cles::blog

スタンバイがまとめたプログラマーの年収ランキングが話題になっていたのでメモ。

これによると平均額の Top 3 は「Scala」の626万円、「Python」の601万円、「Kotlin」の577万円となっています。Kotlin という言語はあまり聞いたことがありませんでしたが、これは Google が Android アプリの公式言語に取り入れた新しい言語のようです。ざっと見ると Java と似ていて、Java との互換性も高いようです。

ちなみに、元データをよく見てみると年収は 220 万円から 2000 万円まであるので、どの程度信憑性があるのかという疑問は残りますが、発展途上の比較的新しい言語で人材が不足している言語の方が年収が高いのかなという感じでしょうか。一般にプログラマーの給料は作成しているソフトウェアの付加価値を上回ることはないわけなので、言語の優劣というよりは、より高い付加価値を生み出しているシステムがどのような言語で作られているのかということを測るためのランキングなのだろうと思います。

† 参考

• プログラマー年収ランキング2017！言語別、第1位はScalaの626万円 | みんなのスタンバイ

今日は毎月恒例の Winodws Update の日です。
JP/CERTCC からも恒例ですが、注意喚起が出ています^*1。

• 2017 年 8 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム
• リリース ノート - 2017 年 8 月のセキュリティ更新プログラム
• セキュリティ更新プログラムの展開に関する情報: 2017 年 8 月 8日

今日はこれ以外にも Flash^*2 や Acrobat^*3 に関するセキュリティアップデートもあるので、お盆休みに入る前にこちらもきちんとアップデートしておきたいところです。

• ^*1: 2017年 8月マイクロソフトセキュリティ更新プログラムに関する注意喚起
• ^*2: Adobe Flash Player の脆弱性 (APSB17-23) に関する注意喚起
• ^*3: Adobe Reader および Acrobat の脆弱性 (APSB17-24) に関する注意喚起

Firefox や Chrome は既に信頼されないものとして扱っている WoSign や StartCom の証明書ですが、MS もこの動きに追随するようです。

ただし、無効化されるのは「"NotBefore" date of 26 September 2017」書かれているとおり、有効期限の開始日が 2017 年 9 月 26 日以降になっている場合のみで、これ以前の証明書についてはこれまでどおり信頼されるものとして扱われるという非常に緩いルールになっています。

Microsoft to remove WoSign and StartCom certificates in Windows 10 – Windows Security

Microsoft has concluded that the Chinese Certificate Authorities (CAs) WoSign and StartCom have failed to maintain the standards required by our Trusted Root Program. Observed unacceptable security practices include back-dating SHA-1 certificates, mis-issuances of certificates, accidental certificate revocation, duplicate certificate serial numbers, and multiple CAB Forum Baseline Requirements (BR) violations.

OSS 版 SoftEther にはいくつか使えない機能があり、例えばサーバ管理マネージャからRADIUS 認証や固有証明書認証を使おうとすると画像のようなダイアログボックスが表示されます。これについては商用版との差別化のために仕方がないのだろうと諦めていました。

今日はちょっと時間があったので、ふと思い立って GitHub 上のソースコードを読んでみたら、ダイアログボックスのメッセージとは裏腹にコード的にはどちらの認証も実装されているようでした。

おかしいなと思って「バージョン更新履歴 (ChangeLog)」を読んでみるもそれらしい痕跡はなにもなし。普段ならばこのまま諦めてしまうところですが、ふと英語版の「Version History (ChangeLog)」を読んでみてびっくり。以下の内容がごっそり日本語版の内容から抜け落ちています。

Version History (ChangeLog) - SoftEther VPN Project

SoftEther VPN 4.06 Build 9430 (Beta) (March 20, 2014)
Thank you for waiting!
Added the following five advanced functions into SoftEther VPN Server (experimental):
- RADIUS / NT Domain user authentication function
- RSA certificate user authentication function
- Deep-inspect packet logging function
- Source IP address control list function
- syslog transfer function

この理由については src/Cedar/Server.c の SiIsEnterpriseFunctionsRestrictedOnOpenSource() のコメントの部分に書かれています。

• SoftEtherVPN/Server.c at master · SoftEtherVPN/SoftEtherVPN · GitHub

これを見つけた時の心境としては、さしずめエヴァンゲリオン第１３話「使徒、侵入」の赤木博士の台詞「開発者のイタズラ書きだわ・・・」という感じでした。

この機能制限（リージョンロック）については自己責任で外すことが可能です。これをやりたい場合には SoftEther を自分でソースからコンパイルしなければなりません。最も単純な改造としては SiIsEnterpriseFunctionsRestrictedOnOpenSource() の 最後の return ret; を return false; にするだけでしょうかね。ちなみに機能制限はにサーバ側のみで行われているので、クライアント側の変更は特に必要ないようです。ビルドについては「SoftEther VPN を UNIX 上でビルドする方法」があるので、これに従って環境を整えれば簡単でした。

もっときちんと機能制限を取り払ったパッチを OpenWRT-package-softether のところで見つけたので、こちらを利用するのもアリかもしれません。

• OpenWRT-package-softether/102-regionunlock.patch at master · el1n/OpenWRT-package-softether · GitHub

クールビズの温度の基準が「室内温度」ではなく「設定温度」だと思っている人が多いという調査結果を三菱電機ビルテクノサービスが公表していました。

オフィスの張り紙などによくある「冷房は28℃、暖房は18℃」というのは以前調べたとおり事務所衛生基準規則という厚生労働省令から来ているのですが、これはもちろんエアコンの設定温度ではなく、実際の温度の話です。ところが、エアコンの設定温度が一律に設定温度が 28℃ や 18℃ に固定されてしまっているオフィスも少なくありません。エアコンの効きは均一ではないので、設定温度を 28℃ にしてしまうと、場所によっては 28℃ を越えてしまう場所が出てきますが、そのような場所で労働をさせると、クールビズどころか、事務所衛生基準規則に違反することになります。

ビジネスパーソン1,000名に聞く、夏のオフィス環境に関する意識と実態調査 / ニュースリリース / 三菱電機ビルテクノサービス

クールビズを勘違いしている人の多くが、衣服を軽装にしたうえで『エアコンの設定温度を28℃で設定』(38.2％)、『エアコンの設定温度を25℃～28℃の間で設定』(25.4％)と回答。6割以上がクールビズは“室内温度”ではなく“エアコンの設定温度”と思っているようです。さらに、エアコンの設定温度を28℃にしているオフィスは約20％を占め、その過半数が暑いと感じている結果となりました。

節電は重要ですが、室内で熱中症というのも増えているようなので過度なクールビズには気をつけたいところです。

Cisco の Cisco Talos Security Intelligence and Research Group が Memcached の脆弱性について調査したレポートが興味深かったのでメモ。

Memcached はウェブサーバのプライベートなキャッシュとして使われていることが多く、一般的な利用方法において、ウェブサーバの外部からアクセスする必要はありません。ちなみにこのサーバにも Memcached は使われていますが、外部からのアクセスを防ぐために IP アドレスは 127.0.0.1 のみをリッスンするようにしてあります。

この報告を読んで驚くのは世界で 10 万を越えるサーバがネット越しにアクセス可能（このうち 3,607 件は日本のもの）であり、ほとんど認証は利用されておらず、リモートからのコード実行が可能な脆弱性を持ったまま運用が続けらているということです。Talos はメールで管理者に注意喚起を行ったようですが、ほとんど効果はなかったというのも興味深いところです。

不用意にパッチ当てをするとデグレードするというのは分かるのですが、不用意に外部にサービスが公開されていないかどうかについては最低限注意を払いたいものです。

Memcached – 不適切なパッチ適用と脆弱なサーバについての事例

インターネット上には多数の Memcached サーバが簡単にアクセスできる状態で存在しているということです。2 番目の結論は、認証が有効化されているのは 4 分の 1 未満であり、認証が有効になっていないサーバはリモート コード実行の脆弱性がなかったとしても悪用に対して完全にオープンな状態であるということです。3 番目は、既存のサーバへのパッチ適用がなかなか行われないことから、私たちが報告した脆弱性によって、多数のサーバが侵害のリスクに対して完全に無防備な状態になっているということです。そして 4 番目は、認証が有効になっているサーバでもパッチが適用されているものはわずかであるということです。

† 参考

• 【海外セキュリティ】 脆弱なまま運用されている「memcached」、Ciscoが調べてサーバー管理者にメールしてみた　ほか - INTERNET Watch

トンボ鉛筆が受験生向けのロゴが入っていない MONO 消しゴムを発売するようです。

新たな需要喚起しようというメーカーの努力に頭は下がりますが、受験生をカモにするような商法はどうなんでしょうね。
僕も入試の試験監督をやりますが、メーカーのロゴ程度の表記が問題になることはありえません。

文字なし「モノ消しゴム」発売　受験生が心配なく持ち込める文字なし文具 | 株式会社 トンボ鉛筆

試験会場での所持品や服等に文章や英文字等がプリントされたものを制限する表記が受験上の注意(センター試験)にあることから、文房具選びで苦慮している受験生に対応しました。

今年もスカイツリーラインの新越谷の発車メロディーが阿波踊りのお囃子になっています。
これは８月１８～２０日に開催される南越谷阿波踊りのため。

この変更は東武線だけの話だと思っていたのですが、新越谷で武蔵野線に乗り換えたらなんとＪＲの発車メロディーも同じようになっていてびっくり。
南越谷駅と新越谷の乗り換えを見ると分かるように、客の利便性を全く考えていないこの２社ですが、こういうことには足並み揃えているんですね。

• 南越谷駅発車メロディ変更について - 20170725_o01.pdf
• 越谷市「第３３回南越谷阿波踊り」！開催に合わせて、８月１日（火）より新越谷駅の発車メロディを変更します！

総務省が平成29年「情報通信に関する現状報告」（平成29年版情報通信白書）の公表をしていたのでメモ。

現在 IoT や AI が全盛ですが、これがうまく経済に結びつけば 2030 年には GDP の押し上げ効果が 132 兆円に上ると試算されています。
ただ、2017 年の国際競争力ランキングの指摘を鑑みると肝心の企業改革は難しそうです。

情報通信白書を発表--「AI・IoT」が2030年GDPを132兆押し上げると試算 - (page 2) - ZDNet Japan

一方、この数値を達成するには、社内外での業務改革や海外投資、M&Aなどの「企業改革」が必須という。

先日から FreePBX を入れて内線を構築してみたのですが、MicroSIP や AGEphone のようなソフトウェアベースの SIP クライアントだけでは、やはり使い勝手が良くないということで、Grandstream GXP2130^*1 という SIP 電話機を導入してみました。

IP アドレスさえ設定してしまえば、SIP アカウントの設定や電話帳の編集などの設定を全て Web ブラウザから実行できるのはいいですね。音質はちょっと独特な感じがありますが、少し使っているうちに慣れました。Bluetooth にも対応しているので、スマホ用にヘッドセットを持っていればハンズフリー通話も楽ちんです。

• ^*1: GXP2130 v2 | Grandstream Networks