Latest Tweets:

May 9 2013

*48

(via ak47)

*231992
esoreilla: i have a piece i named after this fish.

esoreilla:

i have a piece i named after this fish.

(Source: forever90s, via ak47)

*225
petapeta: ZsaZsa Bellagio

petapeta:

ZsaZsa Bellagio

(via ak47)

*143
petapeta: ZsaZsa Bellagio

petapeta:

ZsaZsa Bellagio

(via ak47)

*37

"

はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。

  • Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る
  • upstreamに連絡が来ないまま脆弱性が公開される
  • ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって)
  • パッチのライセンスが不明なので取り込めない
  • ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない
  • ruby-devを読んだ人はライセンス上安全なパッチを書けない
  • 脆弱性だから話は非公開に進めたい
  • yuguiさんがruby-devを読んでない僕に書かせることにする
  • yuguiさんから攻撃用コードをもらってパッチを書く
  • パブリックドメインと宣言
  • Rubyに取り込まれて1.9.2リリース

Rubyのコードはほとんど書いたことがなかったので頼まれたときはできるかどうか不安だったのですけど、攻撃コードを見てみたらそれ Unicode でのHACK #1で紹介されている2005年にGoogleの404ページで発生した脆弱性と同じなのが自明だったので、Tracer.onして攻撃して出力を眺めて問題点を修正するだけで簡単に直りました。

結局のところ、何が問題かというと

  • 問題点を発見したら上流に報告して欲しい。あなたが困る問題はみんなも困る可能性があるんだ。
  • 著作権を主張しないつもりなんだったらそれを明示的に宣言して欲しい。ライセンスが明示されていないのは、どんなライセンスよりも厳しいライセンスだ。

ということなんですよねぇ。おねがいしますよ、Appleさん。

"

Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー (via petapeta)

*18

"ライセンスが明示されていないのは、どんなライセンスよりも厳しいライセンス"

Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー (via petapeta)

*28252

(via ak47)

*6023

(Source: naiahthetease, via ak47)

*574

"

こんなニュースが流れてきました。

アダルト接続1万回超の男性、懲戒処分に

共同通信からの配信のようなんですが、山形市の職員のオトコが業務用パソコンで、3か月に1万回以上アダルトサイトを見ていて、ウイルスに感染させてしまったカドで停職2か月の懲戒処分なんだそうです。

市の調査によると、男性主幹は8月24日までの3カ月間、ほぼ毎日アダルトサイトなどを閲覧、アクセスは約1万100回に達していた。

「アダルトサイト1万回見てたって、仕事してねぇだろ、ふざけた話だ」と瞬間的には思うわけですが、ちょっと待て。

実働8時間×22日×3か月として528時間。勤務時間中休み無しでアダルトサイトだけを開き続けたとしても、1時間に19回ぐらいですよ。3分に1回、毎時間、毎日休みなくアダルトサイトを見続けないと1万回なんて達成できないはず。なので、この報道は鵜呑みにできませんねぇ。「市の調査」か、この報道の、どこかがおかしい。

市の発表を見てみました。

調査によると、業務に関係のないサイトの閲覧はほぼ毎日行われており、平

成24年8月24日のウイルス感染直近3ヶ月で、アダルトサイトを含む業務

に関係のないサイトの閲覧は約10,100アクセス行われていた。

確かに10,100アクセスって書いてある。「アクセス」って何だろう。それからついでに「アダルトサイトを含む」だ。ずいぶんトーンが違いますねぇ。

さて、ここから推測。



市がやった「調査」で言う 10,100回という妙に生々しい「アクセス」の数字ですが、閲覧ログか何かが残っていて、それをきっちり数えたということなんでしょうね。自己申告とかじゃなく。たぶん、ファイアウォールかプロキシかセキュリティゲートウェイかなにかのログを取ったんでしょう。

Webページ1枚を開いただけでも、ブラウザはサーバーからたくさんのファイルを取ってきて、それを組み合わせて表示しているものでして、ログにはそのたくさんのファイルを取ってくる通信の記録がひとつひとつ残っているものなのです。これはきっちり数えられる。

例えば、動画ということで DMM の動画のトップページを開いて、ファイルをいくつリクエストしているか調べてみたら、この通り。1ページで126回の「アクセス」のリクエストを出していました。

1ページで126回の「アクセス」ならば、80ページも見れば、10,100回の「アクセス」が達成できます。
市の発表にあるとおり3か月ほぼ毎日なら、1日1ページか2ページ業務と関係ないページを見ただけで楽々達成。これなら、納得できる数字です。

まあ、業務時間中に仕事と関係ないサイトを見ることは感心しないですし、懲戒処分にするしないは所属組織の判断だからとやかく言いませんが、1日数ページのWebサイト閲覧をこういう巨悪かのような表現で発表しているとしたら、ちょっといやな印象操作だなあ、と思った次第。

ほんとのところは、どうなんでしょう?(という突っ込みを入れるのが報道機関の役割だと思うんだけどなあ)

"

ネットをめぐる針小棒大 [アダルト接続1万回] - higuchi.com blog (via petapeta)

*482
kogumarecord: 隅田川テラス・橋めぐり

kogumarecord:

隅田川テラス・橋めぐり

(via otsune)