Inside ASENS

この記事をブックマークする :

タガヤっす。

週末はMacでお勉強です。

技術者たるもの、技術書にたくさんのお金を費やします。
ボクも若い頃は、たくさんの技術書を買ったもんです。

時は経ち、今では技術書を買うことがなくなり、ビジネス書に取って変わっていました。ネットで調べればわかるじゃんって感じで。

さて、またグーグル先生に質問だぁー！



Objective-Cに関する情報少なすぎ(涙)

Amazonに行き、めぼしい技術書を検索してみました。



プレミアついとるやんけ！！

技術書にプレミアって！

どんだけマイナーやねん。
英語で読んでも解るレベルを超えてるので、素直に日本語の技術書を買いました。

4冊で15,000円。

さらにMac関係への投資が増えていきます(汗)
回収できるか心配になってきた。。。

◆

iPhoneアプリでHelloWorldがこんなに遠いなんて・・・
＃一応3時間ぐらいでできましたけど

この記事をブックマークする :

タガヤっす。

はじめての mac にいじめられてます(涙)

これは不具合なんじゃないか？と思う現象が
結構見られるようになってきたので、
先輩のみなさんに教えていただきたく。

・スリープ（電源を入れたまま液晶を閉じる）したとき、
　定期的にCD-ROMから「ジジっ」と異音というか、
　アクセスしてるっぽい音がする。

・スリープしてかばんに入れてたら、
　かなりの熱量（熱いと思うぐらい）を出している。

・スリープから復帰したら、液晶の輝度（F1やF2で調整）が
　勝手に変わっている。

ボクはWindowsPCで電源のオンオフをせず、常にスリープを使ってます。
再起動するのは１週間に１回くらい。
開けたらすぐに使えるのが便利なので。

macbookではスリープが使えないのか？
と思えるぐらいのショボい動作なので困ってます。


ヘルプミー！！

この記事をブックマークする :

タガヤっす。

学生時代に電光掲示板用のCプログラムを制作したことがあります。
赤い文字が流れていくヤツです。

Unix C をそこそこ書けます。
Apache2とかのソース読んだりします。
しかし、GUIになってからメモリ管理が煩雑になったり、
そもそもポインタはわかるが何その使い方的な事例に出会ったりして、自分の適正を疑ってしまい、今まで避けて生きてきました。

iPhoneの開発はObjective-C、つまりカスタマイズされたC言語です。

サンプルソースを読んだりしてみた結果、これを使いこなせるようになるのか？と疑問というか弱気になってる自分を発見して、軽くヘコんでしまい、このエントリを現実逃避のごとく書いています。

なんとか書いている意味はわかります。
でもイチから書けと言われて、おいそれと書けるレベルの言語じゃない。

アプリ書いてる人がたくさんいるので、オレもー！って軽い気持ちでいてゴメン。

オブジェクトつくって、メモリをアロケートして、オブジェクトにオブジェクトをセットして、UIコントローラーにポインタ型で何かを定義して〜〜〜。



うん、ゴメン無理！

こんな感じでポインタうんぬんとかだと、
変なアプリ作った日にゃあ、オイラのiPhoneが〜！ってことになりかねん。

◆

まとまった時間がほしいな。
１週間ずーっとObject-Cだけを山にこもって勉強したい。

ぜーったいに攻略してやんぜー！！
みんなにできて、オレにできんはずがない！

って感じで、ヘコんでんのか、燃えてんのか、よくわからんエントリもたまにはいいんじゃないか？

この記事をブックマークする :

最近はWordPressをブログとしてではなく、CMSとして使うことが多くなってきました。

例えば、「お知らせ」は頻繁に更新しても、他のコンテンツはあまり更新することがない小規模コーポレートサイトなどにWordPressは最適です。

こういう場合は「お知らせ」を記事として投稿し、会社概要などはページ（時系列に依存しないコンテンツページ）を利用して構築するのが一般的です。

その際、会社概要だったらhttp://ドメイン名/company/のようにURLを設定したいのではないでしょうか。

WordPressには「スラッグ」という機能があり、簡単に記事やページ毎にURLを設定できます。

ところが、いつからか（WordPress2.5あたり？）スラッグを設定することができなくなりました。

これはイカン！ということで調べて見ると、どうやらデフォルトでスラッグを非表示にするようになっていたようです。

wp-admin/js/page.jsの15行目「jQuery(‘#pageslugdiv’).hide();」と、wp-admin/js/post.jsの78行目「jQuery(‘#slugdiv’).hide();」の前に//入れてコメントアウトするとスラッグが表示されるようになります。（WordPress2.6.3の場合）

なんなんでしょうね、この改悪・・・

この記事をブックマークする :

impressが発行する無料のIT専門誌「IT Leaders」が届きました。



とりあえず中をパラパラとめくってみると、英語のページがあったので「これは新しい！」と思っていたら目次だけでしたｗ

内容はITエンジニア向けで、僕が間違って3年購読している日経SYSTEMSと似ていますが、こちらの方が薄くて読みやすいです。

どちらの雑誌も技術的な記事が多く正直僕の領域とは外れていますが、お客様に提案する立場である以上「トレンドを知っておく」というのは必要だと思って購読する事にしました。

無料なので暇つぶしと思って読んで見るのもいいかもしれません。

ちなみに、IT Leadersの内容は同名の公式サイトで読むこともできるそうです。紙嫌いな方やエコな方はどうぞ＾＾

この記事をブックマークする :

先日、Yahoo!検索スタッフブログに「リンクスパムとして報告されたURLのほぼすべてが「スパム」」という記事が掲載されました。

これによると、Yahoo!検索 サイトエクスプローラーのリンクスパム報告から報告された数万件のURLをランダムに抽出し、目視チェックを行ったところ、ほぼすべて（90％以上）がスパムサイトという結果だったそうです。

スパムサイトの定義は

• アフィリエイトのみで中身がないサイト。
• ある特定のサイトへの誘導が目的のサイト。
• 自動で作成された文章に、アフィリエイトを掲載しているサイト（いわゆる「ワードサラダ」）。
• 他サイトからの引用で記事を作成し、アフィリエイトを貼り付けているサイト。

ということだそうです。

Yahoo!ではこれらのデータをスパム判定機能の精度向上データに利用したり、適切なランキングやインデックスの作成に反映させるために利用しています。

ということは・・・
逆に言うと現在は報告を受け、目視しないとこれらのスパムサイトを排除できないということになるのでしょうか。

早いとこ高い精度で機械的にスパムサイトを排除できるようにして欲しいものです。

この記事をブックマークする :

iWPhone WordPress Plugin and Theme入れました！

が、確認する方法がない・・・

どなたかヘルプ！
（OKかNGかコメントしていただけると助かりマス）

この記事をブックマークする :

タガヤっす。

昨日、友人の経営者から電話が。
「仕事の話じゃないんやけど・・・」と控えめに会話がスタート。

どうやら仕事で利用しているリンクステーションが起動しなくなったらしいが、HDD自体は問題なさそうだという。

リンクステーションは、Linux+Sambaで動作していると、どこかで読んだサイトを思いだし、どのように救出するか説明したが、どーやら本人にはできないらしい。　そりゃそうだ(汗)

ってことで、事務所に持ち込んでもらって分解した。
＃写真撮っとけばよかった(汗)

Explore2ｆｓというソフトで参照しよーと思ったが動作せず。
しゃあないので、VMWareで動かしているLinuxに外付けHDDとして認識させる。

認識できた。
さてSCPで吸いだそうとして思った。

日本語のファイル名が文字化けてしまっていて、元のファイル名がわからんので不便だと。

ここからが長かった。

SCPではなく、FTPをダウンロードするも、FFFTPはUTF-8には対応してなかった。SCPソフトでUTF-8のファイル名をShift-JISに変換してくれる便利なソフトは無償ではないらしい。

すると、FFFTPでUTF-8に対応しているものがあるものをサワヒサが発見してくれたのでダウンロードする。

LinuxにはFTPサーバはセキュリティ上の理由で使わなくなったので入れてない。　Proftpdをインストール、設定する。
しかしFTPでログインできずにハマる。

ネットで調べて、/etc/ftpusers に記述されているユーザーではログインできないということが判明したので、記述を削除すると、文字化けすることなくダウンロードできるようになった。

これをもう１台持ってきてもらった外付けHDDに移して作業完了。
もっとあっさり完了するかと思ってナメてた。

いやー、たまに色の違うお手伝いができると気分転換にいいなｗ
特にハマると、脳みそがグルグルと動いてる感じがしてステキ。
＃あまりにめんどくさくて、途中で投げ出そうと思ったがｗ

でも、ホンマにたまーでいいな（・∀・）

この記事をブックマークする :

タガヤっす。

ウチの社内でPHPのお勉強として、EC-CUBEの読解とカスタマイズを課題として提供しています。　書き方がオープンソースの中でも群を抜いてキレイで、オブジェクト指向がしっかりしています。

実はそこで発見した脆弱性があったのです。
セミナーでは少しお話しましたが、SQLインジェクションが可能になる記述があったのです。

それが先日、フィックスされたようです。
http://www.ec-cube.net/info/080829/

いやーよかった。
この手の脆弱性をBlogで具体的に指摘したりすると、EC-CUBEを運用しているショップさんが標的になります。　逆に未だに対応していないショップさんは、このパブリックになったアナウンスをしっかりみて適切な対処をしてください。

ちなみにこの脆弱性を発見したツールは、Googleから無償で提供されている「RatProxy」です。

最近は便利なツールが無償で公開されています。
ロックオンさん、しっかりセキュリティマネジメントしておかないと大変なことになりまっせ。

この記事をブックマークする :

タガヤっす。

今日、ケータイに４通もスパムメールを送られて気分悪いです。
ちょいとおしおきしてやろうと調査してみた。

—
BEGIN:VMSG
VERSION:1.1
X-IRMC-STATUS:READ
X-NEC-STATUS:
X-IRMC-TYPE:INET
X-IRMC-BOX:INBOX
BEGIN:VCARD
VERSION:2.1
N:
TEL:
END:VCARD
BEGIN:VENV
BEGIN:VCARD
VERSION:2.1
N:
TEL:
END:VCARD
BEGIN:VENV
BEGIN:VBODY
From: in-the-mix@lobemixxmbga.jp
To:
Cc:
Subject: =?SHIFT_JIS?B?gZ2BnW1peHmDUoN+g4WDaoNlg0KPtZHSj/OBnYGd?=
X-Keywords: FR0/TO
X-NEC-Res: ;;;;
X-NEC-From: OK
Date: Mon, 20 Oct 2008 17:42:00 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary=”mimemk00″

–mimemk00
Content-Type: text/plain; charset=Shift_JIS
Content-Transfer-Encoding: 8bit

mixyコミュニティより招待状が届いています。
URLにアクセスして承認手続きをしてね！
(ログインキー有効期限は12時間以内です）

http://mix20.net/mb-mi/

～～お知らせ～～
おかげ様でmixy会員300万人突破！

(ログインキー有効期限は12時間以内です）
http://mix20.net/mb-mi/
–mimemk00–

END:VBODY
END:VENV
END:VENV
END:VMSG
—

ケータイのフィルタをかいくぐる方法が！！

in-the-mix@lobemixxmbga.jp

このメアドがミソ。

ボクはPCからのメールを受信してません。
それで不便な場合、別途ドメインを書いて許可しています。

モバゲーはケータイサイトとして成功しているサイトなので、研究用に登録していました。そのときに許可した設定が生きています。

で、このフィルタの設定が、大抵「後方一致」なわけです。

後方一致とは、後方から文字列が一致すればOKってことです。
つまり、

ボクが許可したドメイン
「mbga.jp」

今回スパム送信業者が語ったメアド
「in-the-mix@lobemixxmbga.jp」

後ろから見ると、確かに
「mbga.jp」
が書いてあります。つまり、この送信元はOKと判断されてしまったわけです。

ちなみに、こんなドメインは登録されてるわけないのでスルーです。

サーバをトレースします。

フィリピンの業者が持ってるIPを使っています。
つまりサーバはフィリピンで管理されている可能性が高いです。

さらに、
21番、22番、80番ポートが開いてますので、FTPポートに対するブルートフォース攻撃で、このサーバを無効化できると思います。さらに、FTPからバックドアを仕掛けてroo(ry

おっと。
ここまでやってしまったら、ボクが犯罪者になってしまいますので。

このサーバで動いてるドキュメントを調べたら、サブディレクトリにたくさんのサイトが動いてました。そこでは、空メールを送らせるためのメールアドレスが仕込まれています。そのドメインを調べると、イギリスのドメインで、でもIP調べるとINFOWEBだったりして、結局東京にサーバがあるみたいですネ。

他にもたくさんの空メールの送信先であるメアドを発見しましたが、いちいち調べてられません(汗)



男性諸君！

エロい気持ちで簡単に空メールを送るのはやめよう(汗)


あと、実況しながら事務所でトレース作業をしてたんですけど、



「そんなこともわかるんですか！？　スゲーーー！」とか言わないで(汗)

み、みんな知ってることだと思ってたボクが恥ずかしくなるじゃないかっ！！

ドメインからIPアドレスを見つける
IPアドレスがドコのか調べる
→ これで所有者と場所が特定できる（上位回線）

具体的にIPアドレスの使われ方を調べる
→ サーバに合法的にブラウザでアクセスする
→ このときにトレースルートしておく

これだけやれば、大抵の情報を得られる。

あと、適当なサブディレクトリを入力してみる。
→ エラー内容で環境が推測できる

これで、攻撃手法を特定できる（・∀・）
いや、しないんだけどネ。

今日見たサイトは素人が作ったしょぼいサイトだったし、どーやらそういう類の人たちが使うサーバみたいなので、攻撃しても楽しいことは一切ないと判断したので、もう放置ですネ。

ボクのケータイから「mbga.jp」を受信許可を削除して、この一件は終了でーす。

◆

余談：

世界中のサーバには、 root kit と呼ばれるツールが仕込まれてるものがあります。　普段は静かに設置者の意図に合った仕事をしてるのですが、root kit を仕込んだクラッカーがひとたび行動を起こすと、そのサーバたちから一斉に攻撃対象へ向けて、いろんなパケットを送信したり、ブルートフォースしたりするという、大変 便利な 怖い 仕組みがあります。

日本人は総称して「田代砲」と呼ぶこともありますｗ

クラッカーは、ECサイトじゃなくスパマーを相手にいたずらすればいいんだよ。　だって向こうも簡単に被害届けとか出せないから、やりたい放題だとオレは思うんだ（・∀・）