ただのにっき

■ 日本Androidの会町田支部発足会に行ってきた

日本Androidの会は各地のサブコミュニティを「支部」を呼ぶようで(Rubyの「～.rb」みたいなもんですな)、その町田支部が発足するというので行ってきた。「お前は相模原の住人だろう」というツッコミもあると思うが、開催場所が相模原なのでなんの問題もない。というか、そもそも町田は相模原の一地方だしな(←そして戦争勃発)。

かみさんから「今日はなんとかの会のイベントなんだっけ?」と言われて「なんとかじゃないよ、アンドロイドだよ」と答えたら「人造人間?」と返された。「日本人造人間の会町田支部」とか書くととたんに悪の組織っぽくなるなぁ。

それはさておき、町田に縁のある人・ない人とりまぜて20人以上が参加して、発表ありの懇談ありの楽しい会でした。懇親会にも出られればよかったのだが、今日は平塚に行かなければならないのだ。余裕あったらあとで続きを書く。

■ 湘南ベルマーレ 1-6 川崎フロンターレ@平塚競技場

最近あまりちゃんとサッカー観戦ができなかったので、アウェイながら近所の平塚へ。といっても、小田急沿線からだと遠いんだよなぁ、平塚。

ちょっと遅れてスタジアム入りしたらもう1点入っていて、そのあとももう、やりたい放題な感じで、ひさびさの大虐殺だった。ジュニーニョなんて、前半だけでハットトリックだったのに、後半もまだまだ入れるつもり満々だったもんなぁ。

この試合、驚くほどファウルが少なかったのだけど、それもそのはず、川崎がボールを持っても湘南の選手がちっともプレスに来ない。接触プレイが少なければファウルが少ないのも当然だ。ああいう試合してたら勝てるわけないよなぁ。湘南のGK野澤が相当がんばっていたおかげで6点しか入らなかったけど、場合によっては倍くらい入っていても不思議じゃなかったと思う。

ともあれ、ここのところ負けが続いていたので、これで勢いがつくといいな! 写真は、ちょうどVJの5点目が決まった瞬間。

■ 小惑星探査機　はやぶさの大冒険(山根　一眞)

電車で泣きながら読んでるおれキモス!

はやぶさの華々しい帰還からはや数カ月。もうそろそろ感傷的な気分からは抜け出せただろうと思っていたけど、ダメだったねー。あえてカプセルの見物にも出かけてないんだけどなぁ。

それはそれとして。ノンフィクションライターの山根一眞が、「はやぶさ」関係者へのインタビューを交えながら、内之浦での打ち上げからウーメラ砂漠への帰還までを時系列でまとめた本。重要なイベントではきちんと現地で取材をしているから、ブームに乗って慌てて伝聞をまとめたような薄っぺらさはないし、「中学生にもわかるように」という編集者の注文にきちんと応えているから非常に読みやすく、理解しやすい。

ずっと「はやぶさ」を追いかけていたマニアにはちょっと物足りないとは思うけど、この厚さで省略もなくきちんと事実を伝えているのは素晴らしい。ネットや新聞で断片的な情報にしか接していないにわかファンのみなさんにはぜひ読んでもらいたい。良書です。

……と、ここで締められてばいいのだけど、はやぶさ単行本はこれから続々と出る予感。なによりも近刊の大注目は「あの」的川泰宣さんで、単行本と新書の二冊が予約受付中。新書は薄いだろうけど、単行本は読まなくてもわかる傑作(たぶん)。あと、「のぞみ」本の松浦晋也さんも、間違いなく執筆中だろうし、緻密な取材と科学知識に基づくこっちはきっとマニアも満足できる作品になるだろう(「恐るべき旅路」は、「はやぶさ」のベースになる技術やISASそのものがよくわかるので、はやぶさファン必携だ)。

いやぁ、カプセルの中身の分析もこれからだし、まだまだ楽しみは続きますなぁ。

小惑星探査機　はやぶさの大冒険
山根　一眞
マガジンハウス
￥1,430

小惑星探査機「はやぶさ」の奇跡
的川 泰宣
PHP研究所
￥8

9784140883303

恐るべき旅路 ―火星探査機「のぞみ」のたどった12年―
松浦 晋也
朝日ソノラマ
￥316

■ セッションの「適切な制限時間」というものはあるのだろうか?

先月公示になった新しいWebアクセシビリティに関するJIS X8341-3には「調整可能な制限時間」という達成基準があって(JISは非公開なので互換性のあるWGAC2.0 Understandingの邦訳を貼っておく)、非常におおざっぱにまとめると:

制限時間のあるコンテンツでは、

• 利用者が制限を解除できるか
• もしくは10倍に延長できるか
• さもなくば最初から20時間以上に設定

せよ。

というものだ*1。

制限時間つき入力フォームを持つようなWebサイトが、これを受けてJIS適合を目指そうと思ったら、制限解除ないし延長の仕組みを作らなければならない。20時間なんて長すぎてセキュリティ的に論外だ。なんだか不条理な基準だよなぁ。

……と思っていたのだが、よくよく考えると、そもそもいま設けている制限時間には、はたして明確な理由があるのだろうか。いろいろ調べてみても、セッション・ハイジャックを防止するためにセッションの持続時間は適切な長さにしましょうという記述は見かけても、「適切」について述べられた資料は見つけられなかった。セッションID生成にまともなハッシュ関数を使っていればブルートフォースアタックの危険は考えなくていいし(少なくとも20時間あれば十分だ)、その他のアタックに対しては時間よりも別の要因の方が大きいだろう。

Twitterでこの疑問を漏らしてみたけど、反応はいっさいなかったので(followerにはWeb業界人が多いはずなのだが)、おそらくみんな「適切」じゃなくて「適当」に決めてるんじゃないかなーと思う。だったら、JIS適合しようとするならプログラムや設定ファイルに書かれている「1」(時間)を単純に「20」に書き換えるだけで対応完了じゃん。それで何か問題ある?*2

上記はフォームへの入力のような場面を想定したものだけど、他にもWeb上における制限時間的なものといえばログイン・セッションもやはり不可解なものが多い。一定時間ログインしないと切れるというのがメジャーな方式だが、他にもセッション数を制限したり(ニコ動は1セッション*3、Wassrは3セッション?)色々あるが、その制限にちゃんとした根拠があるのかなぁ、といつも不思議に思う。

一方でAmazonやTwitterのようにひとたびログインすればずっとセッションが維持されるサービスもあって、こういうところは大事なとき(商品の購入や個人情報の参照・変更)だけ再度パスワードの入力を求められる。個人的にはこの方式の方が他に比べてユーザビリティも高く、おまけにフィッシングの危険性も低下するのでセキュリティ的にもいいと思うんだけど。なんでいつまでも安直な制限時間方式が蔓延してるんだろうね。