2012-12-15(土) [長年日記]
■ グスタフ、ワクチン接種で今年もお漏らし(1年ぶり3回目)
![[写真]拘束用檻の中で泣きわめくグスタフ](https://lh6.ggpht.com/-kX-_mHK2P3A/UMvJjCF2NEI/AAAAAAABJYA/3eeSLXCWdk8/s512/2012-12-15%25252009.22.04.jpg "[写真]拘束用檻の中で泣きわめくグスタフ")
去年、一昨年と毎度大騒ぎになる年末恒例のワクチン接種、今年も同様でした。以上おわり。朝からすでに一日分の仕事を終えたような疲労感。そのくせ、帰宅して1時間もたてば何ごともなかったかのようにけろっとして、宅配便のおばちゃんに愛想を振りまきに玄関まで出向いたりしてるんだからもう。
しかし、獣医のセンセイには毎年ご迷惑をおかけして申し訳ないったらありゃしない。次回からは自分でティッシュ一箱と回収用のビニール袋を持参すべきというメモを残しておこう。
■ 天皇杯: 大宮 4-3 川崎@NACK5スタジアム
![[写真]NACK5スタジアム・パノラマ写真](https://lh6.ggpht.com/-p1V8IeJac0k/UMxKYOOtPjI/AAAAAAABJaA/0tNO3jxcqv0/s512/2012-12-15%25252012.46.31.JPG "[写真]NACK5スタジアム・パノラマ写真")
天皇杯の試合を観に、えっちらおっちら大宮まで。(本当に川崎に住んでいる)フロンターレサポーターなら、武蔵小杉から大宮まで湘南新宿ライン一本なので実は行きやすいのかも知れない。上の写真を見ればわかるが、ゴール裏なんて空席の目立つ大宮に対して川崎側は満席。これで勝てなきゃ嘘でしょう!
フロンターレというチームは、ケンゴが目立っているときはたぶんダメなんだよね。ケンゴの周辺の選手が目立っているときがいい。今日は特に、稲本や大島がすばらしくよかった。で、前半だけで3得点。みんなよく走ってるし、こりゃもう勝てるでしょ、と余裕をかましていた。前半までは。
で、後半になると全体的に運動量が落ちて、前半のような圧倒的な感じはなくなり、さらに電池の切れた稲本に代わってご子息投入。結果は4-3の大逆転負け。ご子息入っただけでザルみたいなチームになっちまってさ、これ、戦犯は監督以外のなにものでもないだろ。まったく、シーズン最後の試合が今季を象徴するサイアクの展開だよ。どうすんのこれ。
2012-12-13(木) [長年日記]
■ Web Appsec Night 2012に行ってきた #wasnight2012
六本木で開かれた「Web AppSec Night 2012」へ行ってきた。セキュリティ関連のイベントには隙あらば出かけるのだ。ちなみにまたもやアルコール付き。最近こんなんばっかし。
会社を出るのが遅くなってしまったので会場着が20分ほど遅れてしまったのだけど、入ってみると立ち見が出るほどの盛況ぶりで「弱ったなー」と思いつつ隣を見るとチェアの @okdt さんが立っていたので挨拶したらステージの真ん前かぶりつきの席を作ってくれた(ありがたや)。で、隣には2番手の発表者 @TAKESAKO さんが座っていたり、でかいレンズで写真を撮ってる公式カメラマンが @koyhoge さんだったりして、今日はぼっちじゃない(笑)。そうそう、ネット上では交流のあった @ockeghem さんにもようやく対面できたのだった。
テーマが今年の総括だったので技術的に突っ込んだ話は多くなかったのだけど、個人的に興味深かったのが「地方公共団体における情報システムセキュリティ要求仕様モデルプラン」の話(とその次の徳丸さんの「サポートライフサイクルポリシー入門」)。全国に1800もある地方自治体・公共団体にあまねくWebセキュリティを浸透させるにはという命題に対して「RFPのひな形を作ってしまえ」という発想、結果としてできたガイドライン……と、これはWAICがWebアクセシビリティに関して取り組んできたのとまったく同じ。自治体担当者のスキルが期待できない中で「安かろう悪かろう」を排除するには、やっぱりそれしかないよねぇ。ちなみにWebアクセシビリティサイドの取り組みについては最近植木さんが書いたコラムとその中のリンクをたどると成果が見られる。
その他、(途中からしか聴けなかったけど)Hardening Projectの報告や、Androidの話が興味深かった。というか酒が入っているせいかみんなテンションがおかしかった(笑)。次もなにかあれば参加したい。
2012-12-12(水) [長年日記]
■ 
Hacking: 美しき策謀 第2版 ―脆弱性攻撃の理論と実際(Jon Erickson)
オンラインCTFをやるようになって、いろいろとバイナリアン的な技能が必要になったので、知人に紹介してもらった本書を読んだ。最近読書メモがなかったのはずーっとこいつを読んでいたからなんだけど、それでも咀嚼しきれてないという。ムズカシー。
年寄りのプログラマが集まると「最近の若いプログラマはコンピュータの動作原理も知らない」的な話になることが少なくないのだけど(自分は年寄りだけど知らない方なので肩身が狭い)、本書は半導体レベルまでは下りないまでもアセンブラ・マシン語レベルまではがっつりと低レベルな話ばかりだ。
冒頭はプログラムの基本的な制御構造なんかの話から入るので「なんだ初心者向けか、楽勝じゃん」と甘く見ていたら、基礎的なプログラムをC言語で書いたら即座にデバッガにかけて、コンピュータの中で何が起きているのか追いかけるという、いきなりハードな内容になる。
以降、自作のプログラムに潜むスタックオーバーフローに対して攻撃をしかけるコードを書き、実際にrootのシェルをとってみたり、最近のセキュアなカーネールの裏をかいたり、ネットワークプロトコルの穴をついたりやりたい放題。Perlなんかも登場するけど、あくまでシェルコードを生成するために使うツールに過ぎなかったりして。網羅性があって、実用度も高い。攻撃者の手口をひととおり知るにはかなり良い教科書だと思う。
それにしても、スクリプト言語で鈍った頭にはきわめて難しい。ちゃんと理解するには念入りな写経が必要だなぁ。
◆ smbd [すごい表情…。しかしティッシュ一箱分ももらすんですか?w]
◆ ただただし [一箱あれば何が漏れても安心だからな]
◆ smbd [ああ、うんちもですか…]
◆ やまざき [大宮まで行ってたんだ…お疲れ様です]