cles::blog

SANS InstituteとMITREが脆弱性の原因となるプログラムの間違いを纏めたランキングを発表しています。
一般に公開するウェブアプリケーションを作っているエンジニアは一読の価値がありそうです。

もっとも危ないプログラミングエラー25、 16 | エンタープライズ | マイコミジャーナル

CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。

Top3は「クロスサイトスクリプティング」「SQLインジェクション」「Bufferオーバーフロー」という脆弱性の御三家みたいなものなので、そこまで目新しい感じはしませんが、やはり基本的な部分が危ないということなんでしょうね。

IPAがWAFについて纏めた「Web Application Firewall 読本」を公開しています。

情報処理推進機構：情報セキュリティ：脆弱性対策 : 「Web Application Firewall 読本」を公開

IPA（独立行政法人情報処理推進機構、理事長：西垣 浩司）は、ウェブサイトの脆弱性の修正作業が長期化している事例が少なくないことから、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を2010年2月16日（火）からIPAのウェブサイトで公開しました。URL： http://www.ipa.go.jp/security/vuln/waf.html

WAFは特定のパターンにマッチするリクエスト（攻撃）をアプリケーションに渡される前に破棄することによってウェブアプリケーションを保護するものですが、F/WやWAF、IPS、IDSについてはセキュリティ機器と一緒くたにされてしまっていて違いを分かっていない人も多いので、こういう資料はいいですね。

ただ、WAFはウェブアプリの脆弱性の根本を解決するものではないので、脆弱性を作り込まないための教育やソースコードレビューに加えて、診断項目に基づく定期的なウェブのセキュリティチェックについても、もちろん必要になります。

それでもWAFを入れるメリットとしては、あるセキュリティベンダーの人に話を聞いたWAFのちょっと変わった使い方として、外部の人間からウェブアプリケーションに脆弱性報告が寄せられたとき、アプリケーションの改修が即時に可能でない場合、WAFに脆弱性をつくリクエストをピンポイントでブロックするルールを加えて時間を稼ぐ事が出来るというのがあるようです。

あくまでダメージコントロールの域を出ませんが、大規模なアプリケーションを作成するときには導入を検討したいところです。

Twitterは商標登録されているので、勝手に使用する事はできないのですが、このたびTwitterから利用するためのガイドラインが公開されています。

Twitter、ロゴの使用ガイドラインを公開--つぶやきは「ツイート」と表現を:ニュース - CNET Japan

Twitterは2月18日、商標登録しているTwitterロゴを使うユーザーや、対応アプリ・紹介本を制作しようとする人に対して書かれたガイドラインの日本語版を公開した。つぶやきを「ツイート」と表現することなどを定め、ほかのユーザーのツイートが表示されたスクリーンショットを許可なく使わないよう求めている。

具体的な内容については「Twitterヘルプ: Twitter登録商標の利用ガイドライン」から参照可能です。内容は「あなたのアカウントを紹介する場合」、「テレビ、各種講演会等で紹介する場合」というようにシチュエーション別に要点が纏められている感じです。Twitter関連のアプリを開発したり、講演したり、スクリーンショットを二次利用する場合には一度目を通しておくと良さそうです。

光造形によるプロトタイピングなどで有名なインクスが個人でも利用可能な立体造形サービスをはじめるようです。2次元データはプリンタで印刷してしまえば絵にできますが、3次元のデータは形として自動的に作る機械を所持していない場合が多数なので、こういうサービスが生まれたんでしょうね。

オンラインで手軽にフィギュア作成が可能な立体造形出力サービス開始 | クリエイティブ | マイコミジャーナル

工業向け3D試作サービスなどを行うインクスは、個人がオンラインで利用できる光/粉末造形出力サービス「INTER-CULTURE(インターカルチャー)」の提供を開始した。同社は20年前から光造形による3次元試作事業を行ってきたが、今回はハイエンドな造形機を使用した同社初の個人向けサービスとなる。

以前、大学で技術経営を学んでいたときにインクスの方の講演を聴いたことがあるのですが、ものづくりや金型という産業に対して面白いアプローチでガンガン攻めているなと思って聞いていたのですが、最近民事再生法の適用を受けたりしているようなので、その後右肩上がりに事業が伸びたというわけでもなさそうですね。立体造形の機械はかなり高いみたいですし、リーマンショックとかで一時的に利用が低迷していたとかそういう事情もあったのかもしれませんが。

asahi.com（朝日新聞社）：山手線、朝も全座席使えます　混雑率がちょっぴり改善 - 社会

山手線の混雑率が緩和したとして、ＪＲ東日本は今月１９日で、平日朝のラッシュ時に行っている「６扉車」の座席収納を終了することを決めた。バブル期に「痛勤」とも呼ばれ、車内混雑緩和策で１９９１年１２月に導入されたが、１９年ぶりに全車両で朝から座席が使えるようになる。混雑の象徴だった６扉車も来夏までに姿を消す。

ラッシュ時に山手線に乗る事は最近ほ殆どないので、最近混雑が緩和されているのかどうかはよくわかりませんが、地道な努力で混雑率が下がったというのはいいですね。今回の措置はホームドア設置のためというのも多分にあるみたいなので、安全の方を重視するということでしょうか。個人的な話を言えば、時間帯によっては千代田線がめちゃくちゃ混んでいる時があるので、なんとかして欲しいんですよね。千駄木は人の出入りが少ないので、場所によっては乗り降りにものすごく苦労させられています。

Rubyでスレッドをつかったプログラムを作ったら、凡ミスを修正するのに苦戦してしまったのでメモ。結論から述べると、ThreadはjoinしたときにThread内で起こった例外が再度スローされるので、自分で立てたスレッドを確実にjoinすることがエラーハンドリングでは重要みたい。

例えば下記のコードはhogeという関数は定義されていないので、スレッドt1はこの部分でエラーになるはず。ところが、このプログラムを起動してみると、意図した動作もせず、エラーも出ないという不思議な状態になります。今回はこの状態だったので、手がかりが少なくていろいろと大変でした。

test0.rb

test0.rb実行結果

今日から確定申告始まっています。

確定申告、全国でスタートへ＝高橋英樹さん夫妻もe－Taxで（時事通信） - Yahoo!ニュース

2009年分の所得税の確定申告受け付けが16日、全国の税務署などで一斉に始まった。期間は3月15日までで、一部の税務署では平日以外に今月21日と28日に限り、日曜日も相談や申告書の受け付けを行う。
　申告が必要なのは自営業者や農家、年金受給者のほか、年収が2000万円を超えるサラリーマンなど。また、マイホームをローンで購入したり、年間10万円を超える医療費を支払ったりした場合は、還付申告で税金の払い戻しを受けることができる。

僕の場合は、まずは帳簿類の整理からですね。
埃を被っている弥生を引っ張り出してこないといけません。

これまでクローラー使い捨てのクローラーは結構力業で作ってきたのですが、さすがにこういうことをやり始めてから1年以上が経ちこのままでは立ちゆかない事がいろいろと顕在化してきたので、クローラーを作るためのフレームワークをいろいろ調べていました。

JavaであればLuceneのサブプロジェクトであるNutchや、Seasarプロジェクトで開発されているS2Robot、PerlであればGunghoあたりに興味があるのですが、後処理の部分はRubyで書いてしまってあるので今回はAnemoneというフレームワークをつかってみることにします。

Anemone - Ruby Web-Spider Framework

Anemone is a Ruby library that makes it quick and painless to write programs that spider a website. It provides a simple DSL for performing actions on every page of a site, skipping certain URLs, and calculating the shortest path to a given page on a site.

The multi-threaded design makes Anemone fast. The API makes it simple. And the expressiveness of Ruby makes it powerful.

変な時間に起きてしまったので、何となくネットを眺めていたらIE6からの乗り換えを促すための「冒険の書スクリーンセーバー　DELETE QUEST III IE6版」というジョークソフトを見つけたのでメモ。

冒険の書スクリーンセーバー　DELETE QUEST III IE6版

あの「冒険の書スクリーンセーバー　
DELETE QUEST III」が、
IE6専用になって帰ってきた！
web制作に関わる人なら、
どなたも「IE6がこの世になければ・・・ぎぎぎ」と
思った事があるでしょう。IEを使っているユーザーに、
やんわりとバージョンアップ/ブラウザの乗り換えを
お知らせする、ジョークソフト(?)です。

設置方法どおりに設置してしまうと、IE6以外の時にはフラッシュが表示されないので、実際に動作させてみたい場合はこちら → 「冒険の書スクリーンセーバー　DELETE QUEST III IE6版(SWF)」。

青春の日々にドラクエの冒険の書が消えた経験があるというトラウマを持っている人は、精神的なダメージにお気をつけください。

スパコンの仕分けで大きく問題になった科学技術予算ですが、その一方で研究費にムダはないのかを有志で調べて見ましたよという話。

asahi.com（朝日新聞社）：研究費の無駄、けっこうありました　仕分け受け若手調査 - 社会

問題点として、年度末には「研究費を使い切るように事務から指導がくる」「不要な物品や高額機器を購入することも多々ある」。「輸入機器は中間マージンで現地価格の２～３倍、場合によっては４倍近い値段」などがあった。

　解決策として、若手も加わった研究者組織を作り、開かれた議論によって無駄の排除と効率化を進め、重要な研究予算は削らないしくみが必要と指摘。複数年度にまたがって使える予算の導入や、中古品をオークションなどで再活用するしくみの検討も挙げた。

仕組み上の問題で、もう調べてみるまでもないと思うんですけどね。ノーパソのように研究のために毎日使うモノもあれば、それと比較すると確かに利用頻度が低いモノも少なからずあります。その一方で使途がいろいろ制限されているので、出張費や学会の参加費は出るけれど、学会年会費は自腹で払ってくださいと言われたり、あと、この時期になると「とにかく使い切ってください」というのは少なからずあるので、そのあたりはもうちょっと柔軟にならないかなぁと思うんですけどね。年度末に売上予算のために血眼になるのは仕方ないとしても、予算執行をするために血眼になるという文化に慣れるのはなかなか大変です。