  |
はてなキーワード: パスワードとは
この記事は中立として書かれてないのが非常に残念。Pixiv攻撃側(実際は攻撃してない)を攻撃する立場を常に取ってるので、擁護と取られても仕方がない書き方をしている。
私的な意見だが、これを見て安心したり、馬鹿が騒いでるだけかと思った人は少し考えるようにして欲しい。あまりに短絡的ではないだろうか。
問題を整理するが、「今回危ないと騒いだ人」=「喚起サイド」(上記Pixivを攻撃した側と同じグループ)とし、「大丈夫だよと返した技術者及びそれに同調した人」=「安全サイド」とする。
これは以前から騒がれていた。これに対してPixiv公式は対応すると発表しているが、公表した時期が過ぎてもいまだに対策がなされていない。
この問題が再び取り上げられたのだろう。
こちらは新しい問題。管理者権限のためのページがほぼ一般公開されているというものだ。
普段こういうものは見えないようになっていたり、特定IP以外は弾くような仕組みになっている。
それが一般人でも見えるようになってしまっていることが今回の問題である。
これらの問題に対して技術者たちも勿論反論している。
ここでは私なりの考えを述べる。
「全数探索攻撃」「ブルートフォースアタック」はその必要オーダー(計算時間)の大きさから攻撃はされないだろうという意見があった。
これは先の喚起サイドも承知していることだった。安全サイドも知っていることである。
わかりやすい攻撃例としてこの攻撃が挙げられたのであって、実際様々な攻撃手段が存在することは両サイドも理解している筈である。
問題は「IDが丸見え」に対して、「適当にパスワードを入れて試すにはいくらでも試せる」ことである。攻撃の成功失敗は問わず、攻撃の可否を問題視している。
TwitterやGmailを例に挙げて「ID丸見えでしょ?」という人がいるが、ずっと前から攻撃の可否を抑えるために誤入力が続くとアカウントにロックをかけてログイン制限を設けてるようにしている。
実際この騒動を受けてPixivは誤入力が続くとログインの制限を行うようにした。現在もこの仕様(IPアドレスによるログイン制限のようだ)は続いており、これは評価されるべきである。
ただ個人的な意見を言えば、何故IPアドレスによるログイン制限なのかが不明である。多目的による複数アカウントを許可しているPixivならばアカウントにロックが定石ではないだろうか。
管理者権限IDとパスワードがわからなければ攻撃されない。両者を当てることは非常に困難という意見があった。
これは正論である。そしてこれが安全サイドの誤解を招いたと考えている。
喚起サイドは常に「危険があるかもしれないから、パスワードを変えてしばらくログインしない方がいい」という「危険性を提示していた」に過ぎないのだ。
しかしTwitterなどでは「ハッキングされたの?されてないの?」という悪魔の存在証明の答えを聞きたがっていた。
そこに先述の安全性を証明する意見が来た。これにより安全サイドは安心した。勿論これは「経験則上は安心していいこと」である。現在使われてる通信暗号も「経験則上は安全が証明されてる」ので。
ただその後の動きが不穏だった。喚起サイドを「Pixivを攻撃したいだけの連中が騒いでた」と非難し始めたことである。
とある人のTogetterが発端となったが、これは後述する。
ソニーコンピュータエンターテイメントの個人情報流出事件とは性質が違うが、「発覚してからでは遅いから予防策を行う」のが定石である。
特に今回の問題は外からでは何もわからないため、喚起サイドは提示することしかできなかったのだ。南京錠で戸締りされた誰もいない豪邸の中から物音がすれば、怪しいと思わないだろうか。
ある人のTogetterが安全サイドを悪魔の存在証明にシフトさせていったと考えられる。
先述しているが、「結果的には経験則上は安全である」ためこの人のTogetterが間違っているというわけではない。
しかしどちらにもならない、観測されて初めて成立する量子論的な考えに、観測される以前から成立している古典力学的な考えを適用することがナンセンスである。
古典力学的な考えの方が大勢にわかりやすく受け入れやすいのは確かであるだけに、悪魔の存在証明にシフトする非常に残念な動きが見られた。
まとめとして、
・喚起サイドは情報の強化を行ってこそ成り立ったが、それが出来なかったことに落ち度がある。もっと情報を強化し、慎重に動くべきだった。
・安全サイドは経験則上安全であっても、危険性の提示であったことを理解するべきである。もしかしたら?を考えるのが技術者の常ではないだろうか。
・安全サイドの同調組はもう少し自分で調べるクセを付けた方がいいだろう。どこが発信源か、その場所の性質を調べるだけでも損ではないはずである。
以上が挙げられる。
数年後にはほとんどの携帯電話がスマートフォンになってしまうという予想もあるとか。
そんな時代に生きてるエロ動画大好き男子のために、スマートフォンに特化した無料エロ動画サイトをまとめてみました。
数ある中で、ここだけ抑えておけば大丈夫という10サイトに絞り、人気順に並べてます。
ダウンロードリンクというのはiPhoneアプリのGoodReaderに対応したリンクがあるかどうかです。
サイトによってはPCからは見れないようにしてるところもあります。
ちなみにスマホ特化のエロ動画サイトのまとめサイトhttp://eroforyou.comを運営していて、その結果に基づいて判断しています。
有料系のまとめはこちら→http://eroforyou.com/kuchikomi
・一括再生:あり
人気NO1。AVがまるごと1本アップされている上に、それが一日15本前後、毎日更新されている謎のサイト。
サーバも複数あり、エロのゴールデンタイム(午後11時から午前1時の間)でも比較的つながりやすい。
・一括再生:あり
ジャンルも幅広く、画質もいい。サーバも比較的軽いため、人気がある。
◎ぷにゅむにゅ
・一括再生:なし
GoodReader用のリンクがおいてあり、過去ログも全てみられるなど、使い勝手がいい。
PC用サイトもあるため知名度が高く、スマホ用のエロといえばここだと考えている人もいるのではないか?
◎極上ティアラ
http://t.tiara-movie.com/tiara2/
・一括再生:あり
エロのゴールデンタイム中でもサーバが軽く、wifi環境ならほとんど待つことはないのでは?
一日の更新量も複数あり、ひとつの動画の長さも長い、バランスのとれたサイト。
◎えろつべ
・一括再生:あり
ラインナップは万人受けするようなものを選んでいる印象。
◎GAL&PEACE
・一括再生:なし
ギャル好きなら確実にここ。
更新量は1、2本程度だが、ひとつの動画の時間が長く、どの時間帯でもサーバが軽い。
◎桃猿
・一括再生:あり
ぷにゅむにゅと合わせて、スマホ向けサイトの中でもかなり知名度が高い。
◎A Movie
・一括再生:一部あり
動画の量はトップクラスだが、動画によって再生時間や一括再生があったりなかったりと、少し不思議な作り。
・一括再生:なし
サンプル画像が用意してあるので、見る前に大体どんな動画か把握できる。
◎ずり仙人
・一括再生:なし
ここもPC版があるので知名度あり。
おまけ
よかったらスマホ特化のエロ動画サイトのまとめサイトを運営しているので見てください。
ID見えてるけどいいの?ってやつ。別にIDがバレること自体はたいして問題ありません。twitterも丸見えですね。
問題なのは、IDが外部から見られることをユーザーに知らせてないことと、後述のパスロックが実装されていなかったこと。IDが見られることについては以前から指摘されていましたが、長い間改善されませんでした。定期的に話題になっていましたが、今回はパスロックの件が明らかになったので大きな問題になりました。
ログイン時に決められた回数間違った情報を入力するとロックがかかって一定時間ログインできなくなったりするのがパスロックです。この機能はtwitterにも実装されています。
pixivにはこの機能がなかったため、パスワードの総当たりが可能でした。時間さえあれば他の人のアカウントでログインできるので、プレミアム登録をしている人はクレジットカードの情報が盗まれる危険がありました。
総当たりは現実には無理だから心配ないという意見もありますが、個人的には辞書アタック程度で突破できるんじゃないかと思います。たかがイラストコミュニティサイトに複雑なパスワードを使う人が多いとは思えないので。
現在は数回間違った情報を入力すると画像認証、さらに間違えるとロックがかかる仕様になっています。IP変えれば意味ありませんが…
ちなみにパスロック実装したよ!ってアナウンスはまだされていません。
pixivの粗探しをしていたら管理画面への入り口を発見しちゃったよ、ってやつ。
もちろん管理画面に誰でもアクセスできるのは異常なことです。騒ぎになってからすぐにこの入り口は閉じられましたが、数年間入り口が開かれていた可能性が高い(もともと閉じられていたものをわざわざ公開する理由がない)ため、誰かが侵入に成功していてもおかしくはありません。もし悪意のある人が侵入していたら、全ユーザーのクレジットカード情報を盗んだりpixivにウイルスを仕込んだりできます。
これはあくまでも可能性の話ですが、公式に安全が証明されるまでは警戒するに越したことはありません。運営から個人へのメールでは安全だと言っていますが、短時間で数年間のログを調べることができたのだろうか?と疑問に思います。
デフォルトで「It works!」と表示されるところに「It workssl!」という表示が出た問題。
打ち間違いか、lsコマンドをミスしてslと打ち込んだ人を馬鹿にするためのプログラムと絡めたジョークではないかという意見もあります。運営のお遊びだとして、このようなジョークを仕込めるほどの人がいるのにadmin画面を公開するようなヘマをするだろうか?ユーモアのあるハッカーの仕業では?公式の発表がないのでなんとも言えないところです…
とても短くまとめたので、詳しいことが知りたい人は他のまとめを探して読むことをおすすめします。はてなにも分かりやすいまとめがあります。
札束枕とか言ってた頃が懐かしい…
togetterがchromeが固まるくらい重いのと、書いてある内容に同意できてもエタ東となる4時の組み合わせは気分が悪いので、自分用に。
最初に書いておくと、これは特にpixiv擁護ではない。というより、擁護できる部分は特にない。
pixivを擁護したがっている人たちというのがいて、連日出てくる問題を鎮火させようと頑張っている。
カオスラウンジとズブズブだったpixivも悪の企業であると認めず、pixivは悪くない、pixivは俺たちの居場所だ、と信じて自分たちの立場を守ろうとする。(俺正義タイプ)
本の宣伝をしたいが代替サービスのユーザーがまだ少ない。pixivを宣伝用に使い続けるしかないのからpixivを守りたい。(我欲タイプ)
pixivとかユーザーのことなんて全くどうでもいいけど、批判に対して反対意見を言える俺かっこいい。(自己顕示タイプ)
大体想像できる動機はこんなところ。
メンツは固定しているないが、毎度の騒動で発生源となっているtogetterまとめを網羅的に眺めると、誰が鎮火しようとしているのか分かりやすい。
はてブでいうとb:id:sa_tie、b:id:katsura_1、b:id:tailtame辺りが該当。彼らを駆り立てているものは一体何なのか。(なお、エタ東も方向性が違うだけで同類にカテゴライズしている)
もっとも動機が不純だからといって、成すことが正しければ良い結果をもたらすこともあるし、独善が「悪事」としか呼べない暴走を引き起こすこともある。評価は人による。
pixivの新規登録画面は極めてシンプルで、pixiv idの用途については特に記されていない。(※要改善)
登録するとユーザーにはユニークな数字のidが付与されるので、pixiv idはログイン用のみだと考えている人は少なからずいるようだ。
実際にはpixiv id名でディレクトリが作られるほか、スタックフィード(活動履歴)のid、アカウントを共用するpixivブログや、姉妹サイトdrawr(flashで手書きできるサイト)のidとして利用されている。
pixiv idを外部から見られないものとして、個人名を使うなどする人もいて、問題となったことは過去に数度ある。id変更の機能追加をするという話もあったが今のところは実現していない。
今回の騒動の発端となったのはこのpixiv idが画像の絶対パスから参照可能だ、という最初期から判明していたことを何度運営に要望を出しても改善されないまま放置されたことに業を煮やしたことユーザー達のtwitterである。
これを、「最初期から判明していたことだから今更問題ではない」と擁護する連中が現れた。
「idは最初期から漏洩するような仕様で、スタックフィードなどからidを参照することも可能だ」と判っても問題点を把握できないユーザーが多数いたことで、危機の周知は次段階に移る。
「IDとパスワードを同じにしている人は危ない。プレミアムユーザーならクレジット番号などの登録もしているので危ない。」と危険を訴えた。この辺りから「ただの言いがかりレベル」などと鎮火ツイートが広がる。
現在のPCスペックの技術の向上は目覚しく、家庭用でもハイスペックなPCがあれば簡単なパスワードであれば数分~数十分で破ることもできるとされる。
が、それはメモリ内で高速に試行できるローカル環境上の話であって、web上のパスワード認証に対して必要とする時間は全く別物という視点が抜け落ちていて、とても現実的ではない。
だが、総当たりなどせずとも、簡単な単語やIDと同じパスワード、誕生日などであれば簡単にログインできてしまう可能性がある。
それを、「例えローカル上で10万回/秒でログイン試行できるPCでも、web上のパスワード認証に対しては通信とサーバーレスポンスがボトルネックとなって100回/秒程度のパフォーマンスしか発揮できないと思う。並列で大量にリクエストを殺到させればサーバーが落ちるだけだし、そもそも膨大なオーダーのログイン攻撃が仕掛けられれば、突破するより前にファイヤーウォールが異常を関知するか、サーバー管理者が気付く。そもそもイラストコミュニティサイトに対して逮捕されるリスクを犯して潜入したところで、成りすまして暴言コメントを書いたり個人情報を抜く程度で、不正アクセスのリスクにリターンが見合っていないわけで…。」
などと問題点をすり替えて、指摘する側がさも間違っているかのように発言を繰り返す。
大手ポータルサイトや銀行、携帯キャリア、有料ポイントを運用するネトゲなどであればそれなりに堅牢なログイン構造にするのが当然で、既に大手のお絵描きコミュニティ、しかもカードの支払まで行われるサイトにパスロックがないというのが問題でないはずがない。
admin.pixiv.net他に接続するとグローバルIPからでもログイン認証が出てくるというもの。発覚したのは実は1年も前だという。今回twitter等で公になってからも1時間程度は誰もがアクセス可能であった。
あくまでログイン認証画面が出てくるだけで、ID/パスワードが判明したわけでもなく、webのログイン認証に対するブルートフォースは非現実的なのは変わらないが、「外部からadminツールにログイン可能」というセキュリティ意識の無さが露呈し、大騒ぎとなる。
更に話が広まる際には「adminツールが流出した」「バックドアが仕掛けられた」「ログインにキーロガーが仕掛けられている」「アクセスするとウイルスを仕込まれる可能性がある」「今すぐ退会せよ」など虚実入り乱れた話となる。
普通に考えれば、外部からアクセス可能な状態で晒され続けたという事態が発覚した時点でサーバーを落として対策を取るはずなのだが、隠蔽体質に定評のあるpixivが何のアクションも起こさない為、念のためアクセスを控えるよう呼びかける。
「そこまで大事になっているのであればサーバーを落とすわけで、実害はない」などと見当違いな「俺の脳内のpixivのセキュリティ安全神話」ツイートが擁護派から出てくる。
admin.ads.pixiv.orgに接続すると「It workssl!」と表示されるもの。これがapacheのデフォルト表示「It works!」と異なることから、「何者かに書き換えられたか、運営が謎のミスをしたのか」と疑惑が生まれる。
ads.pixiv.orgは広告関連のサーバーのようだが、侵入された場合は他のサーバーも同様に危険である可能性が高く、「個人情報やカード情報が抜かれる危険性もある」と指摘されると「万が一侵入されていても個人情報が流出する可能性は低い」と根拠のないpixivの言い訳を持ち出す。
カード情報は決済代行会社が保存していると運営から「なぜか」一部ユーザーにメールで通知されていたようで、ここまでの騒ぎになっておきながらサイトトップでも発表しないなど、さらに不信感が募る。
「IDが漏洩する危険性がある」という問題点から、罪のないユーザーが被害に遭うことを防ごうしたものの、サービス開始時からの仕様で改善される望みが薄い。
さらに管理者ページが外部から閲覧できたことは、あってはならないセキュリティ意識、にもかかわらず、「批判は的外れで間違いだらけ」というまさに的外れな擁護ツイートが広まる。
ここまでサンドバックになってて何も発言せずパスロックを実装するpixivはある意味凄いが、その沈黙がさらなる疑惑を生んでいることにいつ気が付くのか。
http://mixi.jp/run_appli.pl?id=5638
http://mixi.jp/view_bbs.pl?id=46278682&comm_id=4544309
知らぬ間に去っていったマイミクを調べることができるmixiアプリだが、8月1日で提供終了になるらしい。
現時点で、全体のアプリ週間利用者数ランキング20位、利用者数179万人のアプリである。
これまで「そしあな」をご愛顧頂き、誠にありがとうございました。
なお、mixiアプリ版は終了となりますがiPhoneアプリ「そうしてあなたはさってゆくのね」の提供を開始しております。
このiPhoneアプリはtwitterフォロワー用の「そしあな」となります。
AppStoreで「そしあな」と検索してみてください。もちろん無料です。
twitterフォロワー用は継続して提供されるようだが、いなくなったマイミクを知る手段はなくなってしまうようだ。
そこで8/1以降も、このアプリを使用できる方法を用意した。(FirefoxとChromeで確認済み)
↓↓↓以下説明↓↓↓
https://sap.mixi.jp/home.pl を開いて、何回かパスワードを入力すると、管理アプリ一覧の画面になる。
(Developer登録をする画面になった場合は登録を済ませてほしい)
管理アプリ一覧を開いた状態で、下記の文字列をアドレスバーに貼り付けてエンターを押すと、アプリ作成の画面になるので、内容を確認して問題なければ「作成する」ボタンをクリック。
javascript:(function(){p=location.href.match(/postkey=(.*)/);location.href="https://sap.mixi.jp/add_appli.pl?submit=main&name=%E3%81%9D%E3%81%86%E3%81%97%E3%81%A6%E3%81%82%E3%81%AA%E3%81%9F%E3%81%AF%E5%8E%BB%E3%81%A3%E3%81%A6%E3%82%86%E3%81%8F%E3%81%AE%E3%81%AD&url=http%3A%2F%2Fdl.dropbox.com%2Fu%2F36813827%2Fgadget.xml&description=%E3%81%9D%E3%81%86%E3%81%97%E3%81%A6%E3%81%82%E3%81%AA%E3%81%9F%E3%81%AF%E5%8E%BB%E3%81%A3%E3%81%A6%E3%82%86%E3%81%8F%E3%81%AE%E3%81%AD&d1_enable=1&details=%E3%81%93%E3%81%AE%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AF%E3%80%81%E7%9F%A5%E3%82%89%E3%81%AC%E9%96%93%E3%81%AB%E5%8E%BB%E3%81%A3%E3%81%A6%E3%81%84%E3%81%A3%E3%81%9F%E3%83%9E%E3%82%A4%E3%83%9F%E3%82%AF%E3%82%92%E9%80%83%E3%81%95%E3%81%9A%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF%E3%81%A7%E3%81%8D%E3%82%8B%E3%82%A2%E3%83%97%E3%83%AA%E3%81%A7%E3%81%99%E3%80%82%E8%AA%B0%E3%81%8C%E3%83%9E%E3%82%A4%E3%83%9F%E3%82%AF%E3%81%8B%E3%82%89%E5%A4%96%E3%82%8C%E3%81%9F%E3%81%AE%E3%81%8B%E3%81%BE%E3%81%A7%E7%9F%A5%E3%82%8B%E3%81%93%E3%81%A8%E3%81%8C%E3%81%A7%E3%81%8D%E3%81%BE%E3%81%99%E3%80%82&agreement=agree&postkey="+p[1];})();
こうしてあなた専用の「そうしてあなたは去ってゆくのね」が作成された。
何らかの理由で、この手順がおこなえない場合は、マイミクの誰かに代理で作成してもらい、そのアプリを自分のアカウントに追加するのでもよい。
ってExcelでA3で作ったら画面からはみ出て見えへんやないの!!!!
誰かが編集してる間はどうしたらええの?
情報をデータベースに入れて色んな観点で検索したり抽出したりソートしたりリアルタイムに更新したり履歴を保存しておいて比較したりするのって情報処理の基本中の基本じゃないですか。なんでみんなそんなExcel好きなんやろ。
<Excelのいいところ>
・シートごとにページを作れば目次代わりで見やすい。
・表がすぐ作れる。
・テキストボックスでありとあらゆるところに文字が書けて見栄えの良いレポートができる。
・セルの幅を全部小さくして方眼紙みたいにするとインデントの整った文章が書ける。
・シートごとに縦向き、横向き印刷が選べる。
・オプションで読み取り専用にできるので間違って更新されることもない。
・みんな知ってる。
・メールで送れる。
・印刷して配れる。
・共有フォルダにおける。共有ストレージにおいておけばバックアップもばっちり。
・その上ファイル名も変更できるのでリビジョン番号をつけて管理できる。
・ファイルが増えても_oldとつければいける。
・もっと増えたらoldフォルダを作ってそこに入れれば何とかなる。
・ファイル名に_最新ってつけておけば誰もが最新版だとすぐわかる。
・解決した行はグレーアウトで。
・ついでに計算もできる。
http://gigazine.net/news/20110707_pyrit/
http://d.hatena.ne.jp/sen-u/20110629/p1
わざわざ再計算しているわけだけども。
saltとか考えるとまぁアリかな。
WPA2も、PMKと呼ばれる512bitのマスターキーを秒間8万9000個
解析可能だそうな。
Zipもあった。
レインボーテーブル方式が使えないのでブルートフォース一択のはずだが、
http://www.youtube.com/watch?v=3dEN9JQ3R0U
秒間6億3千万?
ひたすらクラックしているんだろうけど、
GPUってすごい。。
試しにPIKAZIPでやってみるとCorei7で秒間600万ちょいなので約100倍。
うーん。
なんか他の使い方ねーのかな。。
・対応デバイス・キャリア:フィーチャーフォン(docomo・au・softbank・DisneyMobile)
・サービス使用料:無料
てなわけで、せっかくの無料サービスなのにiPhoneは蚊帳の外・・・。
んなわけで、さっそくのハックです。
この時点でガラケーをお持ちでないフューチャー兄貴は、デスクの隣のマドンナにガラケー借りるべし。
恋が生まれるかも。
専用って響きにウットリしながらクリックすべし。
3.「タイムライン」「@」・・・「ツイートデコ」のツイートデコをクリック
利用規約うんぬんはみなさんの自己責任で。とりあえずこのかわいい「デコってみる!!」をクリック。
こんなメニューが出るはず。そして「iモードメール作成」をクリック。
ここで仮にデスクの隣のマドンナにガラケーを借りてたら、同時にメアドゲットだぜ!!
とりあえず、言われたとおりメール送信しておこう。別に自力でメモってもいいんだけど・・・。
8.おもむろにiPhoneのAppStoreから「KeitaiEmu」をダウンロード。
無料なので安心しなさい。そして何のためのソフトなのかは気にしない。これお約束。
9.そろそろURL送ったメールも届いてるだろうし、クリップボードにURLをコピー!
12.無事にモバツイにアクセスできた!けどもっかいパスワードを!
13.おめでとう!!「ツイートデコ」ボタンが表示されてます!
14.すかさず右上のブックマークボタンを押して「Add Bookmark」か「Set Default Page」へ
すばらしい。すばらしい素材の安定感。往年のマンセルを思い起こさせる。
16.無事にツイートデコ達成!
Web屋のネタ帳( http://neta.ywcafe.net/ )様の
これからの「パスワード」の話をしよう( http://neta.ywcafe.net/001184.html )で
紹介されているパスワードのハッシュ化のバグについて突っ込んでみる
「1回ハッシュ化を解読できただけ、プレーンパスワードを入手することが可能である」
というものである。
問題の部分はここ
/**
* 平文のパスワードをハッシュ&stretchするメソッドです。
* loop回数は1000としていますが、999でも1001でもお好みでどうぞ。
* ただしループ回数は処理時間に直結しますのでほどほどの数値で。
*/
private static final String hashAndStretch(String plainPasswd, String salt) {
int loop = 1000;
String hashedPasswd = "";
for (int i = 0; i < loop; i++) {
hashedPasswd = DigestUtils.sha256Hex(hashedPasswd + plainPasswd + salt);
}
return hashedPasswd;
}
<凡例>
ソルト:SSSSSSSS
<トレース>
XXXXXXXX ← DigestUtils.sha256Hex("YYYYYYYY" + "PASSWORD" + "SSSSSSSS")
クラッカーがXXXXXXXXXのハッシュ値を解析し、元の文字列が「YYYYYYYYPASSWORDSSSSSSSS"」と判明したとする。
この時点で元文字列の中にプレーンパスワードが含まれていることになる。
また、ハッシュ化された文字列には「0123456789abcdef」の文字しか含まれておらず、
「それ以外の文字が含まれていた場合容易にプレーンパスワードではないか」
一般的なパスワードには少なからず「0123456789abcdef」以外の文字が含まれているだろうし、
上記のことをふまえてプログラムを修正すると。。
/**
* 平文のパスワードをハッシュ&stretchするメソッドです。
* loop回数は1000としていますが、999でも1001でもお好みでどうぞ。
* ただしループ回数は処理時間に直結しますのでほどほどの数値で。
*/
private static final String hashAndStretch(String plainPasswd, String salt) {
int loop = 1000;
String hashedPasswd = DigestUtils.sha256Hex(plainPasswd + salt);;
for (int i = 0; i < loop; i++) {
hashedPasswd = DigestUtils.sha256Hex(hashedPasswd + DigestUtils.sha256Hex(salt + i));
}
return hashedPasswd;
}
ヤフーの個人情報が騒がれており、さっそくパスワードを変更し、
もういいや!ってことでGmailにメールの移行を決意しました。
そこで、Gmailにさくっと、移行できるHowtoサイトをググリました。
実行後、なぜかヤフーのログイン履歴に、海外からのIPのアクセスが
ちょっと慌てて調べてみると、メールを移行する際にgoogleより
ちなみに、こんな感じでした。
8.22.161.*(海外)
64.152.25.*(海外)
なんだこれ???という不審なIPを見つけたらググってみてもいいかも。
【Googleを使い倒せ!】3 過去のメールをGmailにインポート
http://csms-seo.cocolog-nifty.com/blog/2009/04/google2-3gmail-.html
HTMLはわかるけど、サーバーサイドはお遊びでphpを触ったぐらいだったので、会員制でデータをためこむサイト作りに初めて挑戦した。
今回重視したのは、「いかに個人情報をお漏らししないようにして、万が一漏らしても被害を少なくするか」ということ。
世の中、有償サービスでもパスワードを平文で保存してるサービスが意外と多いらしいので、流出した時のリスクを少しでも減らせる対策として書きます。
サーバー:ロケットネットのキャンペーンにでレンタルサーバ年1000円ポッキリプラン クライアント側の処理:HTML+CSS+jQuery(とプラグインもろもろ) サーバ側の処理:PHP Webサーバー:Apache データベース:MySQL
俺も巻き込まれたところでは、サミータウンがメールアドレスとパスワードセットでお漏らししてお詫びに1ヶ月無料なにそれこわい。
サミータウンだけならまだいいけど、メアドとパスワードを他のサービスで共通化して使ってる情弱なので、
共通化してメアドとパスワードをどこかのサービスが一箇所でも漏らすと、ヤフオクID乗っ取り事件みたいなことになる。
http://internet.watch.impress.co.jp/cda/news/2008/09/26/20967.html
俺だってできれば人様のメールアドレスとパスワードとか預かりたくない。
万が一、肉親のメールドレスを発見してパスワードにrapemeとか入ってたら明日からどういう顔すればいいかわからない。
ググってみてもどこにも情報のってない。うーん困った。ダメもとで「個人情報ってどうやって保存したらいいんだろう。。。」
って、twitterでつぶやいたら、「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
「住所とかは可逆暗号化でいいけど、パスワードはハッシュで不可逆化しないとだめだよ!」
何のことかわからなったので、調べてみると、
・ハッシュ=ハッシュ値を使った、元のデータに戻せない暗号化方式
うーん。。。よくわからん。。。
電話番号とか住所は、第三者が使用する情報なので、可逆が必要。パスワードは、認証にしか使わないので、
ハッシュ値の結果が一致すれば元のデータがわからなくてもOK、という方式なのでこういった暗号の使い分けをする。
●可逆暗号のイメージ(もとにもどせる) 暗号化キーは開発者が指定する。 090-xxxx-xxxx →(暗号化)→ !'&amp;%($% →(復号化)→ 090-xxxx-xxxx ●ハッシュのイメージ(もとにもどせない) 登録password(DBに保存)→(ハッシュ値抽出)→!"$#'$#=" ログインpassword →(ハッシュ値抽出)→!"$#'$#=" ※二つのハッシュ値が合っていれば、パスワード一致として認証する。
今回はMySQLの関数で実現した。encode関数で暗号化して、decode関数でもとに戻す。
例えばtel_noという項目だけあるテーブルがあるとすると、
//データベースに保存する時 insert into テーブル名 (tel_no) values (encode(tel_no,'暗号化キー')); //データベースから取得する時 select decode(tel_no,'暗号化キー') from テーブル名;
これで、データベース格納時は暗号化(バイナリ化)されて、データベースから取り出してHTML表示する時に復号化はされる。
<ユーザ登録時>
$password=(フォームから取得) $hash=hash('sha512',$password) //ユーザ登録時は、ここで生成した$hashをデータベースにぶっこむ。
ユーザ認証時は、入力されたパスワードと、データベースのパスワードが一致するかチェック。
//フォームから入力されたパスワード $input_password=(フォームから取得) $input_hash=hash('sha512',$input_password); //MySQLに保存されたパスワードを取得(略) $db_hash==(データベースから取得) //判定 if($input_hash==$db_hash) echo 'ログインしますよ!'; //ここにログイン処理を書く else die('メアドとパスワードがあってないよ!');
これでもしSQLインジェクションとかでデータが流出しても、ハッシュ暗号のパスワードに関してはまず解析されないはず。。。
可逆暗号のデータもphp側の暗号化キーが盗まれない限りバレない。。。はず。。。
何でもかんでも暗号化するとコードが煩雑になるし、パフォーマンスにも影響でそうなので、
住所データの都道府県とか、漏れても良いような情報は暗号化しませんでした!!
個人情報保護法 2条による定義 「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
これで、もし漏れても、俺、ウンコ漏らして臭いけど、パンツから出てないからいいよね?というレベルにはなった。はず。
万が一漏れても大丈夫!と書いたけど、そもそも漏らすなというお話になる。色々調べた結果、以下の対策をほどこした。
・当初jQuery側でSQL組み立ててPHPに渡してたので、これだと任意のSQLが実行できて漏らし放題なのでやめる。
・GETとかPOSTでDBに渡すパラメータを扱ってる場合、ちゃんとエスケープする。
例えばログイン認証するPHPで、GETメソッドでフォームからデータを取得するような場合、
$id=$_GET['id'] $pwd=$_GET['pwd'] $sql="select * from ユーザーテーブル where uid='$id' and pwd='$pwd'
とかやってると、login.php?id=admin'&pwd=' OR '1'='1とかパラメータを渡されるとあら不思議!
select *from ユーザテーブル where uid='root' and pwd='' or 1=1
で、誰でもログイン出来ちゃう!ので、mysql_real_escape_stringでエスケープしたり、渡されたパラメータが想定した値かどうか(例えば数値かどうか、とか)のチェックをいれたりする。
・保存するデータにタグやJavascriptを埋め込まれないように、保存されたデータを出力する場合はPHP側でhtmlspecialchars関数使ってエスケープするようにする。
こんな感じでお漏らし対策をした。間違いがあったら教えて欲しい。
ちなみに出来上がったサイトはこれ。
PHPerの問題点は、視野が狭いこと。典型的には以下のような悪癖を持つ。
何も知らないからPHPを愛せるんだよ、PHPerは。だからまず、HTML、CSS、JavaScript、SQLを覚えろ。次に、Javaに移行しろ。そんなに難しくないよ、Java。特に大量にコードを書けるPHPerは、速度が出てライブラリ化が容易なJavaの方が向いている。今はVPSがあるので、小規模案件でも問題ない。
15年間ほどPHPはインターネットを支えてきたが、そろそろ設計の脆さが問題になっている。PHP 6の開発が振り出しに戻ったのは、不幸な事故ではない。ウェブで仕事をしていれば、PHPとJavaで共通する知識も多い。PHPerはJavaを覚えてPHPとさよならしろ。そして恥ずかしい悪癖を直すべきだ。
独身一人暮らしであれば不自由はしないが、既婚であったり、実家暮らしだったりするとなかなか思うように出来ない事がある。
そう、オナニーだ。
痴漢などの性犯罪者は既婚者や実家暮らしであるという統計があるが、性欲の処理がきちんと出来ていないことが原因なのは明白な事実。
そこで、そういった事が起きないようにするためにも、私が編み出した(?)誰でも安全快適なオナニーが出来る方法をお教えしようではないか。
■■■初級編■■■
【必要なもの】
http://itunes.apple.com/jp/app/air-video-watch-your-videos/id306550020
・ジップロック小(約200円)
【実行場所】
お風呂
【事前準備】
4.AirVideoを起動し、設定を済ませる
設定に関する詳しい手順は「Air Video 設定」で検索すれば丁寧な解説サイトがたくさんある。
【行動手順】
【解説】
説明するまでもないが「AirVideo」はPC(Mac)の中に入っている動画をリアルタイムエンコーディングしながら、iPhone側でストリーミング再生できるというアプリだ。
また、防水に関しては最初は躊躇してしまうが、ジップロック一枚で問題ない。
唯一、気をつけるのは結露だが、できるだけ空気が入らないように封入すればあまり気をつける必要もない。
「最初からiPhoneに動画をいれておけば良いだろ」という意見もあるが、何かの事故でそれを他人にみられるリスクと、HDDに入っている膨大なアダルトビデオをエンコードする労力を考えればAirVideoしか選択肢は無い。
■■■中級編■■■
基礎編で説明した方法では音を出すのが難しい。(スピーカーは普通に聞けるが大きな音は出せないだろう。)
せっかくなので、防水イヤホン付きの専用ジャケットはどうだろうか。
http://www.amazon.co.jp/gp/product/B002WKRJNC/
2,980円と値段は少しお高いが、ほぼ完璧な防水機能と防水イヤフォンが付属してくるので値段なりの機能はある。
また、お風呂にiPhoneを持って行けるということは、普段なら100%無理なオナホやローションだって使い放題という事になる。
個人的には、オナホはコンパクトにポケットに隠せるTENGA EGGを勧める。
http://www.tenga.co.jp/products/egg/
【行動手順】
・防水ケースにiPhoneを封入。(イヤホンジャックに防水イヤホンも付ける)
【注意事項】
私は一度うっかり風呂に忘れ、嫁に見つかってしまい「シリコンの洗顔道具だよ。こうやって指に被せてつかうんだ。」とTENGA EGGを指に被せ、顔に当てながら苦しい言い訳をした事がある。
■■■上級編■■■
中級編までマスターしたキミなら、既に充実したオナライフを過ごしているだろう。
普段からオナニーの事ばかり考えている君たちなら考えたことがあるだろう。
自宅の外でのオナニーを。
しかし、それには障壁が3つある。
障壁1:まずはPCが起動していなければ話にならない。
障壁2:AirVideoサーバーはインストールしたユーザーでログインしていなければならない。
障壁3:AirVideoは3G回線にも対応しているがセキュリティが不安。
一個ずつ問題を解決していこう
【障壁1.PCが起動していなければ話にならない】
外部からPCを起動させるために、WOL(※)対応のルーターを用意する。
Buffalo社が出している最近の無線LANルーターには大抵WOLの機能がついている。
現時点で最新機種のWZR-HP-AG302Hはもちろんの事、少し前の機種でも大丈夫だと思う。
電気屋で、「BuffaloのWOL対応のルーター下さい」と言えばこのあたりが出てくるハズだ。
WOLを実現するには、PC側での設定も必要だが、このあたりは「Windows WOL 設定」等で検索してくれ。
Wi-Fi接続しているiPhoneからルーターの管理画面を開き、母艦PCをWOL起動して無事起動すれば成功だ。
※WOL:Wake On Lan:Lan経由でPCを起動させる技術。
ここにはもう一つ問題がある。
上のテストでは、Wi-Fi環境でつながったiPhoneからなので問題ないのだが、実際には外部からインターネット経由での接続となる。
普通にインターネットの回線を契約すると、IPアドレスは動的なものがプロバイダから振られる。
そうなると、不定期IPアドレスが変わるため、外部からのPC起動自体ができなくなる可能性が高い。
それの解決法として、DDNS(ダイナミックDNS)という仕組みがある。
動的に変わるIPアドレスを、希望したドメイン名に自動的に割り当ててくれるというサービスを使うのだ。
【障壁2.AirVideoサーバーはインストールしたユーザーでログインしていなければならない】
無事WOLは実現できただろうか?
次の問題は、ログインの問題だ。
自動ログインの設定になっているPCならばここはパスできるが、真のオナニストであれば当然PCにはパスワードが掛かっているハズだ。
そこで、iPhone側からPCにログインするために、リモートデスクトップのアプリを使う。
リモートアプリ様々な物があるが、下記サイト紹介されているので参考にしてほしい。
http://www.cms-ia.info/news/remote-desktop-for-ipad/
個人的には、値は張るが「Jaadu Remote Desktop」をおすすめする。
【障壁3.AirVideoは3G回線にも対応しているがセキュリティが不安】
起動もできた、ログインもできた。最後に残るはセキュリティだ。
その場合、最低限受け側ポートの変更と、パスワードロックをかける必要がある。
しかし、それでも外部から見つかった場合の攻撃は防げなくなってしまう。
そこで、iPhoneでVPN(※)を利用してはどうだろうか。
VPNサーバー機能も、障壁1で書いたルーターに備わっている機能だ。
セキュリティ的には甘いと言われるPPTPだが一般的な利用目的では問題無い(と思う)。
ルーターの設定画面から、「PPTPサーバー」の項目を開きPPTPユーザーを追加しよう。
あとは、iPhoneの設定→一般→ネットワーク→VPNを開き、各項目を埋めていく。
その後、接続をタップすれば、数秒の後、ステータスバーに「VPN」のアイコンが出るはずだ。
※VPN:Virtual Private Netework:インターネット回線を利用し、仮想的にLAN環境に接続するための仕組み
【設定から閲覧までの大まかな流れ】
2.PCのWOL設定、ルーターのWOL設定。Wi-Fi環境でのテスト(iPhone→PC起動確認でOK)
3.リモートソフトの導入、設定、テスト(iPhone→PCログインできたらOK)
4.DDNSの登録、ルーターへの設定、テスト(iPhoneリモートソフトにDDNSホストを設定して接続できればOK)
5.VPNのルーター設定、iPhoneへのVPN設定、テスト(iPhone→DDNSホストへ接続できればOK)その後、PCをシャットダウン。
6.iPhoneのVPN接続→WOLでPC起動→リモートでログイン→リモートソフト終了→AirVideo起動
手順1~5までは一度だけだ。
2回目からは6の手順を踏むだけでどこからでもAirVideoによるビデオ鑑賞が可能だ。
いかがだったでしょうか。
専門用語が多かったと思いますが、実際の作業自体はたいしたことはありません。
前回の日記で最後と思っていたのですが、どうしても書きたかったので書いてしまいました。
あるサービスのログインパスワードを、いくつかの単語の組み合わせに設定していた。
以来3年間、そこにログインする時はずーっとそのパスワードをその都度手で打ち込んでいた。
ある日止まれぬ事情があって、信頼のおける知人に代わりにログインしてもらう事になった。
電話越しにパスワードを告げるが、知人は何度入力してもログイン出来ないという。
仕方が無いのでその日はログインを諦め、後日自分でログインしてみると、成功する。
知人と二人でしばらく頭を捻っていたが、知人がパスワードを打ち込む私の指の動きを見て原因に気づいた。
私はmとnを打ち間違えていたのだ。
だから口頭で伝えてもパスワードが合致するはずがないのだった。
思い出されるのは嫌な思い出ばかりだ。特に親戚がらみでの…
でも当時はそれに対して何も感じていなかったことの方が多かった…
いや何も感じていなかったと思う。
理由はわからない。そして、その後に必ず田舎の叔父さんにうちの母親が怒っていた。
「そんなことしないでくれ」
・親戚一同で旅行に行ったとき。1人が迷子になり全員で探した。
振り出しに戻る…わけじゃないけど最初にいた場所に迷子になった子が戻っていた。
「なんだこんなところにいたのか」と私は発言した。怒られた。
「こんなところ」を変な場所に嫌がってという意味で受け取られたようだ。
・小学生の時、七夕か何かに掲げる短冊に皆で同じことを書こうという話なった。
「いい大学を目指そう」なんてことを…
そのとおりに書いたのは自分だけ。他の人間は全く違うことを書いていた。
・小学生の時、同級生の家に遊びに行きファミコンの野球ゲームをやることになった。
メンバーを分けることになり僕は1人だけ。あとはゲームを持っている子のチームとなった。
・小学生の時、集団で遠出。同級生の家に一斉に戻ることになった。
…自分1人だけ戻っていた。あとの人は公園で遊んでいた。待てど暮らせどやってこない。
・中学時代。親戚一同で旅行に行った最後。腫れ物に触るような感じで扱われた…記憶がある。
・中学時代。ボーリングだカラオケだとそういうもので遊び始めるような時期に、「経験無いだろ」
とはなから決め付けられていた。「ああっ、あるよ」と言い返していたが未経験。誘われていくことになっても
自分抜きで話が進んでいたことがあった。
・中学時代の修学旅行や遠足。「こういうところ来たことがないだろ」と散々言われまくっていた。
・高校受験。希望校は合格したが、理解不明の理由をつけられて一番行きたくないところに行かされた。
・高校時代。いやここに至るまでずーっとそうだったような気がするが、自分から友達を作ろうとすることをしてこなかった。
中学時代まではそれでも仲良くしている人はいた。けれど、学校どまりだったと思う。高校時代は、こうした状況に加えて
行きたくない気持ちが勝っていたのでずーっとぼっちで、ごくまれに誘われても断ってしまっていた。理由はわからない。
・高校時代。法事が立て続けにある。親戚連中の親族自慢ばかりを聞かされる。
両親はそれをどんな気持ちで聞いていたんだろう。
・大学時代。アルバイト中心。サークルには、、、入学式のときに顔を出してみただけでそれっきり。アルバイト中心であっても
友達づくりをすることはしない。その場限りの関係。なんとなく親しくなる。そんな感じ。
・大学時代。「浪人なんかしやがって。どこそこのうちは有名大学に入ったのに。現役で」と散々言われる。
高校受験時に自分から希望を奪っておいてよくいうなと思ったが、じっと我慢の子。一浪で入学した大学は知る人ぞ知るという
有名でもなく無名でもなく偏差値もどちらかといえば多少はいいほうの部類に入るかどうかというようなところ。
・で、最近。机の中身とかPCの中身とか見たとしか思えない会話をいまさらしてくる両親。性癖までばれてるんだろうか。
それに気がついていたるところに鍵とパスワードをかけた。いびつな親子関係。
・思いつくままここまで書いてみたが、自分から人に話そうとしない。中学時代に「魔女の宅急便のパン屋のオヤジみたいだ」と言われて
よくわからなかったが、「ああそういうことだったのね」と今更ながら気がついた。
反応がいろいろあって興味深いですね
えーどうしてー
とか
信じられない!
とかFacebookの利用規約を読めばいいんじゃないかなと思ったりもします。
それでFacebookを使わないなどの判断をご自身でされればいいかと存じます。
なかには
実在するニックネームなのに!
姓と名のフルネームを記載する必要があります。フルネームのかわりにイニシャルを使うことはできません。ニックネームは、姓名のいずれかのバリエーションである場合に限り、記載することができますが、「名、ニックネーム、姓」の形式にする必要があります。
http://www.facebook.com/help/?faq=13070
とありますので、ぜひご検討していただければいいかと存じます。
これらを理解せず
Facebook終了のお知らせ
とは、びっくりですね。
利用規約より抜粋
https://login.facebook.com/terms.php
Facebookでは、ユーザーの皆様に実名および実在の情報を提供していただいています。これを維持するには、ユーザーの協力が必要です。ユーザーは、登録とアカウントのセキュリティの維持に関連して、以下の点を守ることを弊社に確約するものとします。
1. Facebookで虚偽の個人情報を提供したり、許可を得ることなく自分以外の人のアカウントを作成することはできません。
2. 個人用プロフィールを複数作成することは認められません。
3. アカウントが弊社によって停止された場合、弊社の許可なく新たなアカウントを作成することはできません。
4. 個人用プロフィールを営利目的で利用する(近況アップデートを広告主に販売するなど)ことはできません。
5. 13未満の児童がFacebookを利用することはできません。
6. 有罪判決を受けた性犯罪者がFacebookを利用することはできません。
7. ユーザーは連絡先情報を正確かつ最新の状態に保つものとします。
8. パスワード(開発者の場合はシークレットキー)を共有したり、他の人にアカウントへのアクセスを許可したり、その他、アカウントのセキュリティを脅かす恐れのある行為を行わないものとします。
9. あらかじめ弊社から書面による許可を得ることなく、自分のアカウント(管理人となっているFacebookページやアプリケーションを含む)を他の人に譲渡することはできません。
10. ユーザーがアカウントのユーザーネームを選択した場合、弊社は、適切であると考えられる場合(ユーザーの実名と密接な関係がないユーザーネームについて、商標の所有者から申し立てがあった場合など)にそれを削除または撤回する権利を留保するものとします。
これから書く話は誰にも信用されないだろう。統失の妄想だと言う人間もいるかもしれない。当時から統失だったのかもしれないが、これは自分が何度となく自分自身の目で見て感じてきたことだ。信用されないだろうし、だからどうしたと言われれば言い返す気力も無い。この現実に逃げて今現在の自分の環境を他者のせいにしているのかもしれない。
ここ数年いろんなことがあり過ぎた。それを整理するために以下に記すようなことがあったということを膨大な数の増田の書き込みの中に書き記しておこうと思う。僕はここに今現在起きている問題の原因があるとしか思えないからだ。
一番古い記憶として思い出されるのが、小学校高学年頃のことだ。大学生になって初めて自分の部屋というものができたが、当時はまだ大部屋というか1つの部屋に兄弟の机が大きな衣装箪笥を挟んでおいてある状態だった。その部屋の中には両親のものも多数置かれていた。一軒家だが2階部分に家族で住み1階に父方の祖父が寝たきり状態で暮らし、祖母は離れで住んでいる状態だった(祖母もまもなく寝たきりとなったが)
部屋もあって無いような状態。どこにでもあるありふれた光景であったとは思う。こうした環境でプライバシーなんて無いに等しいかもしれないし、そもそも幼い人間にプライバシーなど必要の無いことかもしれないが、ある日みてはいけないと感じた光景に遭遇した。
『誰もいないはずの部屋から大きな声が聞こえる』
遊びに行って帰ってきた時なのかどういう状況の時だったのかは記憶が定かではない。ただ、階段をあがり居室の中に入ろうとしたときに誰もいないはずの部屋から大きな声が聞こえてきたことだけははっきりと覚えている。性的行為の声とかではない。普通の大人が会話する時に何かを見ながら気がつくと独り言を言っていた…そんな状況だ。
気がつくと独り言を呟いていたなんてことは誰にでも1度は経験があるだろう。だから、そんなに気を揉むようなことではないかもしれない。
恐る恐る部屋の様子を伺ってみた。私の机の前に人影があった。実父だった。小学生の机の中なんてたいしたものが入っているわけでもない。何故かそんな机の中を開けては『これは…』『なんだこんなもの…』と独り言を呟いていたのだ。自分専用の本棚にも目を向け『こんなもの読んでもしょうがない…』『無駄なものばかり…』とも…
ただ驚くだけだった。見てはいけない、触れてはいけないものと感じた。その場からひっそりと立ち去った。
そして、その時に見たであろう物に基づいて母にダメだしをし、子供にダメだしをする実父の姿が数日後にあった。
幼い頃ですらほとんど子供との会話をしない実父。今をして思えば、子供とのコミュニケーションのとり方がわからず苦しんでいた部分はあったのだと思う。不器用な人間。器用な人間よりもよっぽど人間らしいと僕は思う。でも、それが転じてこうしたことをするようになっては人間としてダメなんじゃないだろうか。
こうした行為はつい最近まで続いていた。信じてもらえないだろうが何度と無く現場は目撃したし、どう考えても『覗き見したよな。僕はそんなことあなたに伝えてないよな。そもそも会話が無いだろ』という状況なのに、あたかも全てを知っている体で『そんなことしたってしょうがない』『そんなことに興味をもちやがって』というような微妙な暴言(僕は暴言だと思う)を子供に対して吐いていた。実母にももちろん…
子供?
そう僕だけじゃない下の兄弟に対しても同様の行為を行っていたことを僕は知っている。
実母だけが知らない事実。大人になった頃に伝えるべき事実だったのかもしれない。でも、僕は言えなかったし言えないままの状況で今現在に至る。
冒頭で『ここ数年いろんなことがあり過ぎた』と書いた。それくらいの時期になってようやく自室の机の鍵を常時施錠し、見られたくないものを大きいサイズの施錠をできる箱にいれるようにした。PCにはパスワードが掛かっている。
あの時に見た光景。今でも目に付いて離れることが無い。こんなことがあったとしてもやりたいことがあればやってくればよかったのだし、やりたいことをやれない理由にはならないだろう。そう、言い訳にしか過ぎない。
でも、自分のいない所で覗き見をされ、自分のいない所で暴言を吐かられていると思うと…チャレンジしたいと思うことにも手を出すことができなかったのは事実だし、チャレンジしたとしても手につかない状況に陥っていたのもまた事実だ。
事実とはいえ現実から逃げているだけで言い訳ばかり言っているだけだろう。そう言われても仕方ないと思う。自ら律する努力を怠ってきた自分が情けないし大嫌いだし悔しい…
でも、これだけは言いたい。
あの人は自分を超えて欲しくない一新で自分以外のものを否定し続けている。これは身内にしかわからないこと。誰にも理解してもらえないだろう現実。
最近Opera11をインストールしてみたんだけどOpera上でEvernoteのブックマークレット(Webクリッパー)を実行するたびに毎回毎回サインインを求めてくる。毎回ユーザー名とパスワードを入れる必要があるのでストレスがたまる。他のブラウザではそんなことは起こらないのに。
Evernoteは今の自分にとって重要サービスの一つなので、これは非常に困る。何とかするためにEvernote Webクリッパーのソースを眺めてみた。
↓こんな感じ
javascript:(function(){EN_CLIP_HOST='http://www.evernote.com';try{var x=document.createElement('SCRIPT');x.type='text/javascript';x.src=EN_CLIP_HOST+'/public/bookmarkClipper.js?'+(new Date().getTime()/100000);document.getElementsByTagName('head')[0].appendChild(x);}catch(e){location.href=EN_CLIP_HOST+'/clip.action?url='+encodeURIComponent(location.href)+'&title='+encodeURIComponent(document.title);}})();
とりあえずEN_CLIP_HOST='http://www.evernote.com'の部分をhttpsに変えてみたら、ちゃんとサインインが保持されるようになりました。めでたしめでたし。
↓改変後
javascript:(function(){EN_CLIP_HOST='https://www.evernote.com';try{var x=document.createElement('SCRIPT');x.type='text/javascript';x.src=EN_CLIP_HOST+'/public/bookmarkClipper.js?'+(new Date().getTime()/100000);document.getElementsByTagName('head')[0].appendChild(x);}catch(e){location.href=EN_CLIP_HOST+'/clip.action?url='+encodeURIComponent(location.href)+'&title='+encodeURIComponent(document.title);}})();
同じ問題が起こる人がいれば試してみてください。