Caq’s Blog

Just another WordPress.com weblog

見上げてご覧夜の星を

leave a comment »

NASAで公開されているスペースシャトルと国際宇宙ステーションの軌道要素

これに、軌道力学だとか電卓で行う軌道解析だとかを使って解析すると、どこを飛んでるか判る。

まあ、自動で計算してくれるソフトウェアもあるので、ソレを使うのが無難だろうけど。(彗星用に入力が可能なんだとか)

Carina Software | Products | Voyager

Written by cube3x3x3

12月 24, 2009 at 3:30 am

カテゴリー: investigation

Google Closure Tools

leave a comment »

Written by cube3x3x3

12月 15, 2009 at 10:56 am

カテゴリー: investigation

英語学習関連

leave a comment »

結構ちゃんとしたレビューなので信頼できそう。

英語上達完全マップを10ヶ月やってみた

で、これを実現するための手法として、単語の覚え方なんだけど…… 英単語学習ソフト P-Study System [ダウンロード] レベル別語彙リストSVL12000:スペースアルク 英和辞典 – goo辞書 あたりを使ってどうにかならないかなあ


http://dictionary.goo.ne.jp/voice2/S/00080258.mp3
  <div class="enWordDif"><!–exceedHead–>
    <div class="exceedHead fs12">
      <p><span style="margin-left: 0px">発音</span><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1073.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1002.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e105a.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1002.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1003.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1009.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1006.gif" width="8" height="16" /><img border="0" alt="" align="absMiddle" src="/dictionary/img/ex/ej_je/e1074.gif" width="8" height="16" /> <script language="javascript">
    if (AC_FL_RunContent == 0) {
    } else {
        AC_FL_RunContent(
                 ‘codebase’, ‘http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=8,0,0,0′,
                 ‘width’, ’24’,
                 ‘height’, ’16’,
                 ‘src’, ‘dic’,
                             ‘flashVars’, ‘mp3=/voice2/S/00080258.mp3’,
                 ‘quality’, ‘high’,
                 ‘pluginspage’, ‘http://www.macromedia.com/go/getflashplayer’,
                 ‘align’, ‘middle’,
                 ‘play’, ‘true’,
                 ‘loop’, ‘true’,
                 ‘scale’, ‘showall’,
                 ‘wmode’, ‘transparent’,
                 ‘devicefont’, ‘false’,
                 ‘id’, ‘dic’,
                 ‘bgcolor’, ‘#ffffff’,
                 ‘name’, ‘dic’,
                 ‘menu’, ‘true’,
                 ‘allowFullScreen’, ‘false’,
                 ‘allowScriptAccess’,’sameDomain’,
                 ‘movie’, ‘/dic’,
                 ‘salign’, ”
            ); //end AC code
    }
</script><noscript></noscript></p>
    </div>
<!–/exceedHead–>

    <div class="wordDefArea">━━ <i>n.</i> 姉妹, 姉, 妹; (女の)親友; 同志[同宗派]の女性 ((呼びかけにも)); 〔米話〕 ((呼びかけ)) ねえちゃん; 【カトリック】修道女, シスター ((称号,呼びかけにも)); 〔英〕 看護婦(長) ((呼びかけにも)); 女.

      <br />━━ <i>a.</i> 姉妹の(ような); 対の.

      <br /><img alt="" src="/dictionary/img/seiku.gif" width="9" height="10" /> <font color="#009900"><b>the three Sisters [Sisters three]</b></font> 【ギリシア神話】運命の三女神.

      <br /><img alt="" src="/dictionary/img/fukugou.gif" width="9" height="10" /> <b>sister corporation [〈英〉company]</b> 姉妹会社.

      <br /><img alt="" src="/dictionary/img/fukugou.gif" width="9" height="10" /> <b>sister-german</b> (<i>pl.</i> sisters-german) 同父母姉妹.

      <br /><img alt="" src="/dictionary/img/hasei.gif" width="9" height="10" /> <b>sis・ter・hood</b> ━━ <i>n.</i> 姉妹の関係[情]; 婦人団体.

      <br /><img alt="" src="/dictionary/img/fukugou.gif" width="9" height="10" /> <b>sister-in-law</b> ━━ <i>n.</i> (<i>pl.</i> sisters-in-law) 義姉妹.

      <br /><img alt="" src="/dictionary/img/hasei.gif" width="9" height="10" /> <b>sis・ter・ly</b> ━━ <i>a.</i>

      <br /><font color="#990000"><b>sis・ter・li・ness</b></font> <i>n.</i>

      <br /><img alt="" src="/dictionary/img/fukugou.gif" width="9" height="10" /> <b>sister ship clause</b> 【海保】姉妹船舶条項 ((同一船主保有の船舶同士の衝突の場合の保険金請求に用いられる)).

      <br /><img alt="" src="/dictionary/img/fukugou.gif" width="9" height="10" /> <b>Sisters of Charity</b> (the ?) (カトリック修道女の)慈善婦人会.

      <br />

      <br /></div>
<!–/wordDefArea–></div>
<!–/enWordDif—>

つまりは↑あたりをつかってごにょごにょするわけだけれども。やっぱり問題があるよなあ。ネットワーク越しに利用するなら良いのかな?利用規約探してみよう。

Written by cube3x3x3

12月 10, 2009 at 6:52 am

カテゴリー: investigation

IE6環境が欲しくなったら

leave a comment »

困る。

ではなくて、VirtualPCディスクイメージが配布されているので、落としてきて入れる。これで確認するのが一番確実。

しかしIE6.0とWindowsXP SP2でしか挙動確認していないので、それにしろってのはどうなのよ2009年12月時点でその対応は。

Written by cube3x3x3

12月 9, 2009 at 7:48 am

カテゴリー: investigation

google API系の調査

leave a comment »

Google Visualization API – Google Code

Google Documents List Data APIがすごいことになっている – F.Ko-Jiの「一秒後は未来」

Developer’s Guide – Google Documents List Data API – Google Code 徐々に適用が減ってる。3.0だとついにjavaのみに。

Google Apps規約だが、六ヶ月以内のAPIを使え、最新版以外は配布もサポートもするな、と。 なかなか厳しい。

Google Base関連

  1.  Sign in to Merchant Center
  2.  google base – Google 検索
  3. Google Merchant Center – Google Search

 

う~む。遊ぶには面白いんだろうけど、仕事で提案するには勇気の要るラインナップ。

Written by cube3x3x3

12月 7, 2009 at 7:30 am

カテゴリー: investigation

Macのmono上で動くKeePass 2.xは使えない

leave a comment »

なぜなら、コピー&ペーストできないから。

書き込みは出来る。見るのも出来る。でも、コピーできないのでパスワード管理ツールとしては致命的。(あと、どうもキーデータベースに保存できていない。ファイルは作成されるが、中身がからっぽになる。Dropboxで共有してたからかもしれないけれども)

Windows向けのソフトウェアがそのまま動くのははっきり言って感動モノで凄いのは判るのだが、使いものにはならない。実に残念。

Windowsがメインの人はKeePass 1.xを利用しておいて、MacはKeePassXで運用するのがよいと思う。auto-typeが使えないのは残念だけど、普通に使える。(オートコンプリートと併用すればほぼ問題なく運用できるんだけども……)

Written by cube3x3x3

11月 20, 2009 at 8:23 am

カテゴリー: investigation

ブラウザのオートコンプリートは本当に危険なのか?

leave a comment »

まず当然のことながら、ブラウザのオートコンプリートでアカウント名とパスワードを自動入力させる、というのは、アカウント名とパスワードが保存されているということに他ならない。これは(大抵は)ハッシュで保存されてるサーバ側とは異なる。平文保存にせよ暗号化されているにせよ、そのアカウント名とパスワードは結局オートコンプリートされる。

IEのオートコンプリート(やMicrosoft諸々のローカルに保存されているパスワード関連)は、レジストリに暗号化されて書き込まれている。が、もちろん本人のログイン情報で復元できる。それを利用したソフトも、あるし仕組みも一般常識レベルと言って良い。

FireFoxのパスワードは普通に誰でも見ることが出来る。ツール>オプション>セキュリティ・タブ>保存されているパスワード>パスワードを表示する でバッチリ一覧表示される。マスターパスワードの設定も出来るのでちょっとだけ安心だけれども、結局マスターパスワード入力後には表示される。

Google Chromeのパスワードも、誰でも見ることが出来る。設定>オプション>個人設定・タブ>パスワード:保存したパスワードを表示>(サイトを選択してから)パスワードを表示 でそのサイトのユーザ名とパスワードを対比させて見ることが出来る。

さて、ではなぜ表示されるのか。それは、別に見られても良いからではないだろうか。

そもそも誰が触っているか定かではない共用マシン(例えば漫画喫茶のPC)でパスワードを入力するのは危険だ。なぜならば、何が仕込まれているか判らないから。被害も起きているのでこれは現実の脅威といえる。つまり、安全なマシンに対してしかパスワードを入れてはならない、というのは前提と出来る。危険なPCで安全にパスワードを入力する手段がないので、オートコンプリート以前の問題だからだ。

前提となる安全なPCとは、「何も仕込まれている恐れがないPC」だと言える。ここを出発点に考えてみよう。まず簡単のために以下の4通りを検討する。(今は安全だけど後日危険になる、などは後で検討)

  1. PCは安全だが、サーバが危険な場合
  2. PCは安全かつ、サーバも安全だが、経路が危険な場合
  3. サーバにアタックされる場合
  4. PCにアタックされる場合

1の「PCは安全だが、サーバが危険な場合」は、オートコンプリートとは関係なく防げない。サーバにはパスワードを渡してしまうからだ。ドメインが同じならオートコンプリートしてしまう(facebookやwiki系など、ドメインが同じだけど入力するパスワードが異なる場合に脅威になる)問題があるが、これはフィッシングと同じ。

2の「PCは安全かつ、サーバも安全だが、経路が危険な場合」は、オートコンプリートとは関係なく防げる。SSLに(PCとサーバとの間を暗号化して繋ぐ)すれば良いからだ。中間者攻撃(PCとサーバの間で中継してパスワード他を盗む)や、なりすまし(繋ぐサーバが期待しているサーバではない)の場合は、サーバが危険な場合と同じ。

3の「サーバにアタックされる場合」は、オートコンプリートとは関係なく防げる。これはサーバ側の作りの問題だが、普通はパスワードをハッシュして(不可逆な形で)保存するので、サーバに保存されているハッシュが流出してもパスワードはバレない。いずれにせよオートコンプリートとは関係がない。

4の「PCにアタックされる場合」は、オートコンプリートに関係する。なぜならば、PCにパスワードが保管されているからだ。ちなみにこれは、「今は安全なPCだが、ある日危険なPCになる」と同じだ。

さて、ここまでで「オートコンプリートが危険なのは、PCが危険な場合」と言えることが判る。ネットワークの外とは関係なく、PCの話になるわけだ。そこでさらにPCが危険なのはどんな場合か考えてみよう。

  1. 自分のアカウント(ログイン環境)は安全だが、悪意有るユーザもアカウントを持っている場合
  2. 自分のアカウントは安全で、悪意有るユーザも居ないが、悪意有る人間がPCに触れる場合
  3. 自分のアカウントを、悪意のある他人も使える場合
  4. 自分のアカウントを、悪意のない他人が使える場合
  5. 自分のアカウントが危険な場合

1の「自分のアカウント(ログイン環境)は安全だが、悪意有るユーザもアカウントを持っている場合」は、判りやすく言い直せば「家族別にログインユーザを作っていて、妻が夫をこっそり調べようと思った場合」である。子供が親から査察を受ける、なんてのでも良い。この場合、OSや環境に寄るが、相手のブラウザ環境に触れる場合は、オートコンプリートによるパスワードの保存は危険だといえる。(安全なモノも危険なモノもあるので、個別調査が必要)

2の「自分のアカウントは安全で、悪意有るユーザも居ないが、悪意有る人間がPCに触れる場合」これは、遊びに来た友人がパスワードを盗もうと思った、等の場合である。これも個別事例だが、OSのログインパスワードが防御ラインになるだろう。もしくはOSそのものを別途動かされてしまう(1CDLinuxやUSBOSは珍しくない)場合は、データが読み取られるかどうかが防御ラインになる。オートコンプリートと関係ないとも言えるし、関係あるとも言える。

3の「自分のアカウントを、悪意のある他人も使える場合」は、明らかにオートコンプリートによるパスワードの保存は危険であろう。最初に書いた方法で見ることが出来るわけだから。

4の「自分のアカウントを、悪意のない他人が使える場合」は、オートコンプリートとは関係ない。が、うっかりと開いてしまう可能性がある点で、危険だといえる。

5の「自分のアカウントが危険な場合」はトートロジー。危険なのだから危険。

上記から判ることは、「PC上に保存されているパスワード情報にアクセスされると危険」だと言える。当たり前といえば当たり前の結論だ。しかしこれは、前述した「危険なPCで安全にパスワードを入力する手段がない」のだから、オートコンプリートの問題以前の問題であるとも言える。

危険なPCではどのような手段を使ってもパスワードは危険なのだ。例えば、ログイン環境にキーロガーを仕込まれた場合は、オートコンプリートよりもキーによる入力の方が危険になる。(キーロガーを仕込まれる以前にオートコンプリート情報を登録していた場合)

1番の「悪意有るアカウントの人間に触られる」のは、OSのユーザアカウント情報が区分けされていないのが問題である。2は、PCそのものを危険にさらしている。(4は、うっかり見られるような状態で人に貸すのが悪い)

ブラウザがオートコンプリートのパスワードを平文で見せてしまうのは、1,3,4,5番である。アカウント=本人確認が済んでいるユーザという認識であればそういう設計もアリだと言える。上記の中で現実的な脅威は1と2。つまり、共用ユーザが悪意を持っている恐れがあるか、盗まれたり離席中にイタズラされる可能性がある場合は、オートコンプリートによるパスワードの保存は危険であるといえる。

簡単に言えばPCそのものに悪意をもった人が接近できる環境下では危険だ、と言える。これはしかしオートコンプリートに限った話では無くPCに保存されている全ての情報について同じ事が言える。

オートコンプリートは確かにPCを盗まれたりイタズラされる環境下では危険な機能だ。しかし、その危険性とは、PCに入っている全ての情報にとって同じである。見られて恥ずかしい写真を暗号化して保存していたり、会社のPCに入っている情報は全て暗号化されている、とかでない場合は、さほど気にするほどでは無いのかも知れない。(盗まれる可能性のあるPCは、がっちり暗号化して守っておくこと、という面白くない結論に落ち着いてしまったな)

Written by cube3x3x3

11月 19, 2009 at 12:40 pm

カテゴリー: investigation