ACCS騒動の続き

Winny事件とも似たような話ですが、面白いネタがあったのでご紹介。

検察官を翻弄しまくったoffice氏の奮闘

うーん、くだんのoffice氏は相当頭が切れるなぁと思いました。物事の是非や賛否両論はともかくとして、ここに記載されているだけの情報でもキレモノの匂いがプンプンしてますね。

ホントに大雑把な話をすれば、元の事件ってCGIの引数変えたら個人情報にアクセスできたってだけ。これが不正アクセスになるかならないかの問題。だからやったという行為に関してはoffice氏も認めているわけで。

おそらく検察側もこれが不正アクセスにならないんじゃないかと思っている節がありますね。それに検察側もかなり勉強してきていると思います。「サーバログに残ってるんですよ?」という辺りと「ログが真正だと認められれば」という所。アクセスするとログが残る事、そしてログはいくらでも改竄ができる事がわかっている。そして、ログが改竄されていないという証拠は出せないことも。(タイムスタンプですら改竄できるからね)

さて。

この裁判、個人情報を公開してしまったという点については罰せられるけど、行為については不問になりそうな気がします。そもそもCGIを改竄とか言ってるけど、やった事って引数を変えただけでしょ?と。それで見えたんなら、CGI自体の制作者の責任だと思う。まず個人情報を取り扱っているんだという意識が無いよね。汚染チェックくらいしろよって思う。ファミリー企業にでも作らせたんか?と思うくらい。

自分も、かなり昔にとある企業のCGIを作ったけど個人情報の取り扱いには凄く気を使って作った。汚染チェックからパスワード認証方法を途中で別のパターンに切り替えたり。個人情報はサーバー上に溜まるけど、http経由ではこれない位置に保存できるようになっている。IDとパスワードで認証されるけど、認証用のファイルの中身には暗号化されたパスワードしか書いてないので万一漏れてもおそらく平気。そこから先は何もできないし、そもそも有効期限付き。

もっとも自分の場合、元がハッカーの真似事みたいなスクリプトキッズ上がりなので、どーやったら攻撃されるのかとかここが空いてないと辛いってのがわかるからこそなんだけど。にしても、ユーザーの動きを想定してモノを作るって当たり前の事だと思うんだけど違うのかな?

自分としては、office氏にも47氏(winny事件)にもがんばって欲しいと思う。office氏の場合は公開した行為は誉められたものじゃないけど、本来処罰の対象となるべきものが違う。本来は、CGIの制作者とその会社を選んだACCSの担当、そしてそれを他人の責任としてなすりつけたACCSという会社が糾弾されるべきだと思う。

知識が無いから知らなかった?無知は罪ですよっと。そもそもあの個人情報自体、集める必要性が?なものでしたしね。なんでただのACCSへの報告に個人情報、しかもかなり細かいのが必要なのさと。

更新ができなくて・・・秋。

更新ができません。なんとかしてください(誰に?

というわけで、今はこれの開発がデスマーチを迎えています。正直驚異的な速度でくみ上げているのですが、クオリティも落とせず・・・という感じでなかなか辛いです。

今回は、システムが新しくなったのでちょっと重たくなっています。簡単に言うと、絵は全部3Dでやっちゃおうってわけです。見た目は2Dなんですけどね。これにより、拡大縮小回転、エフェクトの追加なんかが常時できてしまうわけなんですよ。

今回のだと難しいかもしんないけど、雨降らせたり日の照り返しがあったり。夜の街のテールライトの流れとかネオンサインとか、そーいった事が可能になるわけで。。組んでいる身としてはありがたくもあるわけです。

言ってしまえば所詮紙芝居なんですが、紙芝居でも見せ方ひとつでいくらでも可能性が出るんです。本見て感動している人に、所詮文字じゃんっていうのと同じくらいヘン。

このデスマーチが終わったら、ばりばり更新しなきゃ・・・写真も溜まってるし。あ、あとメールサーバ立てました。

[email protected]

これでメール届きます。。

南極のライブカメラ

http://www.martingrund.de/pinguine/

南極のライブカメラです。ドイツの基地からの映像のようで、30分に1回更新されます。ペンギンが見れるって事でしばらくずーっと見てたんですが、なかなか機会もあらわれず。

一ヶ月くらい経った今日!始めてみれました。。

ぺんぎんさんきたー

かわええです。ω・)ノ

ドリパ2004秋

というわけで、去る14日にドリパに行って来ました。・・・出展側で。今回は販売が無いので、開始直後から眠気に襲われる始末。途中で写真を撮られている方の対応くらいだったので、退屈でした。やっぱり販売物があった方がやる気でるよねといった感じ。

無料配布にはたくさんの方々に集まっていただけたので嬉しかったですね。この手をうまくこなせた時はスタッフのやりがいをひしひしと感じます。

今回から液晶32型を投入して、大画面でのデモを作ってみましたがどうでしょうか?まだまだ手探りな状況なので、もっとユーザーさんに楽しんでもらえるようなブース作りをしていきたいですね。すみっこでは、自分の(個人所有)パネリを使って小さく流していました。

で。
途中、「これパネリーナですよね?写真撮っていいですか?」と声をかけられたので、「どうぞどうぞー」と言ってたら・・・

ドリパ2004秋 東京の会場の様子

秋葉Blogにしっかりと晒されてました(笑) ちなみに、デモ自体はSony Vaio + SHARP 液晶AQUOS です。私のパネリは、反対側がさびしかったのでなんとなく置いといたんですね。

ちなみに、640*480 44Hz 30fpsの動画をHakobako Playerでプレイしていました。コマ落ちもほぼありません。パネリはこんな風にも使えるんですね。私の場合は、車載して地図ソフトとかX68エミュとかDivxのムービー入れて旅のお供にしたりと結構活躍しています。

続 ぷに使いはFireFoxの夢を見るか

あれからちょくちょくとFireFoxを使用しているので追加項目を。

まず、ぷにから「お気に入り」をFireFoxに移植する方法です。まず、ぷにを開いて「File」-> 「エクスポート」-> 「Netscape ブックマーク」を選択します。出力は*.htmlで保存してください。

次にFireFoxを起動します。日本語メニューなら「ブックマーク集」-> 「ブックマーク集を管理」を選択します。「ブックマークマネージャー」が起動するので、「ファイル」->「取り込み」を選択。「ローカルファイル」を選択し「次へ」を押します。ファイルダイヤログが出てくるので、先ほどぷにから出力したhtmlファイルを選択し「ok」を押します。

以上で、FireFoxに取り込みが完了しました。

次に、キーカスタマイズです。ぷにはF1で左側にお気に入りが開いたりします。FireFoxは Ctrl + B でした。これをなんとかできないと探したのがこれ。

keyconfig

このページの中段あたりにある「Install Version:20040910」をクリックしてください。インストールについては、過去の ぷに使いはFireFoxの夢を見るか と同じ方法です。

インストールしたらFireFoxを再起動すると、「ツール」に「KeyConfig」というメニューが追加されます。ここでキーカスタマイズができるようになります。自分の場合は、新しいタブを開くを Ctrl + N にして ブックマーク集 を VK_F1 にしています。

設定したら、FireFoxを再起動する事で有効になりました。

無知の言い訳

レンタルサーバー会社の安全性を認証する第三者機関

ちょっと前のACCSの顧客情報漏洩事件の事。
簡単に説明すると、ACCSが借りてたレンタルサーバに脆弱性があって、それをOffice氏に指摘された。その後、とある講習会みたいなもんで公開しちゃったためにOffice氏は逮捕された。レたACCSが不正アクセス防止法違反と威力業務妨害で訴えてって流れ。ま、事の顛末はどうでもいいんですが、今回ACCSがあほぅな事を言っていたので。

「サーバー会社が適切な管理を行なっているかどうかを認証する第三者のチェック機関が必要だ」

こうやって天下りができていくわけですね。JASRACとかJASRACとかJASRACとか。そもそも、お偉いさんのトコはレンタルサーバなんて、身内とか付き合いのあるところにしか依頼しないじゃん、どうせ。見積もりもってっても「もうあっちに決まったから」とか平気で言うじゃねーか(落ち着け

そんな機関つくらんでも、プライバシーマーク採ったトコに依頼すりゃいいじゃんね。国のお墨付きですよ?ザル審査だけど。

セキュリティがどうかという話なら、それらを生業とする企業があるわけでそこに依頼をすればいいだけの話。自分達にそれを判断する術がないなら、複数のセキュリティ会社に相談すればいいじゃない?もしくは、今回みたいなアホな脆弱性を付かない程度のスキルを持った人を雇えばいいだけじゃないですかね。JASRACみたいに腰掛け会長に1300万も払うくらいなら、800万も出せばそこそこのスキルの人が雇えますよっと。

>「レンタルサーバーを借りるときに、きちんとそのサーバー会社が
> セキュリティに対して適切な体制を整えているかをチェックしないと、
> 実際に情報が漏洩した際にそのサーバー会社を選んだことに対して
> 委託元としての法的な管理責任を問われる可能性が高いが、
> 個々の企業にはそのようなチェックを行なうノウハウがないために
> 実質的にはチェックは困難」

意訳:
自分達はスキルが無かったから漏れてもしょうがないんだよ。付き合いでレンタルサーバ会社選んだけど。でも、なんかあったら俺らの責任じゃん?スキルあるやつ雇うのも損だし、だったらどっかが認証してくれれば選ぶのも楽でいいよな。漏れても責任逃れできるし。

つーか、勉強しなさい。そんくらい。
誰がレンタルサーバ会社選んだかわかんないけど、事が起こってから上みたいな事を言ってもただの負け惜しみよ、負け惜しみ。