「オプション」を含む日記 RSS

はてなキーワード: オプションとは

2016-05-27

オナ禁するために風俗童貞を捨てた話

20代後半にして彼女いたこと無し。もちろん童貞実家暮らし

童顔ですがイケメンと言われたりもします。身長は平均より下。M体質で可愛い女性奉仕したい。

体系は痩せているが陸上をやっているで少し筋肉質。

童貞なのは人見知りでコミュ症、一人が好きなため。

初対面の人に自分から喋りかけることは殆どない。

2次3次問わずロリコンで、去年の規制までは80Gほどのイケナイファイルを持っていたが

規制時に2次も一緒に全て処分した。

彼女は欲しいが積極的にはなれず、ちなみに彼女ということなら30才前後までは問題ない。

合コンには何回か行ったが怪しいネットワークビジネス系の人と何回か飲みに行ったのみ。

自慰行為ジムに行くため週1~3と少な目?

今はロリ物の漫画円光動画素人物の動画ネットで探しおかずにしているため

自慰行為お金を使ったのは無理やり買わされたTENGAくらいだ。

オッパブには何回か行ったことがあり、それなりに楽しめたこともあったが

前回行った所が大外れだったためそれ以来行く気にもなれない。

つい3日前、自慰行為時間を潰すのが馬鹿らしいのとオナ禁効果に惹かれてオナ禁を決意。

オナ禁(というか射精禁止)するのであればどうせなら生まれて初めて風俗に行ってそれっきりにしようと考える。


から興味はあったが不細工にあたるのが嫌で行ってなかった。(童貞というもの面食いなのだ

ロリ系の店を探したが東京大阪しかないのね・・・

しかJKも好きなため(ハタチまではJKすらババアだと思っていた頃もありました・・・・)

地元イメクラに決定。

初めての方は割引で指名料はタダか…オプションおしっこもつけよう!

出勤表を見てどれも若そうだし可愛いんじゃない?でも顔隠してるしわからんな。

店頭には顔出し写真があるらしいしそれで決めよう。

会社が平日に休みの日、10開店だがこの店は人気らしいので早く出て9時半到着。

すでに先客がいるのか・・・

写真をみて一番かわいい子18歳を指名おしっこNG、非常に残念。他の嬢の写真は正直微妙に見えた。

しかし、この子場合13時半まで待てだと?!

しばらくはオナ禁だし一番かわいい子で卒業したいため待つことにした。

制服10分以上掛けて選び、50分で\13000位の料金を払い自宅に帰ってカップラーメンを食べて待つ。

エロ動画を見てテンションを上げようとするが緊張で起たず、お店で起つか少し心配になった・・・

待つこと数時間、早めに家を飛び出す。

少し腹ごしらえをしてお店に到着、待合室でJK画像(非エロ)をみるが起つ気配なし。

トイレに行くと自分のあそこはかなり縮こまっており皮をかぶっていた。

あぶない、こんなものを見られたら嬢に引かれる!

と思い軽く剥いておく。

20分以上待っただろうか、遂に自分の番号が呼ばれる。

禁止事項の再確認をした後ドアを開けると制服姿の嬢がっ!


めちゃめちゃカワイイアイドル系と書かれていたがまさにアイドル

A○Bにいてもおかしくないくらいのレベル

というか自分の中ではそれより上。

声も可愛く、心の中で軽くガッツポーズしたくらいだ。待った甲斐があった。

の子童貞卒業そしてしばらくの間エロとはお別れ。悔いはない。ホントに。

手をつないぎドキドキでプレイ小屋へ。

部屋は狭くシャワー室と学生机、体育用マットに枕と異様な空間

制服美少女に抱きつかれる。 あれ・・・起たない。

「こういう所は初めてナノです。」と噛みながら告白

なんて言われたかは覚えてはいない

服を脱ぎ全裸女性の前で全裸なんてもちろん親以外は無いよ。

シャワー室で制服美少女に股間を洗ってもらう、起ってきた。よかった。

体を拭いて出ると全裸自分制服美少女だけの世界

本当に何をしたらわからなかったとりあえず裸で制服美少女に抱きついた。

そしてDKをする。オッパブでしたことはあるがこんなかわいい子は初めてだ。

夢その1、スカートの中に入ってクンクンしたい。

スカートの中はいっていい?」とぎこちなくお願いすると笑顔でOK

絶対にこういう場所しか言えない言葉である

これが夢にまで見た行為無臭だが背徳感で一杯だ。

責めることできる?と聞くとまた笑顔でOK。

舐めてくる制服美少女パイズリも体験、そして顔がだんだん下へ。そして遂にあそこへ・・・

フ○ラは夢の中で経験がありそれと結構感じが似ていたことに少し戸惑いながらも

エッチ行為を心の底から楽しむ。

夢その2がかなってしまった。

夢その3ク○ニしたい。

夢その4あそこを生で見たい。

制服美少女に寝そべってもらいおパンツを少しずらす。

あそこが滅茶苦茶きれいで驚いた。ピンク色、毛も少な目。

理想としていたものが目の前に。

無修正ビデオだってここまできれいなのは見たことない。

パンツをずらしてなめる。 味は無味無臭そして少し粘つく。

完全に脱いでもらい無我夢中で観察&なめる

制服美少女気持ちよさそうに声を出す。

かわいすぎるよ。

夢その5 おしり

次にうつぶせになってもらいお尻をなめる

まったく臭くない、もう少し臭くてもいいんだぞ?

お尻に顔を埋めて舐めまくる。

気持ちよがる制服美少女。かわいすぎる。

舐めあいっこを提案

快くOK。性格もよすぎる。

顔に乗ってもらったり夢の様である

その後も美しいあそこを舐めまくった。

途中おっぱいが好きと言われたのでおっぱいに移ったが

オッパブで舐めたことはあるので直ぐに下のほうへ

太ももや付け根も舐める。舌を出し入れしたりすると声が大きくなって俺ってうまいのかも?

勘違いさせてくる。幸せだなぁ。

自分があおむけになりフ○ラしてもらいその光景をみる。

これが現実であることを噛みしめるように。

何時までだっけと思い時間を聞くと思ったよりも短い。というか15分ぐらいしかない。

口に出しても良いかと聞くとやはり快くOK。

また夢が叶いそうだ。

フ○ラに移るがイケナそう。しょうがいか自分でシゴクと先っぽを舐めてくれる。

なんていやらしい制服美少女なんだ!

イケそうになったため、また咥えてもらい自らも腰を動かす。苦しくないかな・・と少し制服美少女の事を気遣う。

あ、でる!体がびくってなるのが恥ずかしい。気持ちさよりもそっちが気になってしまった。

ティッシュに吐き出し。また少し咥えてくれた。

ありがとう


最後にあぐらで向かい合ってお話

靴下を脱いでもらい足でいじってもらいこちらもおっぱいをもませていただく。

最近太ったらしい。それでもスレンダーだし

キスをして来たが口に出したのでDKはせずに一瞬だけ。そして相手の肩で拭う(失礼)

プレイ中は無言が多かったが一緒にシャワー室に入りプライベートな話をする。

制服美少女学生さん介護仕事目指しているそうだ。

そんな素晴らしい彼女に対して少し申し訳なくなる。

変わったお客さんの話や家の話、常に笑顔で喋ってるだけでも可愛い制服美少女あんなことやこんなことをしたんだ。

本当に初めてがこの子でよかった。

でもこんな子がこんな商売をやってるなんて何か闇でもあるのだろうか?

そう考えると罪悪感を感じる

ただ単にエッチな子なんだ、と自分に言い聞かせる。

実は童貞なんだ・・・・と切り出そうとしたがそれはできなかった。

プライド問題じゃなく話の流れでいきなりそんな告白するのはおかしいと思ったからだ。

ブルマジャージに着替えていたが、その格好もアイドル級のルックスだった。

名刺メッセージまで書いてくれてる。

性格、見た目、声、若さ、あそこ

全てが最高だった。

この際挿入無しなんて些細なことだ。

きっとまた来るよ、その時はもっとたくましい人間になってるからね!

その時まで自慰行為エロ絶対禁止だ。

帰宅途中公園の猫に餌をあげてきた。

お前も幸せになれよ。

もう一つ夢があった。

おしっこ飲ませてもらいたかったなぁ・・・

2016-05-26

訪問契約率20%のブラック企業の真っ黒な営業手法を書いてみる

数年前、自分はなかなかのブラック企業営業職をしていた。

某有名なX通信社員起業した会社でした。

成績順に4つのグループに分けられて自分は3ヶ月目くらいからはずっと1番上のグループにいました。

でも、入社半年でじんましんが出てきてきたりまつげがピクピクしたり大変でした。

ブラック企業関連のエントリーを見て、あの時を思い出したので振り返ってみようと思う。

 

体制的なブラックとしては20時間のみなし残業はあるけど実際は40時間くらい残業していたこと。

それに加えて土曜日も無給で働いていたこと。

あと健康保険とかなかった。そんな感じ。ブラックとしてはあんまり凄くないかも。

でも、営業のやり方がきつかった。

 

商材はCDに入っている在庫管理ソフトウェア

フリーウェアレベルだけど価格は120万円から

まずは契約までの流れを簡単に書いてみます

 

雑誌インターネットを使ってのリスト作成美容院接骨院サロン飲食店など)

・非通知設定で電話をかけてアポイント(以下、アポ)を取る。

一定時間をおいて上司アポ内容をアポ先に確認する。

訪問して90分くらい話す。

価格交渉を行う。

契約書をその場で書いてもらって終了。

 

提示した内容の前に大事ポイントが3つあるので補足。

1点目。実際に顧客と話をするのはホームページ新規作成またはリニューアル提案です。

無料ホームページ作成するとうたい、月々のサーバー管理費など別途かかると相手には伝えます

2点目。契約は60回払のリース契約にて行います

3点目、契約後、自社の運営するアフィブログ相手特集し、PVを稼ぐことがこちらのメリット相手に伝える。

 

次に、訪問から契約までの詳細を書いてみます

 

リスト作成

古いホームページホームページを持っていないところをリストアップします。

過去訪問先はデータベースにいれているため訪問して怒られた会社電話して怒られた会社リストから除外。

過去に何度電話をかけていようが怒られていなければ再度電話をかけます

訪問して断られていても、断る理由が時期やお金問題だったなら電話をかけます

電話をかける時は一日100件ほどかけるのですぐにリストがなくなる。

数ヶ月もすれば雑誌ネットも使い切る感じになって、リスト作成がとても時間がかかったなあ。

営業先の地域で良さそうな店があったら飛び込んで挨拶して後日電話する許可をもらったりもした。

 

非通知で電話をかける

基本的に”無料で作るんだから話だけ聞いてよ”というのをゴリ押し

実際100件に電話してアポがとれるのは1,2件くらいです。

電話スクリプトがあっていくら工夫しようが改善しようがアポ率はあんまり改善できなかった。悲しい。

ただ、ものすごく声の可愛い女の子が平均の3倍位のアポ獲得率を出しているのを見て驚愕しました。努力して追いつくことができない存在

非通知でかける理由電話をかけて繋がらないことが多く、折り返しを受けるとコストが増えると判断しているためです。

折り返しの電話を受けて対応するよりかけ続けたほうが良い。

かけまくっているから誰がかけたかもわからないことが多くて時間にロスが生まれる。

この非通知戦略が本当に営業効率がいいのかとも疑問が湧きますが、そこはそういう会社でした。

基本は話ができずガチャ切りはよくあったし、話を聞いてもらえず切られたり、明らかに苛立った声で対応されたり色々あったし辛かった。

 

上司によるアポ確認

営業アポを取るのに必死になりすぎて、アポの内容が曖昧なまま電話で話を終えることがあります

ホームページの話をする」ことと「60分の時間を確保する」ことと「良かったらやってもらう」という相手意思契約率に影響するためその内容の確認上司が行います

「そんなガチなら良いや」と断られることもあり、アポを取った人は祈る気持ち確認電話を見守る。

この選別を乗り越えた場合、話を聞く体制ができている場合が多かったので必要事項だったと思います

営業も雇われて2日目から電話をかけるため適当に話をしてアポを獲得する場合が多いです。

そんなに時間はかからないとか言ったり、ホームページの話をしてなかったり、訪問日時が決まってなかったり、などなど。

また、営業成績が出ていない人はとにかくアポをとりたいと思う。

から内容が相手に伝わっておらず内容確認で泣く泣く撃沈というのもよく見る光景

無料というのを怪しむ人にはこのタイミング費用がかかることを伝えて撃沈する。でもホームページ自体に興味があってそのままアポになる場合も稀にある。激アツの客。

 

訪問営業

アポ先への営業

X通信から受け継がれる営業手法を駆使して相手の購買意欲を高めます

営業ポイントをざっくりと書いてみます

アフィブログアクセスを伸ばして稼ぎたいか特集できる相手を探していることを納得してもらう。

アフィブログの知名度を高めたいか相手ホームページアフィブログバナー広告を貼ることを了承してもらう。

・いずれはホームページ制作事業として行いたいので実績作りで無料で作っていることを了承してもらう。

相手がやりたいことがホームページ活用することで実現できるとイメージさせる。

サーバー管理費とかは絶対にかかるものホームページ運用するなら絶対にかかるものだと当然のことのように言って納得してもらう。

契約対象ソフトウェアリース契約というのをさっくりと伝える。重く伝えると相手が慎重になるのでだめ。

 

これだけの話をすると90分は超えます

しか無料だと思って時間をとって話を聞いていたのに費用がかかる。

120万円から240万円をリースで分割月々60回払い!

普通にやっていたら相手はブチ切れます

なのでいかに、アフィブログアクセスを伸ばすことがこちらのメリットになるかということ。

相手がやりたいことが提案したホームページで実現できることをイメージさせることが営業序盤で重要になります

相手との距離を縮めることはとても有効。なくても取れるけどここを突き詰めれば契約率が数%違ってくる。

 

相手も長く話を聞いてるし、成功体験イメージをして興奮したりするので頭が麻痺して判断力が鈍くなってきます

だんだん周りが見えなくなってどこで話していようが個室でふたりきりで話している感覚になっているか確認

なっていなければトークのミスでかけていると思われている説明提案にもどる。

価格交渉の時間がなさそうならば再度アポをとる。

再度アポをとるよりも初訪問のほうが契約率は上がるのであまりオススメできない。

  

価格交渉

ホームページを、ものすごく欲しいかものすごく必要だという状態にさせれば価格面で熱い勝負ができます

メルマガつけるとかRSSつけるとかスライドつけるとか、FLASHやるとかスマホ対応するとか、ページ数増やすかいろんなオプション理由をつけて価格釣り上げ。

大したオプションでもないのに管理費が月々数万違うなんてことは実際はあり得ないけど、インターネット無知な人は当時は多かったのでここまでくると話を通せます

相手が欲しい機能を決めて、具体的な価格提示してから勝負です。

3万円提示して、1万5千円ならだせるとか言ってる場合は、「オプション削りましょう!」とか「顧客を獲得するためこうしましょう!」とか色々提案提案と言うにはアレだけど。

価格面でどうしようもなくなったら上司にその場で電話します。

「今、こういうお客さんのところに訪問していて、すごい方なんです。こんなにすごい方をアフィブログ特集すればPVも伸びます!ページの話でオプションはこれで金額はここまでならだせると言ってるんですがどうにか値引きとかできないでしょうか。」

とかなんとか。

この茶番。こんな胡散臭い意味あるのかと思うだろうし、俺も思っていたよ。

でも実際に困ったときにこれをやることで契約に結びついたことも多々あるので当時は有効手段だった。

 

そして、上司検討させるため一度電話を切って5分か10分また盛り上げる。

上司からの折り返しの電話を受けて「役員たちが決定した」金額提示

基本はここから下がることはなくなり、そこでできるかどうかで勝負を行います

また、オプションの話をしたり提案を繰り返して、相手が根負けすれば契約

結局4時間話すとか終電逃したとかもあった。

ここまで話すには相手に突っ込める領域に入っているのがとても重要だったから、”自分を売る”ことの意味もわかるし言い方を工夫して営業指導を今もする。

 

契約書に書いてもらう

これがとても面倒。

実際にホームページの話で盛り上がっていたのに契約をするのはソフトウェア

相手ホームページのことに夢中なのでここでそこまで問題になることはない。

でも、金額提示で即OKと価格交渉がなかった場合はここでひっかかることがある。

リース契約書は保証人とかも必要になって面倒だけどちゃんと書いてくれるのには驚いた。

 

以上が契約までの流れ。

トップ営業は20%ちょっと契約率で、下のグループでも10%は取れたりしてた。

1ヶ月で契約取れない人はだいたいクビ。

契約解除の話は部署全体で月に2,3件あるかないかだった。

  

やばかったり辛かったと思うポイント

ホームページ製作の話なのに契約がクソみたいなソフトウェアで高額リースだったこと。

・そのことを就職時の面接で伝えられなかったこと。

・週6日勤務なのに週5扱いにされてたこと。

残業代休日出勤代がみなし残業全然足りていなかったこと。

会社用の電話休日でも携帯させられていつ電話がなるかわからなかったこと。

・非通知でかけて怒られたりガチャ切りされたこと。

無料じゃないのに無料と伝えてたいたこと。

リストを作ろうとしても過去訪問した店ばかりになり新しい店を探すのが難しくなっていたこと。

アフィブログアクセスなんてほとんどなかったし、社内の誰も期待していなかったこと。

・実際に作るページは高く見積もっても50万円程度のものだったこと。

詐欺だと罵られたこと。

契約して半年してもトップページすらできていないケースが多かったこと。

アポイントの日時に訪問したら誰もいなくて店の前で1時間待ったこと。

・新しく入った人が1ヶ月生き残る確率が30%くらいだったこと。

・身体に変なブツブツができたり、目がピクピクしたこと。

・残っている人も心や体に異変が起きていたこと。

・全体的に契約数が落ちていって会社全体の雰囲気もピリピリしていたこと。

・退社後に労基署相談して超過勤務代を貰えるかと相談して勤務のログも提出したけどダメだったこと。

・退社して長くないうちに会社が潰れたこと。

被害者の会みたいなのが結成されていたこと。

 

良かったと思うポイント

・とても営業と言えないような稀な経験ができたこと。

上司が部下に物を投げるとかはなかったこと。

自分努力でできる限界を見ることができたこと。

・体の異変はなくなり今も健康でいられていること。

-----------------------------------------------

 

追記:ここで学べた契約を取るために必要な要素も書いてみるので参考になると嬉しい。

 

1.人として気に入ってもらうこと。

2.相手商品サービスものを使っているイメージをしていて、それを現実化したいと思うこと。

3.その商品サービスがすごいと思っていること。

4.買って欲しい旨をうまく伝えること。

これらを抑えれば大体落とせる。

 

補足すると、

1は相性があるけど見た目とか話し方は磨ける部分がある。無理してもそれは相手に伝わるから素の自分は大切に。

2は相手を知る必要がある。限られた時間でどこまで掘り下げられるかがポイント

3は簡単比較できるものより優れている、もしくは同等程度であることが大事

4を伝えなきゃ基本的に始まらない。相手のことを知ってどう切り出すか戦略を練ろう。

 

これでダメなら縁がなかったということで次にいこう。

もちろん改善できることは次に活かして。

2016-05-23

広告非表示にしてくれるMVNOあったらいいな

GoogleとかがMVNOやって、そのMVNOからアクセスなら広告非表示にするみたいな仕組みあったらいいな

使う側としては広告なくなるなら、オプション価格でもいいからあったら契約してみたい。

月々の料金に追加されるなら支払いも楽だし。

2016-05-20

お絵かき機器について

Intuos Proと数年前に買ったBambooをメインとサブ機で使っている。

最近になってモデルチェンジしたBambooIntuos DrawIntuos Comicとしてリファインされているようだ。

Intuos過去Bambooであり、Intuos Proとは別物だ。

いささかややこしいが



IntuosIntuos Pro (2048段階筆圧 / 傾き・回転検知 / 新板はオーバーレイシート取り替え不可 / Bluetooth機能)

BambooIntuos(1024段階筆圧 / 傾き・回転無し / ペンのテールスイッチなしへ変更)

Favo(相当商品) → Bamboo Pad



であり変更は結構不評だった。特にIntuosシリーズはテールスイッチ存在していない。つまり消しゴムがない。

未だにBambooオプションペンにはテールスイッチが付いており、旧式を買った人だけが得する状況に陥っている。

とくにDrawフルHD解像度に合わせた仕様に縮小されてコストカットを実現しておりだいぶグレードダウンしている。

現在旧式Intuosは同サイズIntuos Pro程度の値段なので、旧版を持ってる人だけが得する事態になっている。

2016-05-19

圧倒的成長なんて言えるのは、学生のうちだけだ

「圧倒的成長」という言葉

ITweb界隈の有名どころのベンチャー志望の学生がこぞっていう言葉。(学生だけじゃないけど

3年ほど前からITらへんにいたので、聞き慣れてはいるのですが、就活の志望理由で出す意味がわかりません。

成長するのは当たり前じゃん。

世の中のこんな課題解決したい、だとか、それよりももっと大事なことがあると思ってて。

一生懸命それに取り組んでいれば、気づかないうちに成長するのでは?

っと思ってしまう。

あくま結果論しかない成長を、オプションしかない成長を主目的社会人として働くのは、私は共感できない

社会人になってそんな高いお給料をもらいながら自分の成長について考えていればいいのか?

成長よりももっと大切なことがある気がする。

もちろんモチベーションとしての自分の成長・組織の成長は大切だけど。

何がこの「圧倒的成長」ブームを招いたのだろうか。心当たりがありすぎて、恐ろしい。

2016-05-16

http://anond.hatelabo.jp/20160516194527

いや、おまえは、単に、マウスイベントを拾って、FRPストリームに流す、という接続部分、つまりFRP変数への書き込みについて、イチャモンつけてるんだよな?おまえにとっての「自動」の「同期」って何?

マウス位置と、変数自動的に同期してくれる

マウスイベントなりをラップしたFRPライブラリで、そのラップイベント宣言したら、ラップ変数自動的に流れるとかそういうこと言いたいんだろうが、そこからその変数関数なりで変換して行くのに、それがラップされてようがされてまいが、手間はまったく一緒だって理解してる?

あと、そういう既知のイベントなら、既知のマウスイベントなりを全部ラップしてやろうとおもえば、やれないことないだろうし、できるが、

既知ではない、FRPライブラリラップされてないIOイベントとかどうすんの?w あほなの?w

たとえば、HTTPイベントWebSocketイベント、全部FRPライブラリラップして、

>マウス位置と、変数自動的に同期してくれる

みたいにやるのか? 誰かが書いてくれるまで待つとか?w

あと、マウス位置から10オフセットさせたい、とかオプションも無数にありうるわな?

オプションサポートされてないラップだったらどうすんの?w やっぱアホなの?w

最初からネイティブイベントあったら、かんたんにできるだろ?ラップAPI参照せずにすむだろ?あほなの?w

あと、そういう原理的にアホな実装FRPライブラリかくあるべき!って誰が決めたの?アホなおまえが決めたの?w

2016-05-11

多分マヤ研究家がこう言ってるよ程度で済ませておけば良いんだよなあ。

見る目のある俺の意見が正しくて、あいつらは間違ってるから認めさせてやる、という態度だから聞く耳を持たない人がぶら下がる。

下のケイマンの話だってそう。あぜ煽るのか意味不明相手に伝えたいならなおさら

ソースを知ってる俺、がオプションでついてくるから鬱陶しいんだよ。

2016-05-09

スリープ使ってるやつはwin10にはするな!!!

夜中に勝手に復帰して起こされるぞ!!!

 

もうマジ最低だ。眠りが浅いせいもあるだろうが最近はほぼ毎日3時半ぐらいに起こされる。

 

警告しておく。デスクトップPCスリープを使ってるやつは絶対にwin10にしたらダメだ。

ノートは知らん。

 

俺は情報工学系の学部を出て10年ぐらいプログラマーをやってる人間だが、

何をしてもなおせなかった。

俺より詳しいやつなら直せるのかもしれんが、自信がない奴はやめておけ。

 

サンプル数は2だが、会社の同僚も同じ現象に悩まされてる。

他の会社の同僚や友人は全員win10にしていないが、それが正解だと思う。

 

ちなみにググると同様の報告がたくさんあった。

ツイッターでもいっぱい言及されてる。

 

調べずにアップグレードしたのは俺のミスだが、試しに使ってみたかったのと

すぐに戻せるように別パーティションクリーンインストールして、win7デュアルブートできるようにしてあるから

軽い気持ちで入れてみただけだ。

もう使わねーよバーカ!!ということでwin7に戻す。

 

ちなみに俺がやった対策は以下の通りだ。直ってないのだから、何の情報にもならないかもしれないが、一応書いておく。

 

まずネットに出てる情報を試してみた。

電源オプションの「スリープ解除タイマー」を無効にするというやつだ。

 

当然直らないので、次にイベントログスリープまわりのログを見てみた。

どうやらwin10スリープした数秒後には必ず「システムスリープ状態から再開されました。」という紛らわしいログが出るようだ。

最初はこれが原因かと思いいろいろと無駄時間を費やしたが、結局これは関係なかった。

 

それと、スリープから復帰する時は毎回システム時刻をハードウェアクロックと同期してるログが出るが、

これは手動で復帰させた時も毎回まっさきに出てるので関係なし。

 

タスクスケジューラで全項目をひとつひとつ見ていったが、俺の場合

「UpdateOrchestrator」の「Reboot」の「タスクを実行するためにスリープを解除する」

のチェックが入っていたので、外した。もちろん直ってない。

 

windowsアップデートが悪さしてるという報告もネットではよく見かけるが、

俺の場合ログに何も出ていないし、アップデート検知時にスリープから復帰する設定にもなっていないので、関係なし。

 

その他確認したこと。

自動メンテナンススリープ解除を許可するという項目があるが、最初からチェックは付いていなかった。

ネットワークカードから信号勝手に復帰するという情報もあったが、俺のNICにはそういう設定はなかった。

NIC以外のデバイスで「電源の管理」という設定があるデバイスマウスキーボードのみだったが、

これらはスリープから復帰する時に使ってるので、これらから復帰できなくなると利便性が下がるので、変更しない。

(なおwin7の時は問題なかった)

 

ここからは俺の推測だが、この問題はもう直らないんじゃないか

まりアップデートされないということだ。

なぜなら、win10が出てかなり経っており、ネットでもそれなりに言及されていることから

マイクロソフトも把握してからかなり経っているが、それでも直る気配が微塵もないからだ。

それとwin7win8と比べてスリープからの復帰が若干速くなったという情報も見かけることから

スリープまわりの動作がまるっと変更されてると見て良い。

まりマイクロソフトにも簡単には直せないということだ。

 

ということで寝室にデスクトップPCを置いていて、かつスリープを使う人限定だが、Windows10おすすめしない。

 

追記:2016/05/09 21:02

id:enhanky すでに書いているが、タスクスケジューラの全項目をひとつひとつ確認したんだが、ダメだった。

そもそも俺のwin10には Microsoft\\Windows\Media Center が無い。

powercfg -waketimers コマンド

システムアクティブスリープ解除タイマーがありません。

になる。

 

 

追記: 2016/05/10 12:40

スリープから勝手に復帰する原因がたくさんある中で、まさかピンポイントで正解を当てるやつが居ることにビビったわ。

いや、まだ1晩しか様子を見てないから、本当に合ってるかはわからないけど、少なくとも今日は良く眠れた。

あの「ヴぁっ」って音で起きちゃわないか怖かった。

 

デバイスマネージャネットワークアダプタプロパティの詳細設定で Wake On Magic Packet と Wake On Pattern Match っていう設定項目がEnableになってたか

Disableにしたら、いけたっぽい。

ネットワークアダプタの設定に「電源の管理」って項目がなかったから、てっきり関係ないのかと思ってた。

 

あと気になったブコメに返信。

 

Windows Update関係なかったって上でも書いてるのに、3時半というとこだけ見て馬鹿にしてるやつなんなの?

自動メンテナンススリープ解除される設定になってないって言ってるじゃん。

 

シャットダウンしろとか言ってるやつ。確かにSSDから起動は速いけど、スリープからの復帰に比べたらぜんぜん遅いし、巡回してるサイト作業途中のものを開いたままにしてたりするからスリープが便利なんだよ。

 

休止状態という設定ができるのは知らなかったので参考になった。

 

あとマイクロソフトに言いたいんだが、何のためのイベントログだよ?!

NICが原因でスリープから復帰してるなら、ログに残せよなー。ログに残ってさえいればこんなに苦労しなかったのに。

スリープ状態の解除元: 不明 ってなんだよ、まったく。

それと、設定変更画面へのアクセスが悪すぎる。何回も見直したのに、もう例えば自動メンテナンスの設定変更画面に検索以外でどうやったらたどり着けるのかわかんねーよ。

powercfg -devicequery wake_armed ってコマンドキーボードマウス以外出てないかNICが原因だとすぐにわからなかったし。

 

というわけで、解決したっぽいけど、やっぱりwin10おすすめしない!

 

追記:2016/05/13 3:30

今度は3時に勝手スリープから復帰して、その30秒後ぐらいに勝手再起動までしてたよ orz

原因は「スリープ状態の解除元: 不明」だそうだ。はぁ。。。

ログとか確認してたら、もうこんな時間だよ。

明日仕事なんだよ。勘弁してくれ。。。。

2016-05-08

みんな、Tehuを馬鹿にするのをやめてあげてくれ。

みんな、Tehuを馬鹿にするのをやめてあげてくれ。

俺はTehuを見ていると昔のイタイ自分を思い出して辛くなる。

今でこそ美人若い奥さんを捕まえて子供も生まれ幸せな家庭を築いているものの、昔の俺は本当にTehu並みにとんでもなくクズなやつだった。

自分では顔はそこそこだと思っていたけど、今になって思うとTehuほどではないにしてもかなりのブサイク

経済的に余裕がある高齢の両親からまれ一人っ子の俺は両親に大変かわいがられた。もしかしたらTehuも同じような境遇なのでは?

自分天才なんだと思っていた。

家庭環境によるブースト子供の頃は無双していたのに、青年になるにつれどんどん剥がれていくメッキ。

自分で抱いている天才自分乖離していく世間から評価

子供の頃にいじめられていて歪んだ性格

いじめられていたからこそ、他人馬鹿にして下に見なければは維持できない壊れそうな心。

どうやって人と関係を築いて良いかからいからやらかすトンチンカンイタイこと。

俺は俺なりに必死でもがいていた。

でも、長い間Tehuみたいなイタイ人間を抜け出せなくて、インターネットイタイ自分さらしてしまったことが何度もある。

心の底では自分天才でもなんでもなく、既に成功への道を踏み外した敗北者だとはわかっていた。

でも、そんなの受け入れられるわけがない。

から定量的評価ができない芸術方面へ逃げた。

これもTehuと同じだろう。

本当に女にもてなかった。

女にもてないのは本当に辛い。

これが一番辛い。

自分を受け入れてくれる人間がいないのだ。

クズみたいなDQN結構可愛い子を連れていたりして何度も死にたくなった。

あんDQNでも女に必要とされて受け入れられているのに、なぜ自分を受け入れてくれる女はいないのだ!?

Tehuみたいに見栄を張って童貞なのにセックス経験があるふりをしたり、周りには彼女がいるとか嘘をついたりもした。きっと周りからは笑われていたんだろうな。

俺はなんとかして変わらなければならなかった。

自分が持っているアドバンテージをすべて生かして、とにかく命をかけてでも変わらなければならなかった。

そうでなければ一生、俺は人から馬鹿にされ、心から愛してくれる女は現れず、満ち足りたセックスもできず、俺の子供を産みたいと思う女は現れない!

必死で考えてもがきにもがいてたどり着いたのは「整形」と「相場」と「刺青」だった。

俺の呪縛は両親だった。

金があり優秀な両親。これを絶対に超えなければならなかった。

自分が持っている環境アドバンテージ、これらを生かして両親を超えて世間から一目置かれる方法

これは金を稼ぐ以外ない!

それも圧倒的な金だ!

金だ!金!

金さえあれば偽物の人脈なんかいらない。

本物の人脈が向こうからやってくる。

女も向こうからやってくる!

金を持っていない人間の言うことなど、風に揺られる葉っぱのたてる音にも及ばない。

Tehu! もしこれを見ていたらぜひ参考にしてくれ。

俺たちのような能力がない臆病者が相場で逆転するには、凶暴なリア充どもが失敗していく金を掠めとるしかない!

それは「オプションの売りだ」。

相場は金があればあるほど有利になる。というか、タネ銭が多くなければ勝てない。死ぬ

から俺は大学を辞め、両親に土下座してありったけの金を用意してもらった。

家を抵当に入れて借金もしてもらい、とにかく家族が持てる金のパワー全てを投入した。

それが実家金持ち一人っ子自分を溺愛している両親を持つ俺たちの唯一のアドバンテージだ。

その時はまわりから気違い沙汰のように思われた。

から奴らは貧乏なままなのだ

人が恐れて手を出せないことに手を出せる人間けが金持ちになれる。

相場で一瞬で一千万円損したり、一億円儲かったり、そんな毎日を続けていくうち、俺の心は鍛えられた。

大金を動かすには心のパワーが必要だ。

信念を維持するために刺青を入れた。

刺青が体にあることを思い出すと、俺は信念を維持できた。

そして、新しい自分になる新しい門出としての「整形」だ。

俺は生まれ変わった。

毎日風俗に通った。それも総額7万円以上の高級ソープだ。

負けている時でも、気が乗らない時でも、とにかくソープに通い女を抱き、そして相場で戦った。

ソープに飽きたら、独身ではない「人妻」と不倫しまくった。

同時に何人もの人妻不倫した。

旦那を拒絶し、俺を受け入れる人妻は俺の心を満たしてくれた。

そしてこれを公言した。

最初は周りは敵だらけだった。しかし、今は敵がかけがえのない本当の味方になった。

女に慣れ、金を手に入れ、俺は本当の自信を手に入れ、本当の自分になった。

それから結婚相手を5年かけて探したが、それはまた別のお話

とにかく金だ。オプションの売りだ。あと不倫

整形しろ刺青いれろ!

雑音を無視して、恐怖に打ち勝て!

うそしか道はない!

2016-05-07

ブクマ大量に貰えるらしいのでExcelテクニック晒す

Excelというキーワードがやたらブクマ集めるようなので今使っているExcelスキル晒すわ。

Excel2010で動作確認済み。一応ググったら出るはず。

クイックアクセスツールバー(Alt + 数字キー)

正直言ってショートカットキー知らなくても大体これでなんとかなる。

オプションから追加してもいいし、やりたい処理のボタン右クリックして追加してもいい。

俺が追加してるのは下記の通り。

・シートの行を挿入

・シートの行を削除

・シートの列を挿入

・シートの列を削除

Ctrl + Shift + 「+」とかはセルの挿入とかいう余計なダイアログボックス出るのでNG

セルを結合して中央揃え

正直言ってセルの結合なんて使いたくないけど元のフォーマットに合わせるために使わざるを得ない場合がある。

・その他の罫線

罫線操作に役立つ。

Excel方眼紙で図を作る際にも役立つ。

Alt +「o」→ 「h」→「r」

シート名変更。別にマウスでカチカチやらなくてもできる。

Alt +「e」→「m」「c」

シートの移動またはコピー別にマウス使わなくてもできる。

Alt + 「e」→「l」

シートの削除。別にマウス(以下略

(範囲選択した上で)Alt + 「i」→「e」→「s」

連続データダイアログボックスが出現。単純に値を増やすだけもできるしオートフィルもできる。

(範囲選択した上で)Shift押しながらマウスドラッグ

範囲選択したセルを切り取って挿入する。切り取ったセル分だけシフトするので便利。

F4

前回行った書式設定を行う。最近知ったが便利っぽいので今後使っていきたい。

繰り返し行う作業が増えたらやること

Excel (やりたいこと) ショートカットキー」でググる

大体出るが、たまに出ないことがあってYahoo知恵なんとかでありません的な情報が得られるのでそのときはクイックアクセスツールバーVBAで補う。

2016-05-06

模型エンジョイ勢宣言

模型たるもの綺麗に作るべし。どんなモデラーにも、根底にはだいたいこんな思想がある。

もっとも。雑誌記事だってハウツー本だって、そうすることを前提に書かれてる(プロが金貰ってやってるのだから当然だが)。だからみんなもそうする。俺だってそうしてた。

だが、ここであえて言いたい。雑でもいいじゃないか、と。もちろん綺麗に作れた方が良いのは確かだが、その過程の楽しさを重視したっていいじゃないか。だって趣味なんだから

からもう義務的に合わせ目消しはしないし、表面処理も頑張らない。モールドの掘り直しするくらいなら、合わせ目もヒケも最初からさない。

塗装だって水性塗料を筆で塗ったっていいんだ。 乾くの早いぞアクリジョン! 水性ホビーカラー気分で使ってたら、塗った所がむらむらするぞアクリジョン!

資料なんか知るか! 考証が多少間違っててもパーツ改修も新造もしねー! 他社オプションパーツだって買わねー! 軍艦色は軍艦色だ! エッチング? 気分が乗ったら使ってやるぜ!

自由なのはガンプラに限らねー! スケールキャラも、ポリスチレンもABSも、レジンだって金属だって模型は全部自由だ!

自由からガチ勢のみなさんが、何重にもサフ吹いてヤスって表面ツルピカにしようが、その上にラッカー塗料エアブラシで吹くことに真理を見出そうが、かまわない。どのハウツーも、どの雑誌もそういう姿勢を推奨している。そうするのもまた自由だ。

けど俺は、面倒な表面処理を可能な限り避け、臭いラッカー塗料を避け、クソ高いエアブラシを買わず模型を組んでやるぜ!

みんなも義務感でガチな組み方して面倒になって積むくらいなら、面倒な工程スキップしてとりあえず形にしたっていいんだぜ! レッツエンジョイ

免許更新のためにメガネを新調しようと考えている

埼玉にいたときメガネフラワーで3kくらいで免許更新使い捨て眼鏡を作ってたけど、

福岡にはない

家の近くの眼鏡市場いったら、レンズ代込みで16k、25kの2択しかなくて、しかオプションつけたら値段跳ね上がるとか言われてバカかと思ってやめた

博多駅JINSあるなーと思ったけど、

とりあえず前かった免許更新眼鏡視力家ではかってみて、そのあと店でもはかってもらって、それで0.8くらいあればつくんなくていいかなー

よっしゃ明日でかけよ

2016-05-02

新料金プラ

1,新料金プラ通話定額に加入して最低維持費2700

これが通常プランで安く維持する方法です。2700円が最安になります

他のオプションなどは全て解約してこの価格です。

2,データプランに変更(ルーター化)で1700円

データ化すれば少し節約になります。変更手数料はかかりますが、1700円で維持することが可能です。

3,電話番号保管サービスで400円

これが最安です。電話回線自体を一時休止して400円で維持します。

ただこの方法は即解約と同じような扱いを受けてしまうのではないかという不安もあります

2016-04-26

OAuthのことを1ミリも知らない俺が

OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324

http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html

OAuth がうまくいかない理由と、既存サービスゼロデイ攻撃方法

OAuth とは

認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。

OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。

おことわり

前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。

言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたお気に入りOAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。

また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法OAuth を使っているサービス利用者であっても、また自ら OAuth ベースサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。

記事の構成

この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。

この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。

この前書きのあとは、まず OAuthセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。

その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。

最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。

責任ある情報公開

いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーOAuth ベースサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースシステムの主要なセキュリティ欠陥は非常に蔓延しています。

筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。

というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。

ここで言及されている情報やリンクされている情報は今のところ既存のサービス悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のもの破壊するのではなく改善することを目指してください。この記事は、自社サービス不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。

想定する利用形態

この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。

まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。

ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッショングループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。

ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。

ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的営業部門メンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。

問題点

セキュリティ関連
認証情報の盗難 / アクセス権の詐称

トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティアプリサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:

  • 必要以上のアクセス権をサードパーティに与えることになる。
  • 認証情報を格納する場所が増えるということは、盗まれる危険が増える。
  • パスワード等を変更したときに API 利用者側でも更新が必要になる。
  • ひとつアプリだけでアクセス権を破棄することが難しく、全アプリで破棄することになりやすい。
  • 特別な認証要素を使っていると、制限が多すぎる。

上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。

さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:

  1. ユーザサードパーティアプリ/サービス (たとえば AFCP) を訪ねて、特定のサービスと統合したいことを知らせる。
  2. AFCP は、EVS でホスティングされた特別なログインページを出してユーザに EVS の認証情報を入力させる。
  3. EVS は、その指定したアクセスレベルユーザが本当にサードパーティ (AFCP) へ与えたいのか確認する。
  4. EVS は AFCP に一種のトークン (複数の場合もある) を提供し、各種 API コールに使えるようにする。

このトークンユーザの認証情報ではありませんから、そしてひとりのユーザひとつアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。

この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。

(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)

(略: そうした詐欺を企業自体が後押ししているような風潮もある)

(略: スタンドアロンアプリなら、ログインを詐称する必要すらない)

この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザ組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?

クライアントアプリユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザインストールするネイティブアプリすべての信頼性に自分で責任を負う。

さらに

クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。

基本的に言って、OAuthセキュリティガイドラインは、OAuth を利用する開発者ユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。

私の知る主要な OAuth ベースサービスはほぼすべて、ここに概説した手法で攻撃可能です。

OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者管理者に「OAuthもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。

OAuth サービスに偽装

OAuth ベースサービス設計でよく見かける間違いは、ブラウザ用に、パラメータひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリサービスユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローOAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。

「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。

EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に FacebookGMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebookユーザは全員 GMail に対して Facebookのもののふりをすることができてしまうということです。

この問題は、OAuth エンドポイントユーザウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。

ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。GoogleOAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローひとつあります:

client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)

Citrix もこんな間違いをしています:

(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)

Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースサービス開発者でさえも似たような状況で潜在的ヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。

サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービス一般的にいって独自の「SDK」を提供しており、サードパーティ開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。

この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアント機密情報を取得する脅威」に分類されています。しかしサーバウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームOAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレード参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。

おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。GoogleOAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントウェブブラウザベースアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフロー標準的ブラウザ用のエンドポイントコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。

前掲のセキュリティ文書は、Permalink | トラックバック(3) | 12:44

2016-04-24

https://support.microsoft.com/ja-jp/kb/946928


Windows XPサポートは終了しました

マイクロソフトでは、2014 年 4 月 8 日に Windows XPサポートを終了しました。この変更は、ソフトウェア更新プログラムおよびセキュリティ オプションに影響しています。 この変更の意味および保護された状態を維持する方法について説明します。

http://go.microsoft.com/fwlink/?linkid=209191

Internet Explorer ではこのページは表示できません

可能性のある原因:

インターネット接続されていない。

Web サイト問題が発生している。

アドレス入力の間違いがある可能性がある。

対処方法:

インターネット接続確認する。他の Web サイトを開いて接続確認してみてください。

アドレスを再入力する。

前のページに戻る。

詳細情報

この問題は以下を含む様々な原因により発生します:

インターネット接続が切断された。

Web サイト一時的に利用できない。

ドメイン ネーム サーバー (DNS) に到達できない。

ドメイン ネーム サーバー (DNS) に、この Web サイトドメイン名の一覧がない。

これが HTTPS (安全な) アドレスである場合、[ツール]、[インターネット オプション]、[詳細設定] の順にクリックして、[セキュリティ] の項目の下にある、SSLTLSプロトコル有効になっていることを確認してください。

オフラインユーザーには

購読されたフィードおよび最近表示した Web ページをいくつか表示することができます

購読されたフィードを表示するには

[お気に入りセンター] のボタンクリックして 、[フィード] をクリックしてから、表示するフィードクリックしてください。

最近表示した Web ページを表示するには (動作しないページもあります)

[ツール] をクリックしてから [オフライン作業] をクリックしてください。

[お気に入りセンター] のボタンクリックして、[履歴] をクリックしてから、表示するページをクリックしてください。

http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=ja&&thankspage=5

更新プログラムの入手にこのサイトをご利用いただきありがとうございます

このサイト使用するには、Microsoft Internet Explorer 5 以降が必要です。

ブラウザを最新バージョンアップグレードするには、Internet Explorer ダウンロード Web サイトを参照してください。

別の Web ブラウザ使用する場合は、Microsoft ダウンロード センター から更新プログラムを入手するか、自動更新使用することで、優先度が高い最新の更新プログラムが常に適用されるようにすることができます自動更新有効にするには、次の手順を実行してください。

[スタート] ボタンクリックし、[コントロール パネル] をクリックします。

コントロール パネルクラシック表示にしているかカテゴリ表示にしているかに応じて、次のいずれかを実行します。

[システム] をクリックし、[自動更新] タブをクリックします。

[パフォーマンスメンテナンス] をクリックし、[システム] をクリックして、[自動更新] タブをクリックします。

必要オプションクリックします。自動更新オフになっていないことを確認します。

2016-04-20

Google アラート

斗比主さんのエゴサーチの助力になればと思い投稿

すでにご存知かもしれませんが…

使用するサービス

Google アラート

https://www.google.co.jp/alerts

Google アラートの仕組み

Google アラート作成すると、関心のあるトピックに関する新しい検索結果が見つかったときメール通知が届きます。 たとえば、お気に入り製品に関する最新情報を受け取ったり、自分に関するコンテンツウェブ投稿されたことを知ったり、最新のニュース記事をいつでもチェックしたりできます

Google アラートの仕組み - アラート ヘルプ

https://support.google.com/alerts/answer/4815780?hl=ja

サービス利用時の注意

オプションから通知頻度、ソースウェブブログなど)、他を設定できます

2016-04-15

amazonの執念

配送無料が2000円以上からになって初めて本注文した。

3冊は在庫ありで1冊は取り寄せとなっていた。

特別オプションを利用せずできるだけまとめて送ってもらうようにしてたが、

予定より早く発送できますと言って別々の倉庫関東九州から送料無料

送ってきた。まぁそれだけの話し。

別に急いで無かったのもあったが凄いなぁと。

2016-04-14

コンパクト増田更新

NGワードに空白があるとページ全部消えてしまったバグ修正

オプションの項目追加(そんなに期待できるものではない)

2016-04-11

http://anond.hatelabo.jp/20160411195142

やりこんだら音が頭の中で鳴るんやで!

グラディウスVわいも好きや!

ノーマルショット4連射!!!

ダブルがまともに使えて強いのもかまへん!

オプションタイプはなにが好きや?

フリーズ鉄板やけど、

サンダーフォースタイプや、

ローリングタイプもなかなか強いしな!

あんたのスタイルで突き抜けるんや!

2016-03-29

http://anond.hatelabo.jp/20160329165430

むこうに「調査しない(=降り)」っていうオプションがある以上、圧倒的に増田側が不利。

元増田がいうとおり完全に足元見らててんじゃんwww

2016-03-23

おい、通信大手3社

お前らの仕事は何だ?

芸能人使いまくってしょうもねえCM作ることか?

その芸能人歌手に仕立てあげることか?

珍妙ロボット作って売ることか?

つまんねえTV番組をたれ流すためか?

月面を開拓することか?

 

ちげーだろ?

そんなもんのために月額7000円も払ってるんじゃねえんだわ。

どの取締役趣味か知らんけど、

電話ネット以外の事業求めてねえから

儲かって仕方ねえんだろうから少しは客に還元しろ

特に孫、お前だよお前。

最初の意気込みはどこに消えたんだよ。

 

ああ、あと、安くしろって言っても

もうナントカ割増やすのはお腹いっぱいだからな。

基本料金を下げろ。オトク感とかもういいから

しろぜんぜんオトクな割引じゃねえよ。

 

って言うか、値段設定おかしいだろ?

どのプランにしても利用料の合計7000円くらいって

どう考えてもおかしいだろ?

今時電話カケ放題強制とか意味わかんねえ。

会話の8割はメールLINEで済むじゃねえか。

オプションだろそんなもん。昔はそうだったろ。

 

から総務省のお役人様が珍しくまともな仕事して

もっと頑張れもっと安くできるって言ってたのに

お前らときたら3社横並びでゴミプラン出してきましたね。

横並びで2年縛りなくす代わりに月額300円アップ!とかい

クッソみたいな提案してきましたね。

こちとら電話従量LTE1Gで1500円みたいの期待してたんで

直見損ないましたわ。頭膿んでるんじゃねえの?

 

文句垂れるとだいたい7割位の確率

格安SIMにしたらいいとかいう奴が現れるけど

結局アレも大手3社だからな。

みんながそっちに流れたらどうせなんか理由付けて

通信料上げるのが目に見えてる。母体が一緒なんだから

 

ほんとここだけはTPP来ていいぞ。真面目に。

http://anond.hatelabo.jp/20160323155116

>いやレベルは低いよただメタ情報を増やすと没入する人が減るだけ。どうやら夢想が得意なだけのマヌケのようだね。

からだけど、この人の指摘通り没入っていうのがかなりキモなような気もするね。

映画館で、「この主人公はこのあとどうなるんだ。そして地球はどうなるんだ」で思考が埋められているうちは良いけど、

没入感が薄くなって「自分は今、暗い部屋にいて、椅子に座っている。のどが渇いている」って考えが鎌首をもたげ始めると「面白くない」の構造が出はじめてくる、とか。

個人的経験からは、線形的に装備アイテムが手に入るようなRPGがこれ気味で、

ゲームプレイしている自分ライン工であるかのような印象を持ち始めると、そのゲームを起動しなくなる日が近い。

逆に言うと、構造として没入しやすいような仕組みや導線を用意できれば、かなりくだらないこと(=低いレベル感情の揺さぶしか起こらないこと)でも十分面白くなるとも思える。

こないだのDayliPortalZの記事で最強の罰ゲームについての話があったんだけど、これはその典型かなと。

http://portal.nifty.com/kiji/160317195941_1.htm

ゲーム自体ジェンガで、大人としては今更なんの楽しさの期待も持てない使い古された遊び道具でしか無いんだけど、

大人が没入せざるを得ないような強力なオプション(罰ゲーム)を付加することで、真剣ゲームに取り組める導線を用意されたと分析できる。

そして真剣ゲームができることで、色褪せてたジェンガに対する面白さが見事に蘇ったのではないか。

俺も面白さの構造には非常に興味持ってるので、こういう増田はありがたい。

面白くない小説を読む前に判断できるシステムを作ってくれ。頼むぞ。