はてなキーワード: サンドボックスとは
貧乏人なんで500g770円は高いなあと思ってたんだけど実際よく考えてみると料理一回あたりに使う量はしれてるわけで、なんだったら10回で使い切ったって1食あたりの値段は80円程度か、と思ったから買ってみた
すげえうまい、爆発的なうまさというよりはあとをひくうまさという感じで、2食分のつもりで作ったチャーハンを1食で食べてしまう
汁ものにも使えるって話をきいた、水を沸かしシャンタンを入れ、適当に買ってきた水餃子と切ったキャベツを入れてちょっと煮るだけでかなりいけるとか たしかにうまそうだ
いい調味料を手に入れたときの応用をいろいろ考えて楽しくなる感覚、サンドボックスゲームで新しい素材を手に入れたときにも近い感じがする、まあまさに同じことが起こってるわけだ
完全に出遅れてるけど、この増田を読んで自分も書いてみたくなった。
https://anond.hatelabo.jp/20200127132401
時間のかかるゲームはあまり遊ばなくなったので、一般的に名作と呼ばれるゲームはほとんどランクインしてないけど、あくまでも自分の中でのベストテンなんだから、変に忖度する必要もないか。
これ自体が発売されたのは2010年代だけど、収録されているのは大昔のゲームだから……まあ番外編ということで一つ。
最新ゲームハードで最古に近いゲームを遊ぶという、なんかすごい贅沢感を感じた。
ファミコン時代以降のゲームならまあ割と手軽に遊べるけど、それより古くなると遊ぶのは困難でこれまで情報しか知らなかったんだよね。
そんな情報しか知らないAtariの昔のゲームが遊べるんだから、なかなか意義のあるゲーム。今遊んでも面白いかどうかは置いておいて。
ただ、これほど興味深いソフトも他になかったのも事実で、印象には残っているんだよ。
Switchを買ったぜーーー!!!!というお披露目に最適なゲームで、Switchの新機能を使ったバカバカしいミニゲームが楽しめる。
コントローラーを動かして、ボールの数を振動で当てるゲームは本当に感動した。ただ振動しているだけなのに、本当に箱の中にボールが入っているように感じるんだもん。
ボリュームの少なく、やりこみ要素も特になく、オマケに1人で遊べないという散々なゲームで酷評されるのはよくわかるけど、これ1本あるととりあえず宅飲みするときには大活躍するから持ってて損はないと俺は思う。
誰もがいらないと思ってるニンテンドー3DSの3D機能を唯一うまく使ってると思うゲーム。ちゃんと3Dが謎解き使われてる。
そして、高いところから飛び降りるときに立体感がスゲー。マリオ64系とは違う箱庭的な3D世界も良かった。
これを3DSのローンチで発売すれば、初期の3DSの売り上げもだいぶ変わっただろ。
ここまで書いてて思ったけど、Kinect、1-2-Switch、そしてコレと、ハードの特徴を存分に使ってるゲームは全体的に印象に残りやすいし、好きだな。
キネクトはとにかく凄いんだ。コントローラーを使わずに、体感ゲームが家で遊べちまう。
でもXbox360を買い、高いキネクトを買い、さらに広い部屋が必要になるというハードルが高いゲームなんだ……。
まあ、Xbox360はスカイリム同梱版の安価なやつが当時あったし、キネクト用の広角レンズがサードパーティから発売されていて、それを使えば狭い部屋でもなんとか遊べる。
キネクトのゲームは、スターウォーズのやつやら三部作のギャルゲーやら色々遊んだけど、一番好きなのはキネクトスポーツの卓球だな。
スタイリッシュ逆転裁判。流れる証言を言葉で打ち抜くという演出が物凄く面白そうに見えて、発売日に買ったよ。
冷静に考えなくてもシナリオが雑なんだけど、妙にカッコいい演出や勢いのあるシナリオで睡眠時間を削るほど一気に遊んだ。
ラストは、絶望しているメンバーのセリフに希望をぶつけるという、システムを逆手に取った演出がステキ。
大逆転裁判1はぶっちゃけ逆転裁判シリーズ1の駄作だと思う。しかし、その続編の大逆転裁判2は逆転裁判シリーズ1の傑作だと思う。
前作の反省点というのもあるんだろうけど、最初から最後までワクワクしつづけられる内容になっていることや1から貼られている複線の回収が見事。亜双義が件とか、アイリスの父親とか。
最後の犯人は逆転裁判シリーズでありそうでなかった犯人なので、今後これ以上の衝撃はあるかわからん。
はてブでお馴染みの無謀な企画に挑戦するpatoさんの記事を読んで、自分も始めてみた。
出かけた先々の駅をチェックインして、記録と残していくだけなのに、これが不思議と面白い。
でんこのスキルを使ってチェックインした駅にいる他のユーザーをうまく倒していって……ゲーム的な要素もあるけど、あまりそういう遊び方はしてない。旅行とか遠出したときにこまめにチェックインして、訪問した駅が増えていく様子を眺めてニヤニヤしている。
そんな感じで、ユルく遊んでいるせいなのか、今のところスマホゲームでは唯一遊び続けているゲームになっている。
車をロボットへ変形させて戦うトレーディングカードアーケードゲーム。
筐体そのものも変形してしまうので、初めて見た時のインパクトは物凄く、ついついそのままハマってしまった。
オリジナルの車も多いが、実在する車も多く、これを遊んだことでただの移動手段でしかなかった車そのものも興味を持つきっかけになった。
俺の愛車のデミオもちゃんと登場するぞ!!!なんか不格好なロボットにされたけど。
全然関係ないが、シンカリオンを見るたび、なぜジャイロゼッターは失敗してしまったのかと思わずにはいられない。素材は良かったんだけど……と言い続ける。
ドラクエ版マインクラフト。マイクラは正直なところ自分には合わなかったが、こっちは目標を細々と提示してくれるので、受動的にゲームとして進めやすい。
狙っているのかどうかは知らないけど、サンドボックス系ゲームのカクカクした世界が、ドラクエワールドと異常なまでにマッチしていて、違和感なくすんなり遊べる。ちょうどファミコンのドラクエをそのまま3Dにしました、みたいな世界観になっている。
あと、シナリオがとにかく素晴らしい。精霊ルビスが止めるのを振り切り、主人公が単身で竜王の島に渡って、これまでのビルドのテクニックを応用して竜王を倒すというラストの展開は純粋に感動した。
アイカツを1位にしてプリパラを2位にするか、それとも逆か。うん、甲乙付けづらい。よって、どちらも同率1位。
好きなキャラが好きなコーデを着て、好きな曲でライブをするのが、なぜこんなに楽しいのか。
なにせ女児向けゲームだから、初めはコソコソ遊んでいたのに、いつのまにか堂々と遊べるようになったんだから怖い。そこまでして遊びたくなるゲームのパワーも凄い。
ゲーム内容はザックリ言ってしまえば両方ともほぼ同じだけど、曲はアイカツの方がいい、グラフィックはプリパラの方がいい、という感じ(※個人の感想です)。
プリパラの、あの派手にキラキラしているゲーム画面は、プリズムの煌めきを目一杯受けてる気分になれる!
アイカツの方は曲が好きになり過ぎて、生まれて初めてライブへ足を運ぶことにもなった。あと、ユリカ様のキャラは今でも凄いと思う。ここまでお気に入りになれたキャラクターはいなかった。
サンドボックス的なの用意できないんだろうか。
RT数やフォロー数が多いのを競ってるが、好き勝手にやってみたとか、現実では出来ないけどこの空間なら許されるとか、
そういうのじゃないのだろうか。
匿名から顔出しに変わり、ネットが現実の村から地続きになり、数人が思いつきのルールを人に押し付けあい、監視しあい、
自分のコミュニティ以外のところにFF外から失礼すると言いつつ排斥し、
具体的な案があるわけじゃない。
でも、街中で知らない人に対して、お前のヘッドフォンかっこいいな!と一声かけるような今のネットではなく、
此処から先をクリックすると好き勝手に脳汁垂れ流してる空間だから不快に思うことあるだろうが、その時はブラウザバックしてくれと
人昔前の、人の家では外履きを脱いで履き替えろってデザインではないだろうか。
ここ連日騒がれている7pay。
パスワードリセットリンク送付先のメールアドレスに対して設計上の問題で脆弱性が発覚して大変な事態に発展しています。
昨日の会見では社長のITリテラシ不足が露呈したり、サービス継続が表明されたりして、いわゆる「祭」の様相を呈しています。
また、会見内で「セキュリティー審査を実施した」と明言がされました。
https://www.asahi.com/articles/ASM745HHHM74ULFA01Y.html
セキュリティー審査を実施していたにも関わらず、何故今回の問題が見逃されたのか。
非常に稚拙な推測ですが個人的に考えられる可能性をまとめてみようかなと思います。
その名の通り、サービスローンチ前に実施する、脆弱性や問題がないかの審査の事・・・だと解釈しました。
一般的には脆弱性診断とかセキュリティ検査とも呼ばれています。私はこちらの呼び方の方がしっくりきます。
「実施した」とはいっても、どういった内容を実施したかはわかりません。
ただ、7payは「一般に公開する」「お金を扱うサービス」になるため、ガチガチな脆弱性診断を実施すべきでしょうし、実際に実施したのではないかと思います。
通常、脆弱性診断というと、以下のような項目があげられると思います。
抜け漏れあると思うけど、大体どこのセキュリティベンダーでも上記のような項目を診断しているんじゃないかなあと思います。
詳しくは各ベンダの診断内容のページを見てみると更に詳しく載っています。
LAC、CyberDefence、NRIセキュア、ブロードバンドセキュリティ、スプラウトなど。
ただ、今回の脆弱性診断が外部ベンダで実施されたのか、内部で実施されたのかはわかりません。
以下、推測をつらつら書いていきます。
脆弱性診断はモノによりますが、診断内容をマシマシにするとエラい額が掛かります。
Webサービス診断は見積もり方法が各社違ったり、ツールを使うか手動とするかによって金額も大きく変わってきます。
また、数量計算もベンダによってまちまちです。ページ単位であったり、画面遷移単位であったり、SPAであればAPI単位であったり、複合での計算だったりします。
お願いすれば見積もり時にステージング環境で動いているWebサービスをクロールして、各ページの評価を付けてくれるベンダもあります。
規模と見積もり内容にもよりますが、100~200万といったところでしょうか。
スマホアプリ診断は一本幾らという場合が多いような気がしますね。相場としては50万~100万程度でしょうか。
プラットフォーム診断も内容によるとは思いますが、大体100万くらいかなあと思います。
これ以外にWebSocketを使っていたり、別のサービスと連携していたりするとその辺りの通信も含まれてくるのでまた金額は上がる可能性もあります。
Webサービス200万、スマホアプリ(iOS、Android)100万*2、プラットフォーム100万とすると、500万円掛かるわけですね。
脆弱性診断をするだけでこれだけのお金が吹っ飛んでしまうわけです。
そしてこれをそのまま発注するかと言われると、多分しないでしょう。
セキュリティはお金が掛かる割にリターンが少なく、目に見える結果が必ず出てくるとも限りません。
経営層は中々首を縦には振らないでしょう。
会見でも明らかになったことですが、社長のITリテラシはあまり高そうにありません。
こうなると脆弱性診断の稟議を通すのは中々容易ではなかった可能性もありそうです。
また7月1日に間に合わせたようなところもあるっぽい(?)ので、開発側に資金を全振りしていた可能性もあり、診断に費用を掛けられなかったのかもしれません。
いずれにせよ、全く実施しないのはまずいし重要そうな部分だけピックアップして実施しましょうという話にはなるでしょう。
削れるものをあげていってみましょう。
例えば、iOS用スマホアプリは実施しなくても良いかもしれません。iOS上で動くアプリは確かサンドボックス構造になっているはずで、ローカルに何かしらのデータを持っていても外部からのアクセスは基本不可であるためです。確か。
そもそもスマホアプリ自体不要かもしれません。7payのサービスへのアクセス用インターフェイスとしてのアプリしか提供していないのであれば、取り扱うデータはほとんどないと考えられるためです。そのため、スマホアプリAndroidのみ、もしくは両方実施しなくても大きな問題は発生しないのではないかと思います。
・・・この辺り私の勘違いというか、「最優先でやるべきだろjk」といった考えがあれば指摘ください。
プラットフォームも、ベンダによりますが実施しなくとも良いとも思います。
ベンダの説明でも、主にポートスキャンをして、空いているポートに対してtelnetで色々したりするといった説明がなされたと思います。
Webサービスなら443と、空いていても80くらいしか外部には公開していないので、これは実施しないという選択をしても不思議ではないと思います。
サーバのコンフィグも、DocumentRootがおかしいとか致命的な設定ミスをしていない限りは見てもらう必要はないでしょう。
そもそも構築手順等はノウハウもあるでしょうし、わざわざ見てもらう必要性はほとんどないわけです。
ワイドショーでは「不正は海外IPからで、国外からのアクセスを許可していた」事が取り上げられていましたが、例えプラットフォーム診断をしていても、この辺りは指摘されなかった可能性があります。
実施していればもしかしたら備考レベルでの注意や、口頭で「国内のみに留めておいた方がいいかも」といったことは伝えられたかもしれませんが、「利便性」という観点から実行されることはなかったんじゃないかなと思います。
Webサービスですが、ログイン・ログアウト処理は必須でしょう。また、新規登録、情報変更、退会処理も重要です。
パスワードリセットはどうでしょうか。正直これも重要です。なので、ベンダに依頼するにあたってはここも診断対象としていたはずです。
ところで今回の件では協力会社について様々な憶測が飛んでいますが、NRI説が結構人気みたいです。
ただ、NRIにはNRIセキュアというセキュリティに特化した子会社が存在しています。
もし脆弱性診断をするとなった場合、そこを使わないという手はあまり考えられません。そもそも発注時にそれを見越して診断費も開発の見積もりに含まれているのではないかと思います。
ただし、セブン側が「脆弱性診断はこちら側で発注します」と言っていれば話は別です。
NRIセキュアは診断費用が高いらしいので、コストダウンするために別ベンダに診断部分のみ発注する可能性はあります。
別のベンダに発注したことで、抜け落ちた可能性はゼロではないかもしれません。
また、NRIセキュアが実施する場合においても、「ここは抑えておいた方が良い」という機能毎やページ毎にランク付けした資料をセブン側に提出することと思われますが、どこを実施してどこを削るかの最終的な判断はセブンに委ねられます。
考えられる事としてはパスワードリセットの処理を診断対象外としたことですが・・・そうする理由もわからないので、うーん・・・。
ただ、こうして対象を削りまくることで100万程度、もしくはそれ以下まで診断費用を抑えることができます。
使ったことはありませんが、SecurityBlanket 365というサービスは自動での定期診断が可能なようです。
ライセンスやどういった動き方をするのかはいまいちわかりませんが、ベンダに逐次依頼する脆弱性診断よりかは安く済むはずです。
ただ、自動診断となると設計上の不備やそれに伴う問題は検出できないはずです。
ツールの手が届く範囲での、XSSやPoC、ヘッダの有無など、ごく一般的な脆弱性診断になると考えられます。
でも手軽そうで安価っぽいなので、これで済ませていても不思議ではないです。
脆弱性診断ツールはOSSのものもあればベンダが販売していたり、SaaSで提供しているものもあります。
OSSならOWASP ZAPやw3afがWebサービスの診断が可能です。また、phpcs-security-auditなど、ソースコードを解析し脆弱な箇所がないかを診断するものもあります。
ちなみにWebサービスに対する診断を「DAST」、ソースコードに対する診断を「SAST」と言ったりします。
有償のものとなると、DASTは先程のSecurityBlanket、AppScan、Nessus、Vex、VAddyが挙げられると思います。
SASTになると、RIPS TECH、Contrast Securityなどでしょうか。
上記のようなツールを用いて、セブン内で脆弱性診断を実施することでセキュリティの知見を高めたり、内部で完結させるための動きを取っていたかもしれません。
こういった動きは結構色んな組織で見受けられます。外部の手を借りずに診断ができれば、関係者間の調整も楽ですし、それと比べると費用も安く済みますからね。
ただし、社内のエンジニアに任せる事になるため、片手間になってしまう可能性があります。
また、ツールの使用方法についてのノウハウは溜まるかもしれませんが、それとセキュリティの知見が溜まるかどうかは別の問題としてあると思います。
・・・とは言ってもセブンにはCSIRT部隊がちゃんとあるんですよね。
https://www.nca.gr.jp/member/7icsirt.html
『7&i CSIRT は、7&i グループの CSIRT として設置され、グループ企業に対してサービスを提供しています。』と記載があります。
また、『7&i CSIRT は、7&i HLDGS. の組織内に専任要員を以て設置され、インシデント発生時の対応だけでなく、インシデント発生の未然防止にも注力しています。
グループ企業の情報システム部門と連携し、7&i グループ内で発生するインシデントに対する未然防止のための調査・分析とリスク情報の共有、ならびにインシデント対応活動を行なっています。』
という記載もあるため、今回の7payも、7&i CSIRTが動いてセキュリティ関連のチェックをしていたのではないかと思います。「情報システム部門」とはありますが。
組織図上にはありませんが、デジタル推進戦略本部の下か、リスクマネジメント委員会、情報管理委員会のどこかに所属しているんじゃないかと思われます。
日本CSIRT協議会にも名を連ねているわけですし、CSIRTメンバーは専任要因ともありますし、セキュリティ関連の技術知識は十二分にあると思うんですよね。
なので、内部でツールを使って実施していたからといって、こんな重大な不備を見逃すというのはちょっと考え辛いなあ・・・と思います。
会見内で言われた二段階認証も検討事項に上がらなかったのかなあ・・・と。
で、これを書いている最中に気付いたのですが以下のようなリリースが出ていたんですね。
https://www.7pay.co.jp/news/news_20190705_01.pdf
これを見ると内部のCSIRTが機能していなかったか、力不足と判断されたかどちらかになるのかな・・・と。
実際はどうだかわかりませんけど・・・。
これも有り得る話かなあ・・・と。
開発やベンダやCSIRT部隊が情報共有したとしても、POが忘れていたとか、伝えたつもりが曖昧な表現で伝わっていなかったとか・・・。
ベンダが実施して指摘事項として伝えていたけど、いつの間にやら抜け落ちていてそのままサービスイン・・・というのもシナリオとしては考えられますね。
7payは社内的にも一大プロジェクトだったはずで、スケジュールも決まっている場合、余計なことを物申すと手戻りや対応に時間を取られることになります。
そういった事を許さない空気が出来上がっていると、まあ中々上には上がってきづらいです。
これも十分にありえる話ですかね。ないといいんですけど。
どうしても『審査』という言葉に引っかかっています。『検査』ならまだわかるんですが。
そこで思ったのですが、情報セキュリティ基本方針と個人情報保護方針を元にしたチェックリストのようなものがセブン内にあって、それを埋めた・・・みたいなことを「セキュリティー審査」と言っていたりするのかなと思ってしまったんですね。
でもこれはセブンペイの社長が個人情報保護管理責任者ということで、ISMSやPMS等で慣れ親しんだ単語である『審査』を使っただけかもしれません。
そもそもそれで終わらせるなんて事ないでしょう。セブン程の企業が・・・。
大穴ですね。いやこれはないと思いますよ。あったら大問題じゃないですか・・・。
というわけで、なんとなく「こうだったりして・・・」みたいな事をつらつら書いてみました。
そういえばomni7で以下のお知らせが上がっていましたね。
https://www.omni7.jp/general/static/info190705
『定期的にパスワードを変更いただきますようお願い申し上げます。』とのことです。CSIRTはもしかしたらもう機能していないのかもしれないですね。
もしくはわかりやすい対策を提示しろと言われたのかもしれません。それなら仕方ないんですけど。
以上。
一部typoとか指摘事項を修正しました(役不足→力不足 etc)。
ついでに時間経ってるけど追記します。もう誰も見ないでしょうけど。
ちゃんと読んでいただけましたか?全文通して私の主張が「監査をしっかりやれば防げた」という意味と捉えられているのでしょうか。そんなに分かりづらい文章を書いた覚えもないのですが・・・。
一番上でも記載していますが、私は今回の7payの「セキュリティ審査」は、「脆弱性や問題がないかの審査の事」、つまり「脆弱性診断」を指していると仮定して本エントリを書いています。
そういう意味で、ここで私が指している「審査」と貴方が指している「監査」は似て非なるものです。字面は少し似ていますがね。
監査は貴方の記載する通り「ある事象・対象に関し、遵守すべき法令や社内規程などの規準に照らして、業務や成果物がそれらに則っているかどうかの証拠を収集し、その証拠に基づいて、監査対象の有効性を利害関係者に合理的に保証すること」です。
貴方の言う「監査」に近いことは「セキュリティー審査自体が、情報セキュリティ基本方針と個人情報保護方針に沿った内容かどうかを確かめただけだった」の見出し部分で触れていますが、それで終わらせているわ Permalink | 記事への反応(2) | 05:48
連休で気持ちが解放されて携帯ゲーム機の収集ゲーに手を付けてしまった。
一週間くらい触らないだけ。簡単。深みにハマる前に止めては触るを繰り返している。
やることを考えてやるゲーム。収集ゲー・RPG・ハスクラ・FPS・サンドボックスなど。
突然思い出したかのようにやりたくなる。なにもしてない状態の焦燥感から。現実に耐えきれない時。
突然ゲームをさわっていた記憶を思い出してゲームを触りたくなってしまう。
直後は欲求が解消されて楽しい一瞬が過ぎるとゲームを止めたくても止められなくなってつらい。
ゲームだって、目標を意識して長期的な目線で日々行えば、上達を感じたり結果を残せて学びや嬉しさは依存でやるより大きかった。
会社のレゾンデートルから日系の訳のわからない、業務アプリ会社が開発したセキュアブラウザアプリが携帯に導入されている。
セキュアブラウザなので、サンドボックスからスマホ上にデータの移動が一切できない。
それはそれでそういう仕様が求められるのでいいのだろうが…、この2年間まともにアップデートされておらうとにかく使いづらい。
まず自分のメールの作成、削除は出来るが、フォルダへの移動ができない!
メールアドレスを入れるのに毎回全遷移するアドレス帳から一人ひとり引っ張ってこないといけない
などなど言い出したらキリがない。
…
という愚痴を知人に話をしていたら、知人もニヤリと笑ってスマホを見せてくれた。
俺も使ってるよ、それ。
時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
---|---|---|---|---|
00 | 82 | 15283 | 186.4 | 41.5 |
01 | 56 | 7700 | 137.5 | 53.5 |
02 | 38 | 4609 | 121.3 | 54.5 |
03 | 14 | 3017 | 215.5 | 67 |
04 | 12 | 673 | 56.1 | 36.5 |
05 | 8 | 1762 | 220.3 | 48.5 |
06 | 12 | 789 | 65.8 | 38.5 |
07 | 28 | 2621 | 93.6 | 37 |
08 | 42 | 3231 | 76.9 | 48 |
09 | 77 | 9701 | 126.0 | 37 |
10 | 100 | 7149 | 71.5 | 41 |
11 | 160 | 14427 | 90.2 | 51.5 |
12 | 226 | 20056 | 88.7 | 48.5 |
13 | 159 | 10257 | 64.5 | 33 |
14 | 82 | 10113 | 123.3 | 42 |
15 | 90 | 8416 | 93.5 | 26 |
16 | 83 | 6406 | 77.2 | 32 |
17 | 102 | 11935 | 117.0 | 33.5 |
18 | 88 | 5963 | 67.8 | 29 |
19 | 77 | 7708 | 100.1 | 34 |
20 | 157 | 8594 | 54.7 | 34 |
21 | 106 | 12992 | 122.6 | 42.5 |
22 | 117 | 6835 | 58.4 | 32 |
23 | 102 | 9224 | 90.4 | 51 |
1日 | 2018 | 189461 | 93.9 | 40 |
人造(5), 社会の窓(13), 哺乳(4), 哺乳瓶(10), 漁獲(4), 井の頭公園(3), 粉ミルク(9), サンドボックス(9), 液体ミルク(9), カメ止め(4), エホバの証人(8), わいせつ(11), ミルク(9), ブラ(8), 年々(6), カフェ(13), ステマ(13), 社外(5), 露出(20), 魔(9), 踏ま(5), ブラウザ(11), OS(9), AM(12), PM(12), お湯(9), 乳(9), 安倍(21), 貯金(15), スポーツ(17), 鼻(12), 開い(13), サイズ(11), 優れ(9), 家事(19), 男子(12)
■未完のままだけど評価が高い作品ってある? /20190307093053(28), ■大学入学までにするべき事 /20190307220630(23), ■貯金ゼロって嘘でしょ? /20190307230521(16), ■追記:アラサー女だけど社会の窓周辺をいじる男が多くて社会が不安だ /20190308115145(15), ■恥も外聞も無しに書く。増田、結婚してくれ /20190306225513(12), ■ノートパソコンおすすめ教えて /20190308201145(9), ■乳児用液体ミルク発売解禁に寄せて小児科医の雑感 /20190307171049(9), ■ /20190308143934(8), ■安倍の後が不安 /20190308201125(7), ■思い込みで脳を騙せばダイエットも成功するんじゃないだろうか /20190308084513(7), ■鶴の一声よりいい表現って今なら絶対あるよね /20190308151730(6), ■収入の無い男に結婚する資格は無い /20190308115022(6), ■真面目に答えて欲しい、日本産ドラマ見てる人って何が楽しくて見てるの?????? /20190308003515(6), ■マヨネーズをかけたら不味くなるものを教えて /20190307131015(6), ■今日も女は花を売る /20190308131916(6), ■妻が絶望的にトロくて限界にきた /20190308181237(6), ■三大砂の〇〇 /20190308082316(5), ■不景気の原因は日本人が怠け者になったから /20190308013109(5), ■自民党って誰が支持してるの? /20190307065900(5), ■増田って自分語りに向いてなくない? /20190308155306(5), ■Twitter見てたら(たぶん)俺が妊婦ボコった事になっててワロタ(真顔) /20190308115109(5)
6079422(2671)
実際にブレンダン・アイクの主張としては「ブラウザのシェアが巨大GAMAとかに独占されたら、それこそベンダー独自の謎仕様とかてんこもりになって更にはユーザがそれに依存するから(GAMAが仕込んだ)マルウェアとかを排除できんくならね?」ってことで
もっというとJS実行エンジンがブラウザ表示速度のコアになってる関係でセキュリティモデルは寧ろある程度毀損した方がその辺速度が稼げるみたいな発想はあるんじゃねーの。
その内JSでDMAアクセスできるようなブラウザとかも出てくるんじゃねえか? そん時に至っても「サンドボックスでDMAが制御されてるから大丈夫」なんて言われてもワイは絶対信用できない訳だが。
サンドボックスを備えたブラウザを装った悪のブラウザってそれマルウェアだろ?
「サンドボックスの解釈は定まっていない、これがこのブラウザのサンドボックスだ」って言うわけ?
言われて納得するわけ?
ChromeもFirefoxも実はマルウェアの可能性があってアイクは自分が作ったブラウザしか信用しないはずだ、って言ってる?
とりあえず件のアレやコレは
・ブラウザで実行されるJSには必ずサンドボックスが実装されている
それに対してワイが「それは無いんじゃねーの…そんなのブラウザの実装に依りけりじゃん…」って言ってるのがこのtreeやで。
ブレンダン・アイクが上記謎前提について「this is truth.」なんて言うはずないだろ。
補足しておくと
・JavascriptでOSを操作しうる実行プログラムはヘタしたら小学生でも作れる
・Javascriptは紙に書かれたシミにしか過ぎず、それを解析実行するエンジンについてはベンダーにより仕様も動作もまちまち
・ブラウザ以外で実行できるJavascriptもある。wscriptコマンドとかで実行できるんだって。へー。
・「サンドボックスモデル」なんて謳ってるブラウザのベンダーっていなくね? (セキュリティは謳っていても)
ってことな。
実装方法というより仕様だな。何を以てサンドボックスとしているか、何を以てサンドボックスと判定されるのかってのの定義が割かし決まってないだろ。
そうあれかしとかの思想は勿論あるにしても全部のブラウザがそうなってないのに加えて別にOS側がサンドボックスとしてのブラウザJS実行なんて発想を持っていない(iOSとかはあるけど)