学生さんこそ行くべき＞勉強会

よしおかひろたかの「初めての勉強会」:第3回 学生諸君、「就活としての勉強会」に参加せよ - @IT
よっしーさんの「初めての勉強会」の第3回、一言でまとめると「学生さんこそ勉強会に来い、濃い、恋(ヲ」という感じ？

確かに学生さんこそ各地で開催されている勉強会に参加して欲しいと思います(先日開催されたまっちゃ445勉強会のアンケートにも、自分は「学生さんこそ来て欲しい」と書いていますし)。

一般的な就活だと、確かに偏った情報しか得られにくいかなぁ……と思います。何せ企業としては良い人に1人でも多く来て欲しいのが本音なので、なるべく良く見せようとしているでしょうし。

でも仕事に就く(特に企業に入社する)というのは、決して良い事、嬉しい事、楽しい事だけじゃなく、やっぱり辛い事、苦しい事、悲しい事、腹立たしい事もあります。でも全てひっくるめて「あー、自分はココに来て良かった。総じて楽しいし、天職だ。」と思えるような仕事に就いて欲しいと思います。
そのような「良い就職」をする1つの手段としての勉強会への参加も十分アリだと思います。特に懇親会はこれでもかと言う位に本音トーク炸裂しますし(マテ)。
(もちろん未成年の飲酒はダメですよ。)

よっしーさんが記事で触れている予習云々などについては、どうせ一夜漬けで詰め込んでもボロが出るだけだし、最低限話題を理解する上で必要なキーワードなどを抑えておくだけでも良いと思います。むしろ知ったかぶりされるより「今はよく分からないですが、興味があり勉強したいので、良い資料があれば教えて下さい」と素直に質問してくれた方が、「あー、この子は素直で向学心があって良いなぁ」と良い評価に繋がったりします。

それとよっしーさんの記事には触れていない点……それは「予算(参加費用)」について。極一部の例外はあるとして、基本的に社会人と比べると懐は寂しいという方も多いのでは？
勉強会の中には、学生さんこそ積極的に参加して欲しいという想いから「学生さん支援制度」という事で、参加費割引や交通費の一部負担制度という学生さんに優しい制度を準備している処もあります。
(自分がよく参加する「まっちゃ139/445勉強会」には、両方の支援制度が用意されています。交通費負担の方は他の社会人参加者達によるカンパで成り立っているんですが、自分も小額ながらカンパしていたりします。)

やっぱり学生さんこそ、勉強会に参加して欲しいなぁ……と思います。

ブルートフォースかよ orz

ヤフオク「ID乗っ取り」で不正出品、被害は5000件に - Internet Watch

……って中国からのブルートフォース攻撃かよ。 orz
もうね、いかにもな結果に小一時間(ry

まっちゃ445懇親会の余談w

実は懇親会スタート前に自分とばけらさんと2人してNDSを広げていたんですが……アレはアヤシイ事をしていた訳じゃなく、単にDS版QMAのフレンドコードを交換していただけだったりします(笑)。

フレンドコードを登録しておくと、メッセージの送受信ができたりとか、メッセージを通じてアイテムのプレゼントができたりだとか、Wi-Fiを通じた「ともだち対戦」ができるようになるなどの特典がある……と。

フレンドコードは一旦Wi-Fi接続し、メーカー側の認証・マッチングサーバに接続しないと発行されないんですが……これってNDS側のMACアドレスが絡んでいるのかなぁ……と言ってみたり(ヲ

お疲れ様でした＞まっちゃ445勉強会#02

書くのが大分遅れてしまいましたが、先週土曜(9/27)に大田区PiOにて開催されたまっちゃ445勉強会に参加してきました。スタッフ、講師、参加者の皆様、当日はお疲れ様でした。

以下雑感など。

目覚ましはhitoさんによる通称「Kaminsky Bug(CVE-2008-1447)」のお話と、大垣さんの「PHPの脆弱性」のお話、それとゆまのさんの「リバースエンジニアリングチャレンジ」の体験記、それとまっちゃさんの「わっふるよびちしき」の4本立て

まっちゃさんのネタを除けば、いずれもタメになる話題……「へー、ほー、ふーん」といった感じで感心しきり

まっちゃさんの「ネタ」は……これは素直に笑えました(ヲ　まぁ当人曰く「次回から実施予定の『ロシアンルーレット式ライトニングトーク』のサンプル」との事らしいです

午後は「わっふるをたべながらわっふるわっふる」という事で「わふ」尽くしw

……マジメに書くと、徳丸さんの「WAF入門」、竹迫さんの「現実的なWAFモジュールの実装と運用」、そしてパネルディスカッション（コーディネーターが園田さん、パネリストが竹迫さん、徳丸さん、大垣さん）の3本立て

徳丸さんの話はWAFのデモも交えつつ、WAFの効果と限界、実際に導入する場合の要注意点などを説明

よく勘違いされている方もおられるのですが、PCIDSS v1.1でもWAFの導入は必須ではない(アプリ検査かWAFの導入・実装のいずれかと明記されている)点と、コスト高の割には効果は……???、的な要素がある事から、導入しようと思った時には「よーくかんがえよーう」って感じで

竹迫さんの話は……TAKESAKO節炸裂って感じで思いっきり笑わせて頂きました(マテ)　生TAKESAKOを堪能できただけで自分は満足だったり(コラ)

徳丸さんの話とも少しだけ被るんですが、WAF導入の最大の障害は「対費用効果」に尽きるんですが、わっふるもじゅーる(wafful.org)はApache環境限定ながら無償かつ気軽に導入できるという点から、まずはコレから試して実際に運用してみて、本格的なWAF導入が必要だねという結果が出てからでも(少なくとも現時点では)遅くはないと思います

パネルディスカッションのメインディッシュは、例の「噛み合わない議論」だった訳ですが……結論から言うと「言葉の問題」(まぁ、この話に関しては、昼休憩の際にヤマガタさん、ばけらさんと3人で飯を食べに行った時に「予言」をしていたんですが、ものの見事に的中w）

懇親会は……何故か前回の時と同様、滅茶苦茶「濃いぃ」席に座ってしまった(笑)

何せ講師陣全員(徳丸さん、竹迫さん、大垣さん……後で園田さんも参戦)、ヤマガタさんにばけらさん、それと佐名木さんまで(後は自分とスタッフでもあるヴァルカンさん)……白熱トークと言うか場外乱闘(マテコラ)、でも十二分に堪能させて頂きました

第3回(11月開催予定)にも参加できるようなら是非参加したいと思います。

個人的には店頭で手に取って買う方がベターかと＞セキュリティ対策ソフト

Nortonをかたる偽ソフト、正規ブランドを悪用する新たな手口 - ITmedia

自分でも確認してみたのですが、確かにスポンサーリンクの処に件の危険なリンクが表示されていますね。

(注意!! -CAUTION!!-)
絶対に興味本位で検索したり、リンクをクリックしないで下さい!!
万が一該当するリンクをクリックした場合、当方では一切責任は負えません!!

最近はアンチウイルスソフトを始めとするセキュリティ対策ソフトもオンラインで提供される(しかもパッケージ製品と比較して安価な)ケースが増えてきていますが、個人的にこの手のソフトは、信頼できるお店で実際にパッケージを手に取って買った方がベターだと思います。
(本当の意味での「パワーユーザー」でない限り、正直オンライン版はオススメしたくないのが本当のところ。)

それと「無料(Free)」で提供されているモノもありますが、一部機能がオミット(除外)されていたり、何かしらの制約を受けたりと、「分かっている」人でないと使いこなせないケースが見受けられますので、コチラも正直オススメしないです。
(悪いモノだとは思いませんが、やはりコチラも本当の意味での「パワーユーザー」でない限りはオススメしたくないです。)

Firefox 3.0.2/2.0.0.17 出ました

「Firefox 3.0.2」公開、5件の脆弱性を修正 - Internet Watch

3.0.2のリリースノートはコチラ、2.0.0.17のリリースノートはコチラ。

実はFirefoxのメジャーバージョンを上げたのはつい先日だったりします(ヲ
(いやー、Tab Mix PlusのFirefox 3正式対応バージョンが出てくるのを待っていたんですが、何時まで経ってもベータ版止まり……これ以上ガマン出来ないという事で、ようやく重い腰を上げた次第(苦笑)。)

3.0.2の方はセキュリティ修正対応だけでなく、色々なバグ対応が行われています。一方2.0.0.17の方はセキュリティ修正対応だけです。

ただ両方共セキュリティ修正対応の中には危険性が高いセキュリティホールへの対応が含まれていますので、お使いの方は速やかにアップデートしましょう。

このお休みの間……

22日もお休みを頂いて、結果4連休となりましたが……ITの事もセキュリティの事も頭の片隅から追い出してスッカリ遊びモード。

殆どゲーセンに入り浸っておりましたが、何か。orz

まぁ地元の仲間と楽しい一時を過ごせた事は良い事だし、気分転換しないと頭がメルトダウンしそうだったものですから。
(10月からちとややこしい事に取り組まなくちゃいけないもので……そう言った意味では、丁度今はある種のモラトリアムなのかもしれませんが。)

DS版QMA買った

多分(遊びの方で)リアルに会っている人達なら……

「お前、いつの間にDSなんぞ買った?!」

……と思われるでしょうが、実はDS(Lite)は先月に買っていたりします。
尤も一番立ち上げていたのがDSテレビだったりしますが(マテ)。

元々DSでやりたいゲームも無かったので、他の人達が「DS、DS」と騒いでいた頃は華麗(?)にスルーしていた訳ですが、遂にやりたいゲームが出てくるという事で買った次第。

で、そのやりたいゲームとは「Quiz Magic Academy DS」、はい、QMAのDS版です。
元々アーケードの方は時々プレイしていた(※1)訳ですが、DS版の方はマジメに1日1回はプレイするようにしています。

何が嬉しいって、Wi-Fi対戦が無料で出来るって事。先日のお休みの時は朝7時頃に繋げてみたんですが……シッカリ8人全員(※2)揃う^2(笑)。

強いて難癖をつけるとすると、マッチングサーバが混雑する夜だと認証できなかったり、途中で切断されてしまうケースも見受けられる事くらいでしょうかね。
---
(※1)しかも月1～2回程度。で、金を注ぎ込んだだけの「エセ賢者」共を修練生とか初級魔導師などの低ランクで圧倒的に叩きのめすのが大好きと言う、何とも悪趣味なプレイだったり(苦笑)。しかも学籍番号の頭が"A"(QMA1時代からの引継ぎカードを意味する)とか"B"(QMA2時代からの引継ぎカードを意味する)だから始末に終えない(マテコラ)。
(※2)アーケード版は最大16人までなんですが、DS版の場合は仕様上最大8人までとなります。

体調悪し orz

朝晩は涼しくなったのは嬉しい事ですが、見事に体調を崩しました。orz
午後は病院へGo!!という事で。

……まぁ本業の方もようやく落ち着いたので、一息吐けとの事なのかもしれませんが。

月刊MS 2008/9号

2008 年 9 月のセキュリティ情報 - Microsoft
予定通り4本リリースされました。今回は適用すると再起動が発生しますので、Microsoft Update前に開いているファイルを閉じておきましょう。

……にしてもMS-Office用のセキュリティ修正プログラムって、何でサイズが大きいんだろうか(涙)。
(ごく一部の環境にて、ダウンロード完了までえらい時間がかかった訳で。)

一山超えてマッタリモード

毎年恒例の「半年に1度のハレの場」も無事終了し、現在は次に向けてマッタリモードで仕込み中。

かなり長く(25分ほど)喋ったんですが、概ね良い評価で一安心。

月刊MS 2008/9号の予告

マイクロソフト セキュリティ情報の事前通知 - 2008 年 9 月 - Microsof
ちょっと書くのが遅れてしまいましたが、今月の月刊MSは明後日9/10(水)になります。

今月は計4本(OS、Windows Media Player11、Windows Media エンコーダー、MS-Officeが各1本ずつ)になります。
先月分の本数が多かった事から考えると、少なめでホッとしたいところですが、今月分は全て「緊急(Critical)」扱いなので、忘れずにMicrosoft Updateしましょう。

セキュリティに限った対応策ではないですが……

Security を意識した発注をするためにはどうしたらいいんだろう？ - ちゃっぴの監禁部屋
ikeponさん/まっちゃさん経由。

建前上は「発注側が責任を持つべき(RFPレベルから挙げよ)」なんでしょうが、現実問題として「そんなの無理!!」という処の方が圧倒的大多数でしょう。

受注側がそんな状況をリスク(※1)として認識し、何とか回避したいと思っているのなら……

1. RFPが出た時点で発注側に質問・確認 → RFPを「補完」していく
2. 多段階見積を呑んでもらう(※2)

……という方法で対応するのも1つの手かと。

まぁ両方共にセキュリティに限った話じゃない(と言うより、PMBOKに代表されるモダンプロジェクト管理手法では必ず出てくる話題)ですけれどね。
特に2.の「多段階見積」は……

要求仕様をまとめる → 仕様が肥大化 → でも発注/受注額は固定 → 人手も時間も予算も圧倒的に不足 → プロジェクトが火を噴く → マズー

……という状況を回避するために、受注者側が採れる数少ない対策の1つですしね。
(結局セキュリティ要件も要求事項の1つの要素に過ぎず、沢山作り込もうとすればそれだけ人手も時間も予算もかかる……と。セキュリティ要求仕様が含まれていないRFPってのは、当然発注者側もその辺にかかるコストは全く考えていない(※3)事を示す「危険信号」の1つですし。)
---
(※1)ここで言うリスクとは「経営視点からのリスク」の事を指します。
(※2)入札形式で金額の変更が極めて困難な場合だと、この方法は使えませんが(汗)。
(※3)「水と安全はタダ」じゃないですが、黙っていても開発する側が対策してくれると思っている……と orz