[misc]戦争のつくりかた
http://blogs.yahoo.co.jp/nakano_kay/5809029.html/
最初に読んでみて、世の中戦争に向かっているのか?って思ってしまった。で、考え直して客観的な意見を考える。「今の世の中のニュースを集めてこういう切り口で解釈することもできるんだ。」と。 今の日本は、実際に戦争の場に居た人しかすごさが伝わらないんだろうなぁ。。。テレビで流しても、花火みたいな感じだし。
[セキュリティ]ログイン直後のレスポンスの返し方
http://d.hatena.ne.jp/teracc/20061121#1164803903
以下のような状況(PC端末を共有している状況)を想定する。
1. ユーザX(被害者)が、あるサイトにログインし、いくつかのページを見て回り、その後ログアウトする。そして、ブラウザを閉じないままにPC端末を離れる。
2. 次に、ユーザY(攻撃者)が、ユーザXが使っていたPC端末を使う。ユーザYは、ブラウザの戻るボタンで、ユーザXのログイン直後の画面に戻って、更新ボタンを押すことで、POSTデータ(ID/PW)をサーバに再送信させることができてしまう。つまり、ユーザXのID/PWはサーバに再送信され、ユーザYはユーザXとしてサイトに再ログインできてしまうことになる。
Bのケースでも同じことできると思うんだけど。。。文章の意味を取り違えてるのかな?
個人的には、こういう仕組みを気にする以前にクライアントPCを共有させないようにしたほうがいいと思うんだけど。。。まあ、インターネットに公開し、不特定多数向けサービスは難しいとは思う。そのときは、ブラウザの標準機能を使っても、ログイン画面ではユーザー名・パスワードは覚えさせない・必ず毎回入力させるようにする仕様のほうがいいと思う。
[オープンソース]GNU Trove: High performance collections for Java.
http://trove4j.sourceforge.net/
これを使うことのメリットってあまりないような気がする。Collection APIを使っているコードって全体の何分の1だろう?システムを稼動しているときに、全体の何分の1実行されるんだろう?しかも、3層なり、4層なりのシステム構成をとるのがほとんどの現在、システム全体としてはこのツールを導入することで、どのくらい速度が向上するのだろう? だったら、ネットワークなりサーバのCPU・メモリの速度をあげちゃったほうが、てっとり早いと思う。
また、標準APIがあるのに、このツールを導入することで、システム構成が複雑化してしまう恐れがある。システム構成はシンプルにしないと、保守のコストがかかってしまう。いくらドキュメントが秀逸でも理解に時間がかかってしまうし、シンプルなシステム構成が取れることに勝るものはない。
だったら、これを採用するよりは、Jakarta Commons Collectionsのような便利ツールのほうがはるかに採用したいなあと思う。
[オープンソース]全文検索 JiroSearch
http://www.crm.co.jp/jirosearch/index.html
Luceneが汎用的に作ってあるし、エンジンのみの提供なので、インターフェースを作ったりしてすぐに使えるようにしたのかな?