トップ «前日 最新 次日» 追記
RSS feed

ただのにっき


2001-02-19(月) DVDプレイヤー(4)

風邪という名の原稿休暇。といいつつ、サッカーワールドカップのチケット申込書を取りに行ったり、DVDを借りに行ったり。

DVD

せっかくプレイヤー買ったのにソフトがないのは寂しいしな。というわけで、借りてきたのはロードショウを観そびれた「Mission to the Mars」。回転式人工重力のある宇宙船が出てくるとか、後半めちゃくちゃになるストーリーという噂を聞いていて、「そりゃ2001年へのオマージュかいな」と思っていたけど、当たらずといえども遠からずか。それにしても、ガジェットは凝っていて悪くないのに、科学考証がめちゃめちゃで泣けてきますな。軌道力学は無視しまくるわ、DNAの断片をひと目見ただけで「人間の遺伝子だ」とか言ってくれるわ。エンディングは「2001年」ほど破綻していなかったけど、その分、面白みもなかったというか。

それはさておき、4:3のテレビでは悲しいほど画面が狭いけど、VHSと比べるとかなりきれいな画面で、なかなか感動であるな。でも、後半になって一瞬再生が止まる現象が頻発。ややや、これはやはり、安物Samsungを買ったからかと焦ったが(昔の日本製品を買った人の気持ちがよくわかる瞬間)、ディスクを見ると記録面に指紋がべったり。拭き取ったらちゃんと再生された。DVDの記録密度を考えると、この汚れであの程度の途切れで済むなんてなかなか恐ろしい技術だわいと感心する。濡れ衣きせてすまん(笑) >Samsung

しかし、光ディスクの記録面を手で触っちゃう人って、信じられないんだけどねー。どこをどうやると触っちゃうんだろうか。そもそも、借り物に指紋付けてそのまま返す神経がもっと信じられんけど。自分が同じ目にあったらイヤだろうとか考えないんだろうな。こういうのってしつけの問題で、親がバカなら子もバカだって話だからさ、学校でボランティアを強制したところでダメですぜ、森くん。て、森くんはもう退陣か。


2002-02-19(火) 7439歩

tDiary

mod_rubyでsecurity errorって、そりゃバグだわ……。夕べ、mod_ruby使ってるなんて言ってたっけ!?

キャッシュファイルを削除しているところで、ファイル名をuntaintしていないのが原因です。すまぬ。

……という修正を簡単に持っていってもらうように、anonymous CVSを公開したいなぁ……と思っていたんだけど、いろいろ調べてみるとchrootしろだの、ややこしいパーミッション設定が必要だの、セキュアなものを構築しようと思ったらけっこう面倒なことがわかってきて萎え。楽がしたければsourceforge使えってか。

とりあえず、毎朝4時にスナップショットを自動生成することにした。ということで、今後は本当にまともに動かないものが上がっている可能性があります:-)

CVS

そうそう、プラグイン用のリポジトリ欲しいですねぇ。でもそれって、アカウント発行したりしないといかんのだよなぁ。アカウントの発行はおれの一存ではできないのだが……。

つーかそれ以前に、spc.gr.jpからtDiary.Netにリポジトリを移さないと……。

tDiary: 本日のcommit

というわけで、とりあえず変更点はできるだけ毎日書くようにしよう。って、毎日いじるわけじゃないけど。

tdiary.confに@no_refererがなくても動くように。これで、tdiary.confに最低限書かなければならないのは@data_path(とload_cgi_conf)だけになったと思う。

mod_ruby利用時にキャッシュクリアができなかったのを修正。

プラグインの適用時のエラーリカバリを少しまともに。これで文法違反があっても救済できるようになったと思う。

body_enter_procプラグインとbody_leave_procプラグイン。日記本文を囲む<div class="body">と</div>の最初と最後に呼ばれる、コールバック系プラグイン。これで脚注プラグインがソースの改造なしで書けるようになるはず。ただし試験的な実装。

指定した日の日記を非表示にする機能を追加。更新時にチェックボックスで選択できる。読者からは、非表示の日記の存在はまったくないように見える(はず)。これも試験実装。

ツッコミの件数を正しく表示するように、count_commentsメソッドをまじめに実装。@comments.sizeは使わないようにしましょう。

jtime.rbを添付。misc配下。

ツッコミの表示/非表示切り替え時に、キャッシュをクリア。

本日のツッコミ(全8件) [ツッコミを入れる]

Before...

きた [お,ようやく本当に妖しいsnapshotになりますね.うひひ.]

かずひこ [anon cvs もいいのですが、有志が plugin などをもりもりコミットできるような cvs があればもっとい..]

きた [「この日の日記を隠す」チェックボックスの場所,追加/登録のSubmitボタンよりも後ろにして欲しいです. texta..]

seki [実アカウントではなくpserverというのはだめですかね?pserverがセキュアかどうかは分からないのですが。]

かずひこ [さっきスナップショットをとろうとしたら、たったの 45 bytes しかありません...]

Nana [私もかずひこさんと同じです。]


2003-02-19(水)

COOLPIX SQ

どうよ。いい加減、85万画素なんてしょぼいデジカメは捨てて、メガピクセルになるべきだと思ってはいるんだけど(まだ使ってるんかい)。

あー、でもこれ、俯瞰ができないっぽいなぁ。レンズを回転できるように作るなら、煽りよりも俯瞰ができる方が応用範囲が広いんだぞ。ちゃんと考えて作ってんのか、こら。それでこま犬撮ってみろって(←極めて特殊な応用)。

となると、まだCOOLPIX 2500が市場にあるうちに買っておくのが正解?

A3: 磐田vs鹿島

磐田はどうしちゃったんだろ。ペナルティエリアで次々と波状攻撃をする、去年までのガツガツした感じがぜんぜんない。高原が抜けた穴はそんなに大きいのかのぅ。

けっきょく2-0で無得点連敗。しかし、中山隊長がいない磐田に勝っても、自慢にはならんぞ鹿島!!

tDiary: バナー

tDiary-usersでバナーを作ってくれたので、さっそく←に並べてみた。そう、なんと今までちゃんとしたバナーがなかったのである。これでやっと世間並み(?)になれたよ。

本日のツッコミ(全8件) [ツッコミを入れる]

Before...

Nana [前にS.P.Cにバナーらしきものがあったのに無くなってるねえ(笑)]

ただただし [あれはやっつけ仕事だったから(笑)]

オカダ [スイバル式って、じつはとてもカメラブレを起こしやすい構造だって知ってた?]

yamk@逃避中 [地味なバナー作ってみますた。うちの日記の右下参照。]

ASIP [Hiki0.4、公開されますた。]

ただただし [Swivelが機械的に不利なのはわかるけど、おれ的には俯瞰が撮れるというのが最大のポイントなので〜。つーか、QV-1..]


2004-02-19(木)

Software Design 2004/03

年末に受けたインタビューが掲載されていることを、人の日記で知る(苦笑)。

たしか、事前に原稿をチェックさせてくれるはずだったんだけど……させてもらってないので、内容は話半分で読んでくらはい。最初からキラーアプリ狙って作ったなんて、そんな大それたこと言わねー(笑)。ま、インタビュー記事の宿命だな。

しっかし、写真うつり悪いね……。

米Yahoo、Googleと全面対決へ

やぁ、これでまた、トラフィックの傾向が変わるねぇ。

Guevara改めVaraTerm

via yamk日記

今バージョンから、事情により有償化となりました。

ほえぇ〜、知らなかった。でもバージョン変わってないから、まだGuevaraのままでいける……のかな? そもそもトップページからはまだGuevaraの方にしかリンクされてないし。

いずれにせよ、もうすっかりGurvaraに乗り換えちゃったから、買うしかねぇかなぁ。画面がときどき乱れるのと、かな〜り重い(これはマシンが遅いせい……)なのを除けば、けっこう使えるし。他に乗り換えようにも、PuTTYはどうしても好きになれない。

それにしても、

何らかのオープンソースプロジェクトにおいて開発・テスト・ドキュメンテーションなどに関わっている個人には、そのプロジェクトに使う目的に限定して無償のライセンスを発行します。

こんな制限かけたら、現実的には無償ライセンスなんて使えないってことじゃん……。

本日のツッコミ(全2件) [ツッコミを入れる]

はまの [インタビューの件、すみませんでした<(_”_)> 私の落ち度です。]

yamk [VaraTerm の元作者は、会社やめちゃったみたいです。 http://www.routrek.co.jp/_ar..]


2005-02-19(土)

サーバ改造

外付けケースファン仕様 自宅サーバのpiccolo、CPUファンがおかしな音を立て始めたので、交換することにした。とは言っても、もうサーバ設置場所は生活スペースから遠く離してある(ようするにガレージ)ので、音や熱に過敏になることはない。ちまちましたCPUファンを交換するのなんてやめて、ケースにファンをつけてしまえ!

……というわけで、92mmのファンを買ってきて、大胆な外付けデザインにしてみた。イカツイなー、こりゃ。音もだいぶ大きくなったけど、これで灼熱の冷房なしガレージで夏を乗り切れるだろう。たぶん。

つーか、そもそもガレージに置く以上、べつにpiccoloにこだわる必然性がないんだけど……。まぁ、エコってことでいいか。


2006-02-19(日)

日本最大

image 先日とりあげた日本最大の風車、早起きできたので行ってきた。しかし、三菱重工金沢工場の敷地の奥まったところにあって、一般人が近づける敷地の外からは、はるか遠く。ぜんぜんおもしろくなかった。おまけに回ってないし!

江東区若州風力発電所

image 今日は昼から有楽町で用事があったので、その足で新木場に出て今朝のリベンジ。なんで風車ばっかり見に行ってるかというと、最近はパラボラも見に行けないし(季節がら雪に埋もれているアンテナが多いのである)、種子島にも内之浦にも行けないウサばらしってとこ?

というわけで、ローター径80m、全高100mと、ここのもけっこうデカいよ! 今朝見たのと違い、こっちは石川島播磨重工業製。

もっとも、コレも回ってなかったけど……orz

まぁ、起動風力4m/sのところ、2m/s程度しかないので、回らなくて当然だが。実際、しばらく見ていたらちょびっと動いたりしていた。

ここの風車は、タワーの側面になぜか手塚治虫のキャラが描いてあって、かなり興ざめ。パラボラもそうだけど、こういうものは、ただただ白いからいいんだろ。どうも、こういう余計なことをしたがる空間恐怖症の人っているよな。センスないの。

まぁ、それは差し引いても、遠くに羽田から離陸した飛行機が頻繁に行き来するので、天気がよければ「青空をバックに風車と飛行機」という絵になる眺めが見られそう。こんどはバイクで来よう。

トリノオリンピック(3)

もはや、カーリングしか面白くない。つーか、カーリング面白すぎ。今日もイギリス戦を固唾を呑んで観戦してしまったよ。まるでおっさんのような野太い声を出す(←いかにも強そう)ベテランばかりのイギリスチームを向こうにまわして、日本のギャルチームが逆にテクニックで圧倒するんだから、面白くないわけがない。

NHKの実況アナが、(たぶん)真顔で「マリリン」を連呼するのがおかしかった。ムリにあだ名で呼ばなくてもええやん(笑)。あと、小野寺はほっぺと鼻の頭が赤くてカワイイな。

本日のツッコミ(全12件) [ツッコミを入れる]

Before...

ただただし [スギヤマさんの勤務中って、平日じゃん!(笑) 湾内の他のところに比べて、あそこは風が弱いみたいですね。なんであんなと..]

スギヤマ [それは江東区が「地球環境問題を考えるための環境配慮のシンボル」として建設=効率や経済性に配慮していないからです。会社..]

Yuyang [そんなに色々風車が見える職場ってうらやましい。>スギヤマさん]

ただただし [たしかにうらやましい。 でも気が散って仕事にならないかもなぁ……]

hi_saito [カーリング見ていると、最初よりも小野寺選手が可愛く見えてきた。 もう、こなりゃ応援するしかないでしょう。 本橋選手も..]

N [今日は「マリリン」って言っていなかった。違うアナウンサーなのかな。それとも苦情が出たか。]


2007-02-19(月)

やっとマスクを買った

image 銘柄はいつもの、ええと……「スーパーふつう」ってなんやねん!

本日のツッコミ(全9件) [ツッコミを入れる]

Before...

ただただし [ちなみに、隣にあったのは「スーパーやや小さめ」だったような。どっちかはっきりしろって感じ。]

tokoya [チョコベビー・ジャンボって製品に思わずツッコミを入れてしまった事を思い出しました(笑)。]

げいる [「ふつう」というのは「普通」ではなく「不通」だったのでは…。 このマスクは花粉も不通だが、スーパーなだけに空気出す..]

やぢを [空気読めてないかもしれませんが、粒子の透過特性(スーパー)とマスク全体のサイズ(ふつう・やや小さめ)という、二つのパ..]

big_gear [三菱東京UFJ銀行にスーパー普通預金ってのがありますね。]

ただただし [やぢをさん: かんっっっぺきに空気読めてませんよ、それ:-)]


2008-02-19(火)

DoCoMo Dシリーズの「スピードメニュー」がぜんぜん使い物にならない

D705iμ、ようやく少しずつ慣れてきて、やりたいことはマニュアルなしでもなんとかできるようになってきた。でも、今まで使っていたW31SAに比べると、3〜5割くらいキータイプが多い気がする。UI作り込みがぜんぜん足りねてねぇヨ。

ホント、携帯電話のユーザビリティに進歩なし。ユーザテストとかしてんのかね。おれみたいに数年に一度しか機種変更しない人間が、びっくりするくらい進歩していても罰は当たらないと思うんだが、なんで退歩するかね?

中でもひどいのが「スピードメニュー」というヤツで、Dシリーズ固有機能なのかな? 専用のキーを押すと立ち上がる「3つだけの項目からなるショートカット集」。マイクに向かって項目名を喋ると選択されるというのがウリらしいが、その項目がこの3つ:

  • ミュージックプレイヤー
  • フルブラウザ
  • カメラ

なにこのビミョーすぎるラインナップ。設計者の顔が見たい(ひさびさ)。

多くの機種がそうであるように、カメラの起動はシャッターを兼ねた専用キーがある。どうせシャッターを押す以上、音声で起動できる意義はゼロなので、ここに入れる意味もゼロ。

フルブラウザも、起動後にキー操作が必須なんだから、音声で起動できる意味はない。だいたいみんな、そんなにフルブラウザなんて使わんだろう? iモード用ページだってあんなに待ち時間が長いのに、フルブラウザなんて待ってたら気が狂う。

百歩譲ってここにあってもいいと思うのは、ミュージックプレイヤーか。ケータイで音楽を聴く人は増えてるようだし。頻繁に切り替えたいだろうから、「スピード」メニューにあってもいいだろうし、手を使わずにそれができればすばらしい。でも、スピードメニューを開くためにはキー操作がいるんだけどね。やっぱ意味ねー!

で、そうなると、自分が本当に頻繁に使う機能を割り当てて使いたいと考えるのが人情だが、なんということでしょう、カスタマイズできない。つまり、まったく使わない機能のために数少ないキーのひとつが占有されているという。とほほ。

けっきょく、セレクトメニューをガリガリにカスタマイズして使っている。これについてもイロイロ不満があるが、またこんど。


もちろんダメなところばかりじゃなくて、そもそも90gを切る軽さは何ものにも替えがたい。あと、(W31SAの)Advanced Wnnのバカさ加減には困りはてていたので、ATOKが賢くてたまらん。つか「小田急相模原」って一単語で入ってるよwww

本日のツッコミ(全2件) [ツッコミを入れる]

kouito [SAは使いやすいですよね。W51SAのWnnは割と賢くなってましたよ。]

kitaj [スピードメニュー,D904にもついてます.全然使ってねぇ.テラ無駄機能. 個人的にはセレクトメニューである程度カスタ..]


2010-02-19(金)

iTunesのスマートプレイリストがiPhoneに転送されない(いちおう解決済)

いつの頃からだったか、iTunes上のスマートプレイリストが、その並び順のとおりにiPhoneに転送されなくなってしまい不便だったんだけど「いつか直るだろう」と思って待っていたら、先日の(iTunesの? iPhoneOSの?)アップデートでこんどは一部のプレイリストが転送されなくなってしまった。直るどころかひどくなるなんて、まったくAppleの品質管理はどうなっているのだ……。こんなんで、よくコンシューマ向け製品売ってるよなぁ。

スマートプレイリストを作りなおすと、最初の同期時には転送されるんだけど、2度目以降の同期でやはりiPhone上から消えてしまう。あれこれいじってみても改善する方法がわからないので、Appleにバグレポートを送ろうと思ったが、以前あったはずの問い合わせフォームが見つからない。同期時にiPhoneの時刻が狂う問題を報告したことがあったので、フォームがあったのは確かだったんだが……。

そういうのは全部、ディスカッションフォーラムにまとめちゃったのかな。こういう問い合わせを受付ない姿勢は、Amazonと同じだよな。バカ正直に「お問い合わせ」をコンバージョンポイントに設定したり、高い金かけてコールセンター運営してるような日本企業が、こういうレベルのユーザ対応をしてる企業にコストでかなうわけないよなー。どっちがいいのかわからんけど。

閑話休題。

で、それっぽいキーワードで探してみたら「iTunes 9:スマートプレイリストが正常に同期しない」というサポート情報を発見。ためしに転送されないスマートプレイリストを「再生順に転送」をチェックしてみたが改善せず。加えて、書いてあることとはちょっと違うけど「プレイリスト」を「ミュージック」にしてみたら、これが当たりで、無事ちゃんと転送されるようになった。

でもこの方法だと、プレイリストをまたがるリスト作成ができないので、完全な解決じゃないんだよなー。Appleなんとかしろ! というか、ちゃんとテストしろ!

Tags: iphone itunes
本日のツッコミ(全1件) [ツッコミを入れる]

Alberto [おっしゃるとおりですね。 私も、どのようにやっても転送されないスマートプレイリストがあります。 転送設定もきちんとな..]


2011-02-19(土)

Google Appsに移行しようとして断念

(もうずいぶん前の話になるが)Gmailから「beta」が取れたのを機に、メールやスケジュールなんかをGoogle Apps化したtdtd.jpドメイン上で運用しようと考えていたのだ。

で、やっとその気になったのでいろいろ調べてみたんだが。

どうも今まで使っていたアカウントからのデータ移行は想定されていないんだな。Gmailの場合はPOP3を使って旧アカウントからメールを移すのが普通らしいが、ラベル情報はすっぱり消えてしまうらしく、それは困る(IMAP4を使って半手動で移行するという手段はある)。カレンダーも共有を出すか、iCalでダウンロードして再登録という手段しかないようだ。

つまりGoole Appsは、企業や団体が(主にコストダウンを目的として)オフィス環境をクラウドに乗っけるのが主たる用途で、いままで個人が使っていたGoogle環境を移行することはあまり考えられていないのだな。

そんなこんなで色々と面倒なことがわかったが、トドメはAppsの管理者用ヘルプにあったその他のGoogleアプリケーション。ほとんどのアプリに「使用可能」のチェックが入っているが、よりによって「Gmail、Google ドキュメント、Picasa ウェブ アルバム用に追加の保存容量を購入」が「×」だ。(主に猫)写真の公開用にPicasa Webには有料ストレージを追加してあるから、これが使えないんじゃ意味がねー。

というわけでGoogle Apps化は断念したのであった。いや別に移行しなくても困ることはなにもないので、いいんだけどね……。なんか悔しい。

本日のツッコミ(全9件) [ツッコミを入れる]

Before...

ただただし [Androidで使ってる知人もときどき苦労してるみたいだし、新機能の投入も遅れがちみたいだから、個人用途にはあまりお..]

向井 [私の場合、マルチログインはほぼメールだけの利用ですね。メールとカレンダーぐらいならマルチログインは全然問題ないと思い..]

ただただし [あー、Androidの件は「(他の人には使えてる新機能が)自分だけ使えない!」みたいな話をよく聞くということです。別..]

end. [数日中に有料購入できるようになりそうですね。http://www.itmedia.co.jp/news/articl..]

ただただし [おぉ。 あー、でも、既存アカウントからの移行は面倒なままなんだろうなぁ。]

b-wind [個人毎の有料購入は発表されましたがエディションの指定が無いんですね…。 これも無料版は対象外なんじゃ無いかと心配。 ..]


2012-02-19(日)

リストウォーマーを編む(2)

[写真]袋編みで親指をつけた

1週間前に始めたんだけど、平日の夜はあまりはかどらなかったこともあって、ようやく片手が編みあがった 実際は筒状に縫いあわせて完成なのだけど、右手用をサイズを合わせながら編むのでそれは最後の工程。それにしても細い毛糸は目に厳しい!

今回、親指の部分を筒状に編むにあたって、袋編みという輪編みとは別のやり方にチャレンジしたのだけど、モヘアっぽい毛羽立った毛糸でしかも細いこともあいまって、最初の目を拾うところからして大苦戦で、その後もうっかりすべり目をすべきところで裏編みをしてしまうなど、おっちょこちょいのおれにはなかなかハードルが高かった。これは使うシチュエーションを間違えると大変だなぁ。

というわけで、相変わらず「アップで見てはいけない」作品である。まぁいいんだ、自分用なんだから。

ところでこの写真を撮っていたらドーラが寄ってきて、いきなりガブッと噛み付いた。グスタフだけじゃなくてドーラもウール好きか! というかこの糸はアルパカなのでより野生の血が騒ぐんだろうか? 危ないなー。

Tags: knit

2014-02-19(水)

OWASP Night 10thへ行ってきた

2月は「情報セキュリティ月間」なのでセキュリティ業界はイベント目白押しでやたらと忙しい。今夜もOWASP Night 10thがあったので行ってきた。実は直前になってDEFCON Japanが同じ日程、しかもCODE BLUEのために来日しているジェフ・モスの講演というおいしい企画をぶつけてきた。まぁOWASP Nightの方に先に申し込んでいたのでそちらへ行くんだけど。DEFCONには同僚に行ってもらうことにした。

OWASP AppSec APAC 2014*1が来月に迫っているということで、冒頭は上野さんによるセッションの解説で、これは意外と良かった。大規模なカンファレンスの「見どころ聴きどころ」を主催者目線で語ってもらうという機会はあんまりないけど、選考基準とかターゲットなんかを事前に知っていると役立つし、予習もできるしな。他のカンファレンスでももっとやればいいのに。

徳丸さんによる文字コードとXSSの話は、過去発見された7パターン(!)の脆弱性がどんなもので、現在どれくらいふさがっているか(IE6ですらだいたいふさがってる)という解説。一言でいうと「いいかげん使うのはUTF-8だけにしろ」が結論だった気もするが(笑)、しかしこの文字コードがらみの脆弱性は、これからもまだまだ出てきそうな気がするなぁ。

もうひとつの話……は書いていいんだっけ?

*1 未来の自分のためのメモ:「セキュリティチョットデキル」は現在開催中のソチ五輪の流れでプルシェンコが「ワタシハスケートチョットデキル」と書かれたTシャツを着ている写真が出回ったのに乗っかったもの。ただし件の写真はソチとは関係ない。OWASP Japanはさらに「ワタシハセキュリティチョットデキル」と書かれたTシャツをわざわざ作成し、今回のOWASP Nightで配っていた。けどこれ日本人にしか通じないだろ!

本日のツッコミ(全2件) [ツッコミを入れる]

okdt [書いていいですよー>もう一つの話]

ただただし [おー、そうでしたか。しかしすでに忘却が始まっている……w]


2017-02-19(日)

スカパーのアンテナを撤去した

先日DAZNの契約を済ませたので……というかそれとは関係なくスカパーとの契約は解除してあったので*1、関連機器を撤去した。

アンテナのボルトを緩めても外れないのでどういうことかと思ったら、長年付いていたのでベランダの手すりに癒着していた(笑)。まぁそうかー、10年以上たってるもんなぁ。お役目ご苦労。部屋の隅を這い回っていたアンテナケーブルもひっぺがして、だいぶすっきりした。

代わりに入る予定のAmazon Fire TVはWiFiで飛ばす予定なので、こういう無駄な配線がなくなるのも良い。WiFiで性能が出なくても、近くに有線LANが来てるから、最小限の配線で済むしな。

なお、不要になった機器は自治体に合わせて廃棄せよというのがスカパーの公式見解なので、粗大ごみ行きですなー。めんどくさーい。

*1 Jリーグパックで契約している人は自動で解約になるという話だったが、解約になるのはパックだけで、スカパー自体の契約は残っていて毎月少額ずつ引き落とされるっぽいので、本当に不要な人はちゃんと解約した方がよいようだ。


2019-02-19(火)

Becks Japan #1へ参加してきた

会場風景(LINE Cafe)

新しいITセキュリティコミュニティや勉強会が立ち上がったと聞くと、様子を見にほいほい参加してみる人です。今夜はBecks Japan #1。「Becks」はJRの駅に入ってるカフェじゃなくてBeer & Hacksの略。LINEとGrayLabが共同で立ち上げた勉強会で*1、場所も新宿のLINE社にある広々としたカフェスペース。ビールを始めとしたドリンクと軽食がフリーで提供されている。

トークは3つ:

Hacking Jenkins! by Orange

CIツールとして圧倒的シェアを誇るJenkinsの脆弱性を探す話。しかもRCEなのでかなりヤバいやつ。ルーティングのホワイトリストの穴を使って認証なしで一部サービスを使えるようにする脆弱性と、PipelineのDSLであるGroovyのメタプログラミングを応用してRCEを可能にする脆弱性を組み合わせた技を紹介。Shodanによると、この穴が残ったまま公開運用されているJenkins、まだ万のオーダーであるらしい。こえぇ。

Orange氏の手法で良いと思ったのは、ちゃんとソースと仕様書を読み込んで脆弱性を探しているところ。せっかくOSSにしてソースを公開してる以上、ちゃんと活用してもらえて安全性向上に役立ってるんだから、Jenkinsサイドとしても願ったりだと思う。

Dissecting professional APT team's spear tip by jz (Heungsoo Kang from GrayLab)

LINEの検知システムを通り抜けて侵入してしまったメールの添付ファイルを解析した話。Excelマクロ(VBA)、BATファイル、PowerShellスクリプト、インメモリDLLなどを、難読化しつつ多段階にかまして最終的にC2サーバ接続までするマルウェアだった。それぞれ手法はオーソドックスだけど、こんだけ複雑化されたら検知できなくてもしょうがない。マクロ付きのExcelは問答無用で弾くというストロングスタイルが正解なんだろうな。

The Evolution of Alert & Notification System by mala

技術的に高度なことを面白おかしく語るいつものmala節とはちょっと違って、けっこう肩の力の抜けたトークでしたな。電気ショックを流せる腕時計型のデバイスをハックして、重要な通知を電撃で受け取るようにした話。件のデバイスはこれ:

Pavlok Pro 2nd Gen Shock Clock

pavlok
¥ 25,800

ネタとして買うには高い(笑)。でも今回のように真面目に使う*2のならありかも知れない……(と思わせる妙な説得力はあった)。でもまー、若いうちなら自分で実験したかも知れんけど、年をとると心臓麻痺とか心配しちゃうよ。


このBecks、面白いのが韓国と台湾でも同時にコミュニティを立ち上げていて、イベントも各地で開催するようだ。今日も3ヶ国から1人ずつ講演者が呼ばれている。しかも日英同時通訳付き(!)。通訳があるんなら、そりゃありがたく利用させてもらうけど、韓国・台湾からの講演者は母語じゃなくて英語で講演してるんだし、英語で統一しちゃってもいいような……?

冒頭あいさつでゆくゆくはコミュニティ主導で運営したいみたいな話があったけど、しょっぱなからこれだけの物量を提供されてたら、LINEの紐を切ることはできないだろうし(というかLINEの本気度の現れでもあるからそれはそれで良い)、今後どうなるのか楽しみではある。

Tags: security

*1 といってもGrayLabはLINEの関係会社なので実質LINE。

*2 実際に運用しているそうで、LINEのバグバウンティプログラムにレポートするとmalaさんに電気を流せるらしい。


トップ «前日 最新 次日» 追記
RSS feed