでしょうか。

個人的には「う○こバリアー」……もとい、カチューシャの話が面白かったです。

• 「リューシカ・リューシカ」にコメントを書く

関連する話題: マンガ

岡崎市立中央図書館のサービスが停止した理由

更新: 2010年8月26日0時30分頃

朝日の報道と前後して、高木さんからも情報が出ていますね……「Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6) (takagi-hiromitsu.jp)」。

福岡県の篠栗町立図書館のサイトにFTPサーバが立っていて、Anonymous FTPでソースコードらしきものが取得できたというお話のようで。今どきFTPのポートが開いているというだけでも驚きますが、Anonymous FTPは物凄いですね。

※私の記憶では、Windows 2000 ServerのFTPサービスはデフォルトで匿名アクセスが有効になっていたような気がします。Windows Server 2003ではFTPを使おうと思ったこと自体がないので、最近どうなっているのかは良く分かりませんが。

※2010-08-26追記: デフォルト設定どころか、管理会社 (MDISとは別らしい) が故意に認証を外したらしく、しかも書き込み可能だったという説があるようで……http://twitter.com/HiromitsuTakagi/status/22096009910 (twitter.com)。それは想像もできませんでした。にわかには信じがたい話ですが、事実だとすれば驚愕の一言です。

以前から、MELIL/CSはSession_OnStartでDBコネクションを確立しているのではないかと推察されていました。高木さんが取得したGlobal.asaの内容は、まさにその予想を裏付けるものでした。

この実装では、セッション開始の際にDBへの接続が確立され、セッション終了時に破棄されます。しかし、この図書館の蔵書検索は、そもそもログインして使うサービスではありません。ログアウトの機能もありませんから、ユーザーのログアウトでセッションが終了することはありません。ユーザーがサイトから離脱してもサーバ側にはセッションが残り、タイムアウトになるまで維持されます。タイムアウトまでの時間は設定によりますが、IISのデフォルトでは20分です。

さらに注目するべきは、セッションがCookieで管理されているということです。誰かがブラウザでこのアプリケーションにアクセスすると、アプリケーションではセッションが開始され、そのセッションIDを含むCookieが発行されます。次回アクセス時には、ブラウザからアプリケーションにCookieが送られ、アプリケーションはそのCookieを見て、同一セッションであるかどうかを判断します。

では、ブラウザのCookieが無効だったらどうなるでしょうか。この場合、初回アクセス時にセッションが開始されてCookieが発行されますが、ブラウザはそのCookieを無視します。次回アクセス時にはCookieが送られてこないため、アプリケーションは初回アクセスだと判断します。アプリケーションは別のセッションを開始し、別のCookieを発行します。

つまり、Cookie無効状態でアクセスされると、アプリケーションはどんどん新しいセッションを作ります。普通はそれでも大した問題は起きないのですが、セッション開始時にDB接続を確立する場合、DBへの接続数がどんどん増えていくことになります。DB接続できる本数には限りがありますから、その上限に達するとDB接続できなくなり、エラーで終了してしまいます。たとえば以下のようなエラーメッセージが出ることになります。

これは、私が尼崎市立図書館のサイトで目撃したメッセージです。岡崎市立中央図書館においては、このエラーが On Error Resume Next で飛ばされ、別の場所でエラーになっていたと考えられています。いずれにしても、DB接続数が上限に達してしまい、サービスを継続できなくなるという現象が発生します。CPUパワーやメモリ、ディスクの容量などとは全く関係なく発生します。

ふつう、クローラはCookieを送出しませんから、クローラがアクセスしてくると一気に大量のDB接続が発生することになります。だからrobots.txtでクローラのアクセスを拒否していたのでしょう。

ではCookie有効のブラウザであれば問題が起きないかというと、そうでもありません。多くの人がアクセスしてきた場合、アクセスしてきた人数分だけDB接続が発生し、タイムアウトまで維持されます。短時間の間に多くの人が来れば、負荷がそれほど高くなくてもサービスが停止してしまうおそれがあります。

そもそも、セッション開始時にDB接続を確立するような設計がナンセンスなのであって、その設計を見直すべきです。高木さんの報告によれば、ASP.NET版では実際に見直しがされているようですね。

※どうでも良い話ですが、「'エラー対策？」というコメントが秀逸で笑ってしまいました。「エラー対策」と書くなら分かるのですが、どうして疑問形で書かれているのでしょうか。

• 「岡崎市立中央図書館のサービスが停止した理由」にコメントを書く

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

岡崎市立中央図書館の件、朝日新聞に

公開: 2010年8月22日19時0分頃

岡崎市立中央図書館の件、朝日新聞名古屋本社版に記事が出たそうで。asahi.comでも見られますね。

• 図書館ＨＰ閲覧不能、サイバー攻撃の容疑者逮捕、だが… (www.asahi.com)
• なぜ逮捕？ネット・専門家が疑問も　図書館アクセス問題 (www.asahi.com)
• ソフト会社、図書館側に不具合伝えず　アクセス障害問題 (www.asahi.com)

日経コンピュータと比べてもかなり踏み込んだ取材を行われたようで、問題の本質をとらえた良い記事だと思います。要するに、サービス停止の原因は図書館側のプログラムの不具合ということですね。Twitter界隈では盛んに言われていたのですが、一般の人に分かりやすく伝えるのはなかなか難しいところでした。

記事を書かれた神田大介さんは、Twitter上でもいろいろ語られています。

私のアカウント (@bakera (twitter.com)) もフォローしていただいているようで、私のツイートが多少なりとも役に立ったのであれば嬉しいですね。

その後のやりとりは以下にまとめられています。

• 岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分) (togetter.com)

そして、最も印象に残ったツイートがこちら。

これはなかなか言えないですよね。

• 「岡崎市立中央図書館の件、朝日新聞に」にコメントを書く

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack / Twitter

脆弱.inふたたび

公開: 2010年8月22日15時10分頃

「ドラッグ＆ドロップで簡単プログラミング　文科省が子ども向けに公開、まとめサイトも登場 (www.itmedia.co.jp)」というお話が。

矢野さとるさんと言えば……ということで、今回も早速指摘されていますね。

• さすが脆弱.inの矢野さとる、最新作でもちゃんと穴を用意してくれてた!すばらしい!

現在は修正済みのようです。公表されたら直すのですね。

話は変わりますが、情報セキュリティ早期警戒パートナーシップの制度に関して「脆弱性を修正しようとしない運営者・開発者をどうするか」という議論が行われているようで、私も少し意見を述べさせていただきました。

まあ、いろいろありますよね。

• 「脆弱.inふたたび」にコメントを書く

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

パスワードを含むURLで警告が出ない話

公開: 2010年8月22日13時45分頃

こんな話が……firefoxのiframeに脆弱性？ (slashdot.jp)

URIには http://username:password@example.com/ のようにしてIDとパスワードを入れることができたのですが、この形式で http://bakera.jp:bar@example.com/ のようにすると異なるドメインのように見せかけられるというアドレスバー偽装の問題がありました。この問題に対して、IEはその形式のURLにアクセスできないようにするという対応を行いました。Firefoxの方はアクセスできないようにするのではなく、アクセスしようとしたときに警告が出るようにしています。

アクセス先が認証を求めていない場合はさらに厳しい警告が出ます。

今回話題になっているのは、このURLがiframeのsrc属性に指定してある場合に警告が出ない、というお話のようで。実際やってみると、確かに警告は出ないのですが、リロードすると警告が出たり、良く分からない動作になるようですね。

iframeの中であればアドレスバー偽装の問題は起きませんが、そもそもFirefoxではアドレスバーにIDとパスワードが残らないようになっているようで、いずれにしてもアドレスバー偽装としては問題にはならないように思いますが……。

• 「パスワードを含むURLで警告が出ない話」にコメントを書く

関連する話題: Web / セキュリティ / UA / Firefox

CSS Nite in Ginza, Vol.51

公開: 2010年8月21日23時25分頃

CSS Nite in Ginza, Vol.51 (cssnite.jp)に行ってきました。

技術評論社の馮さん、Adobeの西村さんによる電子書籍のお話。話の流れはこんな感じでした。

• 前説: Dreamweaver CS5 (www.amazon.co.jp)のHTML5対応の話 (西村さん)
• 前半: 出版業界の構造や現状、電子書籍のデバイスの紹介、実際に技術評論社が出している電子書籍の紹介など (馮さん)
• 後半: 電子書籍の実例紹介、InDesign CS5 (www.amazon.co.jp)によるコンテンツ作成の紹介など (西村さん)
• まとめ (馮さん)

鷹野さんからは「InDesignの吐くePubのCSSが汚すぎる」というツッコミがあったりしましたが……。

Webとの繋げ方をどう考えていくのかといったあたりに興味がありましたが、そのあたりはまだこれから模索していく感じのようで。ひっそりと懇親会にも参加させていただいて、いろいろ貴重なお話をお聞かせいただきました。

※次回Vol.52 (cssnite.jp)の予定の紹介もあったりしましたが、やたらハードルを上げられているような気がするのは気のせいでしょうか……。

• 「CSS Nite in Ginza, Vol.51」にコメントを書く

関連する話題: Web / 出来事

脆弱性関連情報流通にまつわるAppleのスタンス

公開: 2010年8月21日16時55分頃

こんな話が……「Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 (d.hatena.ne.jp)」。

WEBrickというのはRubyで書かれたWebサーバで、Railsのテスト環境としてよく使われます。それに脆弱性があったのですが、Appleが開発者に連絡せずに自分のところだけ修正して公開してしまった、というお話のようで。

※脆弱性の内容としては、単純に、エラーページのHTTP応答ヘッダにcharsetパラメータがついていなかったという話のようです。

こういう話こそ、情報セキュリティ早期警戒パートナーシップで何とかしてほしいと思うのですが……。

• 「脆弱性関連情報流通にまつわるAppleのスタンス」にコメントを書く

関連する話題: セキュリティ / 情報セキュリティ早期警戒パートナーシップ / Apple

HTTPSで通信すると個人情報が筒抜けになってしまう……という話ではない話

公開: 2010年8月21日15時25分頃

「SSL通信で個人情報が筒抜け？　カード明細に見知らぬ購入履歴 (internet.watch.impress.co.jp)」。

タイトルだけ見ると、「通常のHTTPでは大丈夫なのに、HTTPSで通信すると個人情報が筒抜けになってしまうケースがある」と読めて、一瞬ドキッとしたわけですが、ぜんぜん関係ない話でしたね。

• いつものショップでほしいものの在庫がなかった
• 商品名を検索したら、見知らぬサイトがヒットした
• そこでカード情報を入力して決済した
• 商品が届かず、カードを不正利用された

これ、単に「見知らぬサイトでカード情報を入れるな」という話ですね。正当な証明書があったとしても、基本的には通信相手が本物であることを示しているだけですので、通信相手が本物の詐欺師だった場合は被害に遭います。この被害はSSL/TLSと関係ない話ですし、フィッシングとも関係ありませんね。

• 「HTTPSで通信すると個人情報が筒抜けになってしまう……という話ではない話」にコメントを書く

関連する話題: セキュリティ

CSS Nite in Ginza, Vol.52 開催まで1ヶ月

公開: 2010年8月21日13時55分頃

まっちゃだいふくさんに CSS Nite in Ginza, Vol.52 をご紹介いただきました。ありがとうございます。

• CSS Nite in Ginza, Vol.52（2010年9月16日開催） (d.hatena.ne.jp)

ふと気付くとあと1ヶ月なのですね。準備しないと……。

• 「CSS Nite in Ginza, Vol.52 開催まで1ヶ月」にコメントを書く

関連する話題: Web / セキュリティ / CSS Nite / 講演

サイン会はいかが?

公開: 2010年8月18日1時0分頃

読み終わったので。

• サイン会はいかが? (www.amazon.co.jp)

短編5編を収録。さくさく読めて、読後感が良いです。やはり長編よりも、短編集の軽妙な感じの方が合っているように思いますね。

• 「サイン会はいかが?」にコメントを書く

関連する話題: 本 / 買い物

システムが安全であるということを証明しているラベルまたはロゴ、とは?

公開: 2010年8月17日23時30分頃

「インターネット上のサービスにおけるプライバシについての調査結果を公開～日本・EUの比較により、日本人のプライバシ侵害を自身で防ぐ意識の低さが判明～ (www.ipa.go.jp)」。

いろいろ調査されているのですが、「プライバシを確保するためにブラウザーのセキュリティ設定を変える」が日本でも24%あるというのがちょっと驚きです。しかし、どの設定をどう変えたかまでは調査されていない模様……。

しかし、それより気になったのは、「システムが安全であるということを証明しているラベルまたはロゴ」とか「重要な個人情報を入力する前に、取引が保護されている、あるいは、サイトが安全であるという表示を持っていることを確認する」とかいった項目。これ、もしかして、ベリサインのシールだとかPマークとかいったものを指しているのでしょうか……?

• 「システムが安全であるということを証明しているラベルまたはロゴ、とは?」にコメントを書く

関連する話題: プライバシー / IPA

岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目

公開: 2010年8月17日0時55分頃

岡崎市立中央図書館の事件、いわゆるlibrahackの件ですが、岡崎市議の耳にも入ったようで……「librahack事件（岡崎市中央図書館事件） (aiailifeyanase.cocolog-nifty.com)」。

それはないでしょう。「５年前には想定できなかった」などということは、あり得ないと言って良いと思います。

絨毯爆撃で有名だったdloader(NaverBot)やBaiduspiderは、2003年の時点で稼働していました。今回問題になったクローラーは1秒に1回以上のアクセスをしないように配慮していましたが、dloaderにはそのような待ち時間はなく、はるかに激しいアクセスをしていました。クローラによる短時間での連続アクセス、それも今回のものよりもっと激しいアクセスが、2003年には既に実際に起きていたのです。

dloaderとBaiduSpiderは極端な例ですが、他にもこのように自動でWebにアクセスするプログラムは多数存在します。クローラー、アンテナ、プリフェッチャなどさまざまな種類があり、ずっと昔から稼働していました。

では、岡崎市立中央図書館ではなぜ今まで死んでいなかったかというと、/robots.txt を置いてクローラーからのアクセスを拒否していたためでしょう。robots.txtの内容については「高木浩光＠自宅の日記 - 国会図書館の施策で全国の公共機関のWebサイトが消滅する 岡崎図書館事件(5) (takagi-hiromitsu.jp)」で詳しくレポートされています。このrobots.txtには無意味な記述も大量に含まれていますが、基本的には全てのクローラの全てのアクセスを拒否する指定になっています。

※昔のdloaderはrobots.txtを読まなかったという噂もあるのですが、MELIL/CSができた頃には読むようになっていたのかも。そのあたりは良く分かりません。

機密性があるわけでもない情報に対してrobots.txtでアクセスを拒否するということは、普通はしません。なぜrobots.txt が置かれているのかと言えば、それは置かないとまずいことが起きると分かっていたからであり、おそらくは実際にまずいことがあったから置いたのでしょう。クローラーが来て落ちるということが実際に起きたため、robots.txtを置いて対応したという可能性が高いと思います。

本来であれば、クローラーのアクセスに耐えられるように設計を見直すべきです。というか、普通に作っていればクローラーが来ただけで落ちたりはしないはずです。「この５年間、特にこのようなトラブルは起こっていない」とのことですが、それ以前にはトラブルが頻繁にあって、しかしながら根本的な対応をせずに姑息な手段で済ませてしまった……という経緯があるのではないかと推察します。

今回は、たまたまその姑息な手段が通用しなかったというだけでしょう。5年前にはなかったことが起こったとか、そんな高度な話ではありません。システムには昔からずっと問題があって、その問題が今回たまたま表面化したというだけの話のように思います。

• 「岡崎市立中央図書館のMELIL/CSは5年前でも既に駄目」にコメントを書く

関連する話題: Web / セキュリティ / 岡崎市立中央図書館事件 / librahack

誤報: 幻のiPhoneウィルス配布サイト

公開: 2010年8月16日23時30分頃

「【注意喚起】アップル社製iPhoneやiPadの脆弱性を悪用した攻撃の可能性に関して (www.lac.co.jp)」という記事が。例のiPhoneでJail Breakできる脆弱性に関する注意喚起なのですが、気になる記述が。

たとえば読売のこれですね……「ｉＰｈｏｎｅ ＯＳに弱点…ウィルスが勝手に電話 (www.yomiuri.co.jp)」。

確かに「海外のあるサイトを閲覧するとウイルスに感染」と言っていて、既にウィルス配布サイトが存在するというニュアンスに読めますね。どうしてこうなってしまったのかが気になります。

• 「誤報: 幻のiPhoneウィルス配布サイト」にコメントを書く

関連する話題: セキュリティ / Apple

mixiがダウンから復旧

公開: 2010年8月15日1時20分頃

mixi、大規模障害から復旧　原因は「キャッシュシステムの不具合」 (www.itmedia.co.jp)……ということでmixiは復旧したようです。

「キャッシュシステムの不具合」ということなのでプロキシサーバの障害なのかとも思いましたが、どうやらmemcachedの障害のようで。

memcachedが大量の接続を受けると突然停止をするので、memcachedへの接続数を減らし安定運用中。外部からの過剰アクセスではなく、サーバ追加→クライアント数増加→停止。

memcachedが死ぬというのも珍しいように思いますが、mixiクラスになるといろいろあるのでしょう。

• 「mixiがダウンから復旧」にコメントを書く

関連する話題: Web

XmlPreloadedResolverでXHTML1.1を処理する

公開: 2010年8月12日22時30分頃

W3CのDTDを取りに行きすぎるとBANされるという話がありますで紹介したXmlPreloadedResolverクラスですが、.NET Framework4から使えるようになっています。

DTDを取りに行かなくてもXHTMLをWell-formedなXMLとして扱うことはできるのですが、©などの実体参照が解釈できないという問題があります。XmlPreloadedResolverを使えば、無駄な通信をせずに実体参照も扱えるようになるので便利です。

というわけでさっそく試してみました。たとえば以下のようにすると、

文書型宣言に http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd などのURLが出現しても、取りに行かずに解釈することができるようになります。これですべて解決……と思いきや、XmlKnownDtds列挙体 (msdn.microsoft.com)にはXHTML1.0とRSS0.91のものしかありません。XmlKnownDtds.All を指定した場合でも、以下のもので全てのようなのです。

• -//W3C//DTD XHTML 1.0 Strict//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd
• -//W3C//DTD XHTML 1.0 Transitional//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd
• -//W3C//DTD XHTML 1.0 Frameset//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml1-frameset.dtd
• -//W3C//ENTITIES Latin 1 for XHTML//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml-lat1.ent
• -//W3C//ENTITIES Symbols for XHTML//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml-symbol.ent
• -//W3C//ENTITIES Special for XHTML//EN
• http://www.w3.org/TR/xhtml1/DTD/xhtml-special.ent
• -//Netscape Communications//DTD RSS 0.91//EN
• http://my.netscape.com/publish/formats/rss-0.91.dtd

何が困るって、XHTML1.1がどこにもないわけですよ。

とはいえ、諦めるのはまだ早いです。XmlPreloadedResolver.Add() を呼ぶと任意のUriとDTDのペアを追加できるようなので、XHTML1.1のDTDをローカルに置いてからこんな感じでやれば簡単に……。

FileInfo dtdFile = new FileInfo("xhtml11.dtd");
Uri dtdPublicUri = new Uri("http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd");

XmlPreloadedResolver xpr = new XmlPreloadedResolver();
using(FileStream fs = dtdFile.Open(FileMode.Open, FileAccess.Read, FileShare.Read)){
    xpr.Add(dtdPublicUri, fs);
}

……と思いきや、実際に使ってみたらこんな例外が。

そういえば、XHTML1.1の特徴はモジュール化でしたね。

幸い、XHTML1.1にはモジュール化されたDTD群を合体させたxhtml11-flat.dtdがついているので、ローカルのxhtml11-flat.dtdを読ませるようにして解決しました。flat版があって良かったです……。

• 「XmlPreloadedResolverでXHTML1.1を処理する」にコメントを書く

関連する話題: C# / .NET / プログラミング

フルメタル・ジャケット

公開: 2010年8月12日0時30分頃

セキュリティホールmemoで「フルメタル・ジャケット」、GyaO！で無料配信開始 (www.st.ryukoku.ac.jp)という話が出ていたので、せっかくだからということで視聴してみました。

噂のハートマン軍曹大活躍。これはおそらく単に厳しいのではなくて、いったん人間性やプライドといったものを全部壊し、何も考えられなくしてから再教育するためなのでしょうね。

ファミコンウォーズ (www.amazon.co.jp)のCMはこれが元ネタだったということを初めて知りました……。

• 「フルメタル・ジャケット」にコメントを書く

関連する話題: 映画

晩夏に捧ぐ

公開: 2010年8月11日23時40分頃

読み終わったので。

• 晩夏に捧ぐ (www.amazon.co.jp)

配達あかずきんの続編にあたる作品。なかなか面白かったです。

ただ、後半に出てくるWeb関係の描写はちょっと違和感が。ふつうにWebメール的なものを使えば良さそうに思うのですけれど。

※ラストの本は「秘密の花園 (www.amazon.co.jp)」?

• 「晩夏に捧ぐ」にコメントを書く

関連する話題: 本 / 買い物

mixiがダウン

公開: 2010年8月11日14時45分頃

mixiがダウン (www.itmedia.co.jp)だそうで。アクセスしようとするとこんなメッセージが出ますね。

そういえば、1日1回以上アクセスしないと損をするようなmixiアプリのゲームがあったような気がするのです。

• 「mixiがダウン」にコメントを書く

関連する話題: Web

週刊東洋経済 実践的「哲学」入門

公開: 2010年8月11日14時20分頃

今日発売の「週刊東洋経済 2010年8月14・21日合併特大号 (www.amazon.co.jp)」ですが、特集記事が「混迷する現代社会を生きるビジネスパーソンのための実践的『哲学』入門」となっています。今話題のマイケル・サンデルのインタビューや「これからの「正義」の話をしよう (www.amazon.co.jp)」も取り上げられているのですが、それよりも、その前の「15テーマを政治哲学で徹底解明」という記事が面白かったです。

最初に自分のスタンスを「政治的自由度」「経済的自由度」の2軸でプロットして、15のテーマについて4つの象限それぞれの立場から解説しています。政治的意見の対立を左右の1軸で説明されてもなかなかピンとこなかったのですが、こうやって2軸で説明されると分かりやすいですね。

自分のスタンスもマッピングできますし、最近のオバマ政権や鳩山政権・菅政権のスタンスに興味のある人は読んでみると面白いのではないでしょうか。

• 「週刊東洋経済 実践的「哲学」入門」にコメントを書く

関連する話題: 本 / 政治 / 経済

.NET Framework4 / ASP.NET4を導入

公開: 2010年8月11日0時45分頃

「URLに%22が含まれると例外が出る問題」を受けて「URLに%22が含まれても何とかする方法」を実装したのですが、これはこれで以下のような問題があります。

• %22を含むURLを処理できるようになるわけではない (処理前にいったんつかんで%22を取り除いてリダイレクトすることしかできない)
• %22はつかめるものの、%3eなどを含むURLが来るとつかめずに Bad Request になってしまう。

というわけでさらにスマートな解決方法を探していたのですが、意外にあっさり見つかりました。

以前のASP.NETでは、URLに含まれる「不正な文字」をチェックするルールは固定でしたが、ASP.NET4からはカスタマイズできるようになったと。ASP.NET4ではルーティングの設定が可能になったということもあって、このようなカスタマイズができるようにしたのでしょう。

そんなわけで、早速.NET Framework 4 をインストール。IISの設定を変えてASP.NET4を有効にして、web.configに <httpRuntime requestPathInvalidChars=""> を追加してみました。

するとこれがエラーで動かないわけですよ。httpRuntime要素の説明 (msdn.microsoft.com)を見てもそれらしい属性が載っていませんし。本当に使えるのかと疑問に思いつつもさらに調べると、「RequestPathInvalidCharacters プロパティ (msdn.microsoft.com)」というドキュメントがみつかりました。

なんだあるじゃないか……と思いきや、よく見るとrequestPathInvalidCharsではなくrequestPathInvalidCharactersとなっているではありませんか。試しに属性名をrequestPathInvalidCharactersにしてみたところ、あっさり動作しました。さっきのサンプルが間違っていたということになりますね。

まあともあれ動いたのでめでたし、と思ったら、今度は掲示板にタグを含むコメントを投稿することができなくなっていることが判明。「危険な可能性のある Request.Form 値がクライアントから検出されました。」と言われてしまうので、validateRequest=true相当の動作になっているものと思われます。

※validateRequestについては「ASP.NET に XSS?」参照。

ASP.NET4ではこのあたりの動作も変更されているようで、結論としてはrequestValidationMode (msdn.microsoft.com)に2.0などを指定してやれば良いようです。

結局、以下のような記述になりました。

ひとまずこれで意図通りの動作になっているようです。

しかし言うまでもありませんが、XSSへの考慮が不十分なシステムでは、この設定は危険なので注意が必要です。逆に言うと、ASP.NET4では、デフォルトである程度のXSSは防いでくれるということでもありますが。

• 「.NET Framework4 / ASP.NET4を導入」にコメントを書く

関連する話題: C# / .NET / ASP.NET / IIS / プログラミング / hatomaru.dll

それは「情報」ではない。

公開: 2010年8月9日18時15分頃

ひっそりと読み終わったので。

• それは「情報」ではない。――無情報爆発時代を生き抜くためのコミュニケーション・デザイン (www.amazon.co.jp)

情報アーキテクチャの世界ではよく知られている有名な本なのですが、実はまだ読んでいなかったので、ひっそりと読みました。2001年に出た本なのでかなり古いのですが、今読んでもそれほど古さを感じません。

※なぜかAmazonでは2007年発売と表記されていますが、どう考えても間違いだと思います。手元のものは2001年発行の初版ですし。ちなみに原著Information Anxiety 2 (www.amazon.co.jp)は2000年に出ています。

情報の整理方法の話はもちろんなのですが、成功より失敗、回答より質問、知らないと認めることの重要性など、普遍的な内容も多く含まれています。オフィスでのモチベーションの話などは、いまだに「あるある」という感じですね。

• 「それは「情報」ではない。」にコメントを書く

関連する話題: 本 / Web / IA

HTML4.01邦訳が読めなくなっている問題

更新: 2010年8月8日13時15分頃

HTML4.01邦訳は以下のURLで知られていますが、

• http://www.asahi-net.or.jp/~sd5a-ucd/rec-html401j/cover.html (www.asahi-net.or.jp)

これが昨日(8月5日)から Not Found になっています。URLを削って一つ上のディレクトリにアクセスしてみると、ファイル一覧が見えます。そこで適当なファイルを選ぶと、見たかった内容にアクセスできます。

• http://www.asahi-net.or.jp/~sd5a-ucd/rec-html401j/cover.html.ja.sjis (www.asahi-net.or.jp)

どうも、ASAHIネットのApacheの設定が変わってしまったようですね。少なくとも以下2点が変更されています。

• MultiViewsが無効になり、コンテント・ネゴシエーションが動作しなくなった
• Options Indexesが有効になり、ファイル一覧が見えるようになった

1日経っても直る気配がないので問い合わせてみたところ、すぐに返事がいただけました。土曜日なのに素晴らしいですね。

というわけで、そのうち直るのではないかと思います。

※あるいは「担当部署」は土日休みという可能性もありますが、週明けには直るでしょう。たぶん。

※追記: 8月8日の昼頃から復旧しているようです。

• 「HTML4.01邦訳が読めなくなっている問題」へのコメント (1件)

関連する話題: Web / ASAHIネット

ゲーム機の数割がボットに感染している話、補足

公開: 2010年8月8日10時50分頃

「10代のネット利用を追う 子どものDSユーザー、マジコン率が7割!?　野良APでネット接続、WEP破りまで (internet.watch.impress.co.jp)」という記事が出ていましたが、よほど問い合わせがあったのか、補足説明が追記されていますね。補足というより訂正と言った方が良さそうな内容のように思えますが……。

まずは「パソコン以上にゲーム機が危険。ゲーム機の数割がボットに感染している」という話について。

自作アプリが動作する環境になっているだけで「ボットに感染」とカウントするのは斬新ですね。「将来ボット感染の可能性あり」ということでカウントしたのかもしれませんが、それをカウントするのであれば、PCはほぼ100%ボットに感染しているという結果になるはずです。

※なんというか、トラッキングCookieをウィルスとしてカウントするアンチウィルスソフトみたいですね。

それから、「ニンテンドーDSを持つ子どもの7割がマジコンを持っている」という話について。

挙手回答の結果だそうで。本当にマジコンが使われているのかどうかを調べたわけではないうえに、PSPのカスタムファームウェアも込みの数字ということですね。そもそも、小学生で「カスタムファームウェア」というものを正しく理解できているのでしょうか……?

• 「ゲーム機の数割がボットに感染している話、補足」にコメントを書く

関連する話題: セキュリティ / 統計

はてなインターン講義でご紹介いただきました

公開: 2010年8月8日0時50分頃

ここ数日、はてな社内で「はてなインターン講義」というものが行われてUstreamで中継されたりしていたようです。Togetterに「はてなインターン講義「ユーザーインターフェース, HTML5」 (togetter.com)」というまとめがあるという話が流れてきたので、何となく見てみました。

すると気になるつぶやきが。

• 水無月ばけらさんは元ライトノベル作家! (twitter.com)
• へー、水無月ばけらってラノべ作家だったんだ。 (twitter.com)
• 水無月ばけらのえび日記　http://bakera.jp/ebi (twitter.com)
• RT @azu_re: 水無月ばけらさんは元ライトノベル作家! (twitter.com)

……。

いったい何の話をしているのでしょうか……と思ったりつぶやいたりしたところ、スピーカーのnanto_viさんからコメントをいただきました。

というわけで、「H18年度ウェブアプリケーション開発者向けセキュリティ実装講座」の内容を引用していただき、そこで話題に出たということのようで。ご紹介いただきましてありがとうございます。

• 「はてなインターン講義でご紹介いただきました」にコメントを書く

関連する話題: Web / HTML / 出来事 / Twitter

ネットスーパーからカード番号流出

公開: 2010年8月7日11時0分頃

「ネットスーパー8社の顧客カード情報1万2191件が流出 (internet.watch.impress.co.jp)」

いかにもSQLインジェクションっぽい雰囲気が漂っていますね。

……なんか「マルエツネットスーパー」って聞いたことがあるなと思ったら、2008年8月15日にSQLインジェクションを発見して届け出ていました。当時は http://www.shokutaku.jp/maruetsu/ というURLに置かれていましたが、今回問題になったものは http://maruetsu.net/ ということで、別のサイトのようですね。

• 「ネットスーパーからカード番号流出」にコメントを書く

関連する話題: Web / セキュリティ / 情報セキュリティ早期警戒パートナーシップ

動かないコンピュータ: 岡崎市立中央図書館事件

公開: 2010年8月4日23時20分頃

本日発売の「日経コンピュータ」に岡崎市立中央図書館の話が出ていると聞いたので、早速購入。

うっ……この薄さでこの値段か……こんなに高かったっけ……と思いつつも、とにかく購入しました。

図書館側の方のコメントなども交えて事件の経緯が語られていますが……「動かないコンピュータ」というわりに、システムが動かなかった原因などはほとんど述べられていないですね。Twitter の #librahack をしっかり追っていた人にとっては、ほぼ既知の話ではないかと思います。

※DB が Oracle9i と判明したのはいちおう新情報かも。

出ていた話ベンダー側や警察側の話もあれば面白かったと思うのですが、さすがにそれは難しかったという感じですかね。

• 「動かないコンピュータ: 岡崎市立中央図書館事件」にコメントを書く

関連する話題: 本 / 買い物 / 岡崎市立中央図書館事件 / librahack

紙魚家崩壊 九つの謎

公開: 2010年8月2日23時15分頃

読み終わったので。

• 紙魚家崩壊 九つの謎 (www.amazon.co.jp)

これも短編集でした。「九つの謎」とは短編9編の意味。

しょっぱなの「溶けていく」がいきなり救いのないお話でなんとも。

個人的に好きなのは「サイコロ、コロコロ」「おにぎり、ぎりぎり」の2編。十面ダイスにどんな使い道があるかって、それはズバリD&D以外にないでしょう。:-)

※ちなみに私は赤ではなく黄色いアクリルのやつ (www.amazon.co.jp)を愛用していました。

• 「紙魚家崩壊 九つの謎」にコメントを書く

関連する話題: 本 / 買い物 / 北村薫