Hatena::ブログ(Diary)

極楽せきゅあ日記 このページをアンテナに追加 RSSフィード

2011-04-07

[]震度6強

誰に言えば良いのかわからないけれど、たいがいにしろ、と言いたい。

今日はZEK3のライブに久しぶりに行って、そこで東北の音楽シーンを少しでも助けよう!という話をして、募金もしてきたところだったけど、そんなことをあざ笑うかのようなエネルギーの暴発とはね。しかし、こんなことで負けてはいられないけどなあ。またぞろ停電に見舞われた現地の方々のことを思いつつ、できることを一生懸命考えると。

[]ライザムーン攻撃の調査結果

大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog

すごい労作レポートですね。ありがたいことです。

数値リテラル狙いのSQLインジェクション攻撃ですか。確かにその筋と考えると納得しやすいですね。

SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。

そのため、予めWAF側にどのValue値が数字のみの許容とするのかを定義する必要があり、ホワイトリスト型の機能を持つWAF製品で、かつもれなく設定されている必要があり、完全に防御されているのかどうか確認するだけでもかなり時間を要するのではないかと思います。

現状は確かにそういうところでしょうね。ホワイトリスト型ってのは性質上どうしても運用の手間と立ち上げる期間というのがネックになりますねえ。しかもサイトリニューアルとかけっこう頻繁に出てきた日にゃあw。

先日関西大学で行われた研究会で発表したネタとかを早々に実装、実証実験しちゃいたいところだなあ。数値リテラル狙いへの適性があると思うんだけど。

関連:変数に型のない言語におけるSQLインジェクション対策に対する考察(5): 数値項目に対するSQLインジェクション対策のまとめ - 徳丸浩の日記(2007-09-24)

[]結局税金払ってないのか>Amazon

Wikipediaに掲載されている情報(元ネタのファイルは見当たらないっぽいけど)によれば、2009年7月に国税庁がAmazonに対して行った追徴課税は、結局支払わなかったんですね。

Amazon.co.jpの商品の売主は日本法人ではなく、米国ワシントン州法人であるAmazon.com Int'l Sales, Inc.であり、同社は日本国内に支店等を有しない。このことから同社は日本で稼得した利益に対して日本の法人税を支払っていなかったが、2009年7月に東京国税局はアマゾンの流通センター内に米国法人の機能の一部が置かれており、これが法人税法および日米租税条約に規定する恒久的施設であるとして、2003年から2005年について[49]140億円の追徴課税を行った[50]。これに対してAmazon.com側は1億2000万ドルを銀行に供託した[51]。その後日米当局間で協議が行われていたが、2010年6月に暫定的合意に達し、2010年9月に最終合意に至った。日本の国税庁の主張は退けられ、国税庁は銀行供託金の大部分を解放した[52]。しかし、Amazonの法人税については、依然としてフランス、ドイツ、日本(2006年から2009年)、ルクセンブルグ、イギリスなどによって査察が進行中、または行われる可能性が指摘されている[53]。

なるほど。とりあえずAmazonは避けるか(遅w。

[]闇の船

何となく読み始めたんですが、けっこうおもしろかったのでサクサク読んでしまいました。

娯楽小説という体なのでそういうスタンスで気楽に読めば楽しい作品だと思います。

ハードルをものすごく上げる的にちょっと不満に思うところをあげるなら、

  • ハインライン大好き、というとどうしても比べてしまうんだけど、正直ハインラインほどの疾走感は無いかなあ。でもこれはテイストが違うと見るべきかも知れない
  • 謎が途中で読めちゃうというか、あからさまにわかりやすくヒントが提示されていて、物語の登場人物たちだけが気づかない感じ。もしかしたらどこか伏線、ミスディレクションを読み逃したのかな(途中ちょいと斜めに読んでたところもあったので(笑))

というところかなあ。粗暴な不良美少女という設定はおもしろかったけど、日本じゃ割とよく見る設定だよなー、とも思った。

[rakuten:neowing-r:10378742:detail]

闇の船 (ハヤカワ文庫 SF ホ 9-1)

闇の船 (ハヤカワ文庫 SF ホ 9-1)

[]iPad Smart Cover

だいぶ前にエレキングという会社のtri-tiltというのを使ってますってエントリー書いたんですが(Tri-tiltやあい - 極楽せきゅあ日記)そこの米で教えてもらいました>ページが見つかりません - Apple(日本)

そうそうそ。まさにこの形に近いというか。マグネットはないのでどこかに引っかけるしかないんだけどね。でもこれいいよなー。Airとかにも対応してくれないですかねえ。

[][]エフスタ!!さん&東北セキュリティ勉強会さんの勉強会で郡山行き

23日に4月23日 エフスタ!!&東北情報セキュリティ勉強会2011春(福島県)で郡山に行こうと考えていますが、そのころまでには東北新幹線もたぶん通っているだろうとは思いつつも、もし通っていなかったらどうするのかってことを考えてたわけです。んで武藤さんのエントリを目にして>ベガルタの被災地支援活動に参加: 武藤文雄のサッカー講釈、ハイブリッド車なら現地のガソリン量を損なうことなく行き帰りできることを教えてもらっちゃいました。1000kmっつーのはすごいね。郡山なんかはこのあたり>【みんなの知識 ちょっと便利帳】地図上で2点間の直線距離を測るではかってみると東京から200kmだから余裕かw。

とはいえ新幹線で行かれると、途中仕事できるからありがたいんですけどねw。

東北新幹線の現状は、no titleによれば、

東北新幹線の那須塩原―福島が予定の12日ごろに復旧すれば

とあるので、来週にははっきりするのかな。もっとも、再開後の運行は再開前のとおり、というわけにはいかないようですけどね。

  2011   4月 by 陸奥新報によれば、

東北新幹線車両の最高速度は「はやぶさ」が300キロ、「はやて」が275キロだが、清野社長は「仮に今月下旬に全線開通してもフルスピードでは走れないと思う。ダイヤも地震前の本数は多分確保できない。新たな臨時ダイヤになると考えてもらっていい」と語った。

だそうで。どういう入り方するにしても早め早めの対応が必要ぽいですなあ。空路仙台というのも考えたんですが、JALは4月28日まで欠航だし(ご指定のページが見つかりません - JAL)、フリューゲルスの一件以来わたしにとっては存在しないことになっている全日本空輸という会社(笑)も4月30日まで欠航を決めてる(指定されたページが見つかりません│ANA)ようで、ちょっと難しいすかね。