あとでくるな

こんにちは。
水神です。
なんかテンション高いです。

独り言多いです。
どたばたしつつも、なんとか仕事完了。
いや、概ね完了。

よいよい。
けど、ちと寝不足。
後でくるな。確実にくるな。

昼から何してよう。
お絵かきその２でもするか。
その１は誰がどう見てもいまいちだし。

メダルに税金投入

五輪支援必要

自治体の支援とオリンピック基金でまかなっている現状では、
徐々に施設を閉鎖せざるを得ない環境に追い込まれている。
国民全員の応援をいただいて選手を育成していく環境づくりが必要だ

小坂文科相の弁。
うむうむ正しいの。
これはつまり、税金投入ということだの。

新幹線なんて作ってないで、スポーツ振興した方がよっぽど経済に貢献する。
元気な人が増えれば、病気も寝たきりの人も減るのだ。
是非やっていただきたい。

メダルはその結果ついてくればよい。
決してエリートのみのための施設など作らぬように。
...作るんだろうな。まあ、それはそれで反対はしないけど。

お絵かき

こんばんは。
水神です。
一日お絵かき。

はぁ。
ぼくには向いてないです。
お絵かき。

そのあとに大量の書類書き...。
厳しいっす。
眠いっす。

それも明日までだ。
よかった。
やっと解放される。

宇宙人いるかもしれない星ベスト10

宇宙人いるかもしれない星ベスト10

ワシントン・カーネギー研究所の
マーガレット・ターンブル氏ら米国の宇宙生物学者が発表した。
条件は次の通り。

液体の状態で水が存在できる惑星を持っている可能性が高い恒星。
惑星を作るような金属質の成分が少なくない恒星。(つまり少ないのは除外)
光が明滅したり、若すぎたり古すぎたりしない恒星。(つまり安定した恒星)

その中になんと、エリダヌス座のイプシロン星が入っているではありませんか。
これでぴんと来る人はかなりのミスター・スポックマニア。
ちなみにぼくはぴんと来ません。

で、このベスト10(10内のランキングはないとのこと。)は何で出てきたかというと、
これら星は、米航空宇宙局（ＮＡＳＡ）が２０１４年に打ち上げを予定している
地球型惑星探査衛星（ＴＰＦ）で重点的に観測されるとのことだ。

つまり、調査対象を絞った結果というわけだ。
うむうむ。
是非ミスター・スポックの故郷がどんなところか調べて頂きたい。

ミスター・スポックにこだわるのは、感情という別な本に書いてあったため。
何が書いてあったかは、多分そのうち書くでしょう。
何が見つかるか楽しみ。米国には軍事ではなく宇宙開発に力を注いで頂きたい。

捕らぬ狸の皮算用

捕らぬ狸の皮算用

金メダル１ヶ。
今回のオリンピックの日本がとった全メダル数だ。
応援団長は目標５ヶだったそうで、日本国民にお詫びするゆうてた。

どっかのマスコミは７，８ヶゆうてた気もするが...
数の根拠はどっから来たんだろうね。
まあスピードスケートで１，２ヶくらい取れたかもしれないけど。

ジャンプはどうみてもトップ３には入りそうな雰囲気なかったし、
クロスカントリーは出場して満足。な雰囲気。
男子回転(スラローム)で、相当運がよければ１ヶ。

そんなもんでは？
目標は３ヶが正しい数字だと思うけど。
まあ、いずれにせよこれそこまさに、捕らぬ狸の皮算用。

でもまあ、ごくろうさま。
きっと精いっぱいがんばったことでしょう。
特に女子カーリングはすごかったの。最後の数試合。

別に謝る必要はないと思うけど。
謝るとしたら国民にではなく、出られなかった選手に。が正しい気がする。
応援団長なら謝るよりか選手を労(ねぎら)ったらどうかと思うぞ。

[情報SEC]第８回 セッションハイジャック

第８回　セッションハイジャック

言葉からするに、セッションを乗っ取るということのようです。
セッションとは、通信のつながりのこと。
電話と同じです。

受話器とって、電話番号打って(選んで)、通信ON。
相手が出るのを待つ。
出たら、もしもし。相手が目的の人かどうか確認して(相手も確認して)お話開始。

で、終わったら、じゃあね。とお話の終わりを確認して、電話を切る。
この電話がつながって切られるまでがいわゆるセッションです。
これはTCPで使われます。

UDPの場合は送りっぱなし。
黙って帰ってくるのを待ちます。
もし、相手が返せないようなら、そんなポートないとエラーを返してきます。

って、これメールですな。
送りっぱなし。黙って返事待ち。
もし返せない(アドレスがない)なら、エラーを返してくる。

そうか、メールはUDPで、電話はTCPか。
おもろいの。
この二つの手順は通信の基本だしの。(TCP/IPだけではなく。)

そーいや、最近通信といえばTCP/IP(UDP/IPとはいわんの。)だけど、
ぼくが勉強してた頃は他にもいくつもあった。
すっかり姿を消してしまったの。ちとさみしい気もするが。ただしい気もする。

えーっと、以上前ふりです。
TCPのセッションハイジャックとはこの電話をむりやり本当の相手から奪って、
あたかも、本当の相手かのように振る舞い相手をだます。

UDPの場合も一緒で、メールの返事を本物よりも先に返すことによって、
相手との情報のやりとりを奪うもの。
おおざっぱかの。本当のところ知りたい人はちゃんと勉強してください。

でもこの話をとっかかりに通信手順の図を見れば少しは雰囲気つかめるでしょう。
あと、arpのセッションハイジャックも簡単に。
arp(あーぷ)とは、IPアドレスからMACアドレスを調べる通信手順。

けどこれいちいち調べるのもめんどくさいので、一度調べたものは、
自分自身で覚えておきます。
windowsでもコマンドプロンプトでarp -a と打てば出てきます。

で、arpのセッションハイジャックはこの情報をうその情報に書き換えるというものです。
このあたりは通信を制御するOSも対策をいろいろ凝らしているので、
最新のにしとけば、大概問題ありません。

さて、最後に今一番興味を持たれているセッションハイジャックについて。
Webのセッションハイジャック。
Webでのセッションとはこれまでのセッションとはまったく違うものです。

Webは一枚のWebページ(html)をダウンロードすると通信が終わります。
http1.1では、画像なども同一セッションで取得することもあります。が...
まあ、よいです。いずれにせよページ構成要素を取得すると通信が終わります。

セッションが切れます。
認証なんて不要だった古き良き時代はこれでよかったのですが...
例えば、銀行にログインして、振り込みページ行って、振込先選んで...

その間に何度も通信をしなければなりません。
ユーザにページが変わるたびにログインさせるわけにもいきませんので、
これを何とかする必要があります。

すでにログイン済みであることを相手(サーバ)に自動的に知らせる必要があります。
この手段として一般的なのは、cookie,URL,hiddenフィールド(form)に
これを入れておくようにする方法です。

しかしまあ、このいずれも見ようと思えば誰でも見れるので、
そのままID・パスワードを生で入れておくようなタコなシステムは作ってはいけません。
Webの初期の頃はhiddenにID・パスワードが生で入ってるタコなシステムがいくつもありましたが。

hiddenは最低です。セキュリティ的にというよりは、プログラミング的に。
かなりかっこわるいです。しかも全部のページにhidden入れねばないので面倒です。
途中にリンクでのページ移動があるとセッションが消えます！。...さいてー。

URLもブラウザの上んところに露骨に出てます。
出てるんだけど、携帯とか(今のは使えんのか？)cookieが使えないシステムの場合、
しかたなく使うこともあります。

cookieは比較的ましです。
ブラウザ閉じれば消えるようにすることができるからです。
できるというのは、ブラウザ閉じても消えないようにすることもできるということです。

現に、一度ログインしたら一週間くらいはログイン不要でつながるサイトとかもありますし。
こういうのは、ブラウザのcookieみればセッション情報とれます。

IE6.0(&WindowsXP)の場合、ここに入ってます。
￥Documents and Settings￥ユーザ名￥Cookies
テキストファイルなので、開いてみてください。山ほどあるでしょう。

で、これをごそっと持っていって、調べてみればID,パスワードが分かるかもしれません。
でも分かったらそれはかなりタコなシステムです。
通常はID・パスワードなんてcookieに入れません。上述の通り危険なので。

そもそもcookieだろうが、hiddenだろうが、インターネット上を生で通ることには変わりません。
社内システムで、性善説に立つのであれば、よいですが、
インターネット上で使うんなら、SSL入れましょう。(めんどーだけど。)

なんか、今日のは長いね。余計なこと書きすぎかの。
さて、ID・パスワードをcookieに入れずに何を入れるのだ。
セッション番号です。

ログインされたら、ランダムに見えるセッション番号をクライアントに返します。
クライアントは、そのサイトを移動するたびにcookieを送ります。(cookieとはそういうもんです。)
サーバはそのセッション番号を見て正しいものかどうか確認します。

単に正しいかどうかだけでなく、その番号からIDが分かるようでないと困るので、工夫します。
方法はいろいろあるのですが、例えばDBにセッション番号とユーザIDが対になってる一時レコードを作って、
セッション番号からユーザIDを調べたり。(DBなしの方法もあります。)

セッション番号の作り方もいろいろ。
単なるランダムだと総当たり攻撃で、運良くヒットすることもあるので、
それを回避したり、毎回違う番号を割り当てるために時間を加えたり。

水神がよく使うのは、ID+クライアントのIPアドレス+認証時刻。
この文字列を非可逆暗号化(いわゆるハッシュ)して、それをセッションIDとして使います。
これだと、IPアドレスまで偽装しないとセッション番号だけ奪っても使えないので。

ちなみにハッシュはMD5を使ってます。
MD5な理由は単にライブラリがそろってるから。
あと、かならず32文字の英数字になるので扱いやすい。(他のも一緒か？)

Webのセッションハイジャックを防ぐ方法は、なんといっても暗号化です。
SSLを使いましょう。
あとは、上述の通り、セッションIDを使い捨て＆使い回し不能＆推測不能にすること。

お疲れ様でした。
水神も疲れました。
次回はもう少し短めで行きます。

見る位置...違うと思います

見る位置間違えてないか？

イナバウアーといえば、荒川静香だけど、
この写真ちと間違ってると思うのですが。
もうちょっと角度をずらした方が...

イナバウアーは、イナ・バウアーさんが始めたものらしいね。
どんな人だったんだろ。
オリジナルも見たみたいものだ。

dos2300円

こんばんは。
水神です。
雨ですが、床屋行ってすっきりです。

どうも前髪がちくちくしてると、いらいらする。
さて。床屋行くのに雨なので、今日は車でした。
ノンオープン(雨だって。)コペンで、近くの電気屋に。

駐車場ただ借り。
も悪いので、一応なんかないか見に。
んー、頭を休めるのにはゲームがよいというので、なんかゲーム探しに。

ちと迷ったが、まあいいか。
で、床屋へ。すっきり。して、再び電気屋。の駐車場へ向かう。
ゲームか。頭を休める(心を休める)にはよいの。

暇つぶしゲームといえば、モンスターハンターだな。
ということで、モンスターハンター２(dos...ってなぜ？)を買う。
6800円という値札。

ポイント2000円分くらい使うと、5000円だな。
と思ったら、2300円。
...へ？

あ、ああ。はいはい。
安いね。また。
レジのお姉さんにお金を渡して、おつりとレシートもらう。

レシート見ると、ゲームは4980円だったらしい。
...売り場の値札と違うんだが(しかもこれ発売されてからまだ二週間)。
間違ってないか？お姉さん。

まあ、いいや。
新ゲームが2300円で手に入ったし。(予想よりポイントが多かった。)
頭を休める手段としてはよいしの。

むだに生きとる

流れゆく
ルーチンワーク
こなす日々
生きてる時が
過ぎゆくままに

...むだに生きてる気がしてきた。
今日という日は、今日しかないのに。
明日も生きてるとは限らないのに。

机上の空論

机上の空論

自民党の中川政調会長。
将来的な消費税率は、どんなに高くても10%以内だと思う。
...根拠は？

財務省の節約路線だけではダメで、名目成長率4%以上の経済成長が必要。
そんな政策をとれる人が次の総理になるんだそうだ。
おもろいの。

ここでの言葉は、「将来的な」がみそ。
数年後に上げられると思われる、直近ではない。
ということはだ、"平均"4%が必要。

不況時の0%成長の時期まで織り込んで4%。
好況と不況が同程度あるとすれば、最高な時は8%成長がいるってことだ。
...そんな中国じゃあるまいし。

まあ、てきとーなことゆうとるんだから、あまりまじめに計算してもしかたないけど。
10%なんてありえないでしょ。今の財政状況と今後の少子高齢化を考えれば。
じじやばば、そして子供たちの小遣いからもちょっとずつかすめ取る消費税はもっと上げねば。

政治家がそんな不誠実なことゆうてるから、いつまで経っても、
借金が減らないのだ。
民主党よりはましかの。直接的に民間人の生活を破壊しないだけ。

間接的にはかなり破壊的だが。
消費税5%->15%だと、こどもの小遣いを1000円/月とすれば、100円増税。
小遣いは実質950->850円。当然親は消費税分上乗せなんてしない。(親も苦しいのだ。)

当然お父さんの小遣いも同率(10%)で実質減額です。
夕飯のお肉もきっと10%減るでしょう。
要は、給料が10%減ったみたいなもんだな。...厳しい。かなり厳しい。