2005年 – ページ 19 – yohgaki's blog

Computer

WindowsでCAPSキーをCTRLに変更

5月 6, 2005 投稿者 yohgaki

LinuxならXでもコンソールでも自由にレイアウト変更可能ですが、Windowsでもレジストリを変更すれば可能です。ノートPCが使いづらいのでCAPSキーをCTRLキーにするためにレジストリを変更しています。このレジストリの変更ではCAPSキーもCTRLになるようになっています。左下のCTRLはCTRLのままです。個人的にはCAPSキーの必要性がないので使えなくても大丈夫だからです。.reg拡張子を持つファイルとして保存してダブルクリックすれば変更完了です。

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout]
“Scancode Map”=hex:00,00,00,00,00,00,00,00,03,00,00,00,1d,00,3a,00,3a,00,1d,00,\
00,00,00,00

自分のVAIO（Windows XP Professional）で使っていますが、レジストリの変更は危険を伴います。当然ですが無保証です。ご注意ください。

Computer

DELL 20インチモニタが7万6千円

5月 6, 2005 投稿者 yohgaki

前回の様に約5万5千円という激安ではないですが、20インチUXGAモニタがオンラインクーポンを利用すると約7万6千円（送料、消費税込み）で買えます。価格.comでもこの価格帯は最安です。もう1台購入しました。

D-Sub、DVI-D、S-Video、Compositeと4系統もサポートしています。この機能は使ったことが無いので使い心地は分かりませんが、PIP機能を使用するとS-VideoとComposite入力を画面上に出力できるようです。
# つまり、DVDプレーや等の出力をキャプチャカード無しで
# 画面上に出力できる。出力する場所も選べるようです。

sRGBはサポートされていません。発色を優先するならやはりEIZOのLCD（EIZO FlexScan L565）方が良いですね。具体的にはEIZOのLCDに比べるとぎらぎらした感じがあり、白が白すぎるような気がします。今使っているこのDELLモニタはブライトネスを最小に設定して使用しています。色合いの問題を気にしなければお勧めのモニタと思います。23か24インチを一台買うより、この20インチモニタ2台の方がプログラムなどの作業は行い易いと思います。

Other

科学常識このぐらいは

5月 5, 2005 投稿者 yohgaki

文部科学省がこのくらいの科学常識は知っているべき、ということでガイドラインを作るらしい。

【科学常識チェック、〇か×か】（国際比較の共通質問から）
　〈１〉地球の中心部は非常に高温
　〈２〉すべての放射能は人工的に作られた
　〈３〉我々が呼吸に使う酸素は植物から作られた
　〈４〉赤ちゃんが男の子になるか女の子になるかを決めるのは父親の遺伝子
　〈５〉レーザーは音波を集中することで得られる
　〈６〉電子の大きさは原子よりも小さい
　〈７〉抗生物質はバクテリア同様ウイルスも殺す
　〈８〉大陸は何万年もかけて移動しており、これからも移動するだろう
　〈９〉現在の人類は、原始的な動物種から進化した
　〈１０〉ごく初期の人類は、恐竜と同時代に生きていた
　〈１１〉放射能に汚染された牛乳は沸騰させれば安全

全く自慢にもならないですがこの記事に書いてある問題は全問正解でした。（正解はリンク先に記載されています）しかし、18歳以上を対象に「ごく初期の人類は恐竜と同時代に生きていた」と聞いた結果、日本人の正答率は54%!で国際順位で13位だそうです。耳を疑いたくなる結果ですね…

Other

よく聞く話ですが…

5月 3, 2005 投稿者 yohgaki

日本の医療が遅れている、と言う話はよく聞く話ですがＮＨＫスペシャル「シリーズ　日本のがん医療を問う第１夜 “救える命”を救うために」の統計はすごいですね。国立癌センター調べでは乳癌の治療で学会のガイドラインに合っている治療が行われているのが半分、1/4は不必要な治療、1/4は治療によって悪化！しているらしいです。

Computer, Linux

ブートローダのインストールで固まる場合の対処

5月 2, 2005 投稿者 yohgaki

SATAが1台だけ搭載されているDELL PowerEdge 800にMomonga Linux 2をインストールを試みるとブートローダ（Grub）のインストール中に固まってしまいました。どうもブートローダのインストールができない状態のようなので、インストール中のXの画面から

ALT+SHFIT+F2

でVertual Console 2からtopコマンドと実行するとgrubプロセスが100%CPUを使用した状態でした。何らかの理由で無限ループに陥ったことが原因と思います。

とりあえずの対処は手動でGrubをインストールすればOKです。まず、grubのプロセスIDを調べてkill PID、そして

chroot /mnt/sysimage /sbin/grub-install –recheck /dev/sda

と入力して手動でGrubをインストールすればOKです。インストール出来ない場合は–recheckを削除して試してください。あとはXの画面に

ALT+F7

で戻り、「再起動しますか?」と聞かれているはずなので再起動すればOKです。
# バーチャルコンソールから再起動しても良いですが、一応…

Grubがインストールできないケースはあまり無い(?)とは思いますが、情報として。

Computer, Programming

session_regenerate_idの使い方に注意!

4月 30, 2005 #PHP, #セッション管理, #認証投稿者 yohgaki

久しぶりにPHP-users MLを見るとsession_regenerate_id関数が「古いセッションIDに関連したセッション情報を削除しないのは困るよね」と投稿がありました。

バグレポートではBogus（バグじゃない）というステータスになっていました。確かにsession_regenerate_id関数は新しいセッションIDを生成する為の関数として追加されました。新しいセッションIDを作れば仕様上は問題ない、と主張できるかもしれません。しかし、アプリケーションの作り方によってはセキュリティ上の問題を発生させる原因になるので変更するべきですね。

セッションモジュール、セーブハンドラモジュール、シリアライザモジュールの各グローバル変数がマクロでアクセスされる作りになっています。（セッションモジュールは更にサブモジュールと持つ構造になっています。随分前ですがWeb+DB Pressに書いた通りです。興味のある方はどうぞ。）さらに引数などもマクロで定義されているため、初めて読むプログラマには非常に分かりづらいソースになっています。

PHPセッションモジュールのソースを読んだ事がある方なら分かりますが、グローバル変数を使用している、今回の場合はPSマクロで利用するグローバル変数、のでセッションID、PS(id)、を保存しないとならないように思えます。
# 今思いつきましたが、PS(data)にempty_stringを入れて
# おけばOKなような気がします。

session_destory関数にはバグがあるようでセッション情報は空になりますが、ファイルをunlinkしたいようなコードになっているのですが…、unlinkされていません。XFSなど、ディレクトリエントリにB-Treeを使用しているファイルシステムでは大量のファイルがあっても性能上や使用上問題ありません。個人的には50万ファイル（50万セッション）までファイル作成してベンチマークしてみましたが、性能は全く変わりませんでした。

ext3を利用している場合、2の問題で困る可能性があります。一つはinodeの枯渇ともう一つパフォーマンスの低下です。デフォルトではinodeが枯渇する可能性は大きいと思います。DoSの原因にもなるので注意しましょう。Linuxの場合、ディレクトリエントリはキャッシュされているので多数のファイルがある場合でもかなり良い性能ですが、それでも何十万ファイルレベルになると遅くなります。

セッション管理は有効期限を0に設定したセッションクッキー（ブラウザの終了と同時に削除されるクッキー）を利用し、自動再ログインなどの仕組みはアプリケーションでセキュリティ上の問題が許容される取り扱い方法を独自に実装する方が良い、と考えています。

もし有効期限が長いセッションIDを利用してログイン状態を保ち、セッションIDの再生成でXSSのリスクを軽減されている場合はsession_destroyを使用してセッションの削除を忘れないようにしなければなりません。ご注意ください。

Computer

Senna 組み込み型全文検索エンジン

4月 29, 2005 投稿者 yohgaki

触ってもいませんが便利なようです。待っているとPHPのモジュールができると思う（違う?）ので待ってみることにします。

Computer, Other

自分用にAdsense!

4月 29, 2005 投稿者 yohgaki

仕事上、興味を持たなかったこと自体不適切（？）とも言えるかもしれませんが、アフィリエイト等に全く興味がありませんでした。新しく本を出版した際に、なんとなくAmazonのアソシエイト・プログラムはどの程度の利用されているか知りたくなり申し込み、このブログにも自分の書いた本のリンクを貼り付けています。

Web広告と言えばGoogleのAdsenseなのでAdsenseも申し込み、Wikiの方にはテキストリンクをページの一番下に貼り付けてみました。Amazonのアソシエイト・プログラムの時も使って見ないと分からなかったポイントカードとして利用方法がありましたが、Adsenseも同じでした。

Googleの広告は興味がある場合、時々クリックしていたのですが自分のWikiに貼り付けたテキスト広告はかなり的を得ています。Wikiのコンテンツはこれから拡充するレベルですが、ページに記載されている内容から関連する広告が表示されるので、クリックしてみたくなる広告が表示されます。Adsenseで儲ける事を目的とするのではなく、自分用のアンテナとしてAdsenseを利用する、と言う利用方法は良いのではないかと思いました。

趣味のページをお持ちの方でAdsense、アソシエイト・プログラムを自分用に付けるのは楽しみも増してお勧めと思います。

# そう簡単に儲かるものではありません。
# 儲ける事を目的にはじめてもがっかりするだけです。

Computer, Linux

Momonga Linux 2リリース

4月 29, 2005 投稿者 yohgaki

Momonga Linux 2が2005/4/27にリリースされました。

主なパッケージ

*kernel 2.6.10
*gcc 3.4.3
*glibc 2.3.4
*xorg-x11 6.8.2
*emacs 22.0.50
*firefox 1.0.3
*httpd 2.0.54
*mozilla 1.7.7
*OpenOffice.org 1.1.4
*openssh 4.0p1
*PHP 5.0.4
*postfix 2.2.1
*ruby 1.8.2
*samba 3.0.14a
*sylpheed 1.9.9

早々にPHP5が投入されています。
# 入れたのは私ですが。
# 最近何もできなくて申し訳ない > メンバーの方。

Security

2ポートディスク?

4月 29, 2005 投稿者 yohgaki

この記事に書いてある「2ポートディスク」ですが、個人的にはあまり必要性が感じられませんが何か見落としているのでしょうか?

「2ポートディスク」とは2つのポート（I/F）を持つHDDの事だそうです。一つは読み込み専用、もう一つは書き込み専用だそうです。Linuxの場合、同じパーティションを何度でもマウントできます。例えばApacheは読み込み専用でマウントされたマウントポイントを利用し、コンテンツの編集者は読み書き可能にマウントされたマウントポイントを使用すれば良いように思えます。
# SELinuxにすれば、という話もありますが。

同じCPUに接続されているHDDが2つポートを持っていてもマウントオプションで読み込み専用と読み書きを使い分ける方法と違いがあまり無いので、共有ディスクにして、という話なのでしょうね。詳しい情報が書いてないのでメモとして。

Computer, Database

なぜMySQLなのだろう?

4月 28, 2005 投稿者 yohgaki

サイボウズが自社製品にMySQLを採用したそうです。MySQL ABとパートナー契約を結んだ、という事らしい。確かMySQLの商用ライセンスは250ユーロ程だったと思いますが、サイボウズもライセンス販売で商売しようという事なのでしょうか?

MySQLのコマーシャルライセンスのページにも書いてある通りサイボウズのケースは商用ライセンスが必要な事例にあたります。

MySQLのクライアント用のlibmysqlはオープンソースライセンスの場合、GPLライセンスであるためlibmysqlにリンクしているアプリケーションは完全ソースコードをGPLで公開しなければならない事になります。今までGPLとプロプライエタリなライセンスのデュアルライセンスのソフトウェアを開発してビジネスをするメリットを考えたことはありませんでした。「GPLはパックマン」と批判される関連製品のGPLライセンスによる完全なソースコード公開が必要な仕組みを利用して、自社製品をライセンス料を支払わずに利用している企業を見つけライセンス契約を結ぶと共にパートナーにし製品を販売する、というビジネスモデルは成り立ちますね。

まさかサイボウズがMySQLのライセンスがGPLであること、さらにGPLライセンスの内容をよく知らずに製品を開発して… と言う企業としては悲しい結末ということではなければと思いますが、どうなんでしょう?

# ヨーロッパではFirewall件がGPLライセンス違反で裁判になり
# 完全なソースを公開することで最近和解してましたね。
# PostgreSQLならBSDライセンスなのでこんな心配は無用ですが..

# 断っておきますが、私はPostgreSQLエバンジェリストです。
# しかし、アンチGPLライセンス派ではありませんし、
# 仕事ではMySQLも使っています。MySQLが特に嫌い、
# という事でもないです。

追記：
https://shop.mysql.com/?sub=vt&id=software
によるとトランザクション（ InnoDB )をサポートするMySQLのライセンスは500ユーロ、InnoDBをサポートしない場合は250ユーロだそうです。

ITMediaの「GPLはパックマン」の記事ではBill Gates氏が何を批判していたか分からないですね。最近、php-devにlibnmzがGPLライセンスであるためモジュールをPHPに含めることができない、という問題が発覚しました。そのとき私が書いたメールにGPLと商用製品の問題について記述しています。

最近ではサンのJ・シュワルツ、オープンソースライセンスのGPLを批判にあるようにSUNの会長がGPLを批判してますね。

Security

クロスサイトリクエストフォージェリ（CSRF）

4月 28, 2005 投稿者 yohgaki

クロスサイトリクエストフォージェリ（Cross-Site Request Forgeries – CSRF）の話。名前はともかくこれが新しい攻撃ではないことは高木さんも書かれている通り。誰でも思いつくセキュリティ上の不備ではないでしょうか? 私はもう何年も前からこういった事が起きないようライブラリ化しています。

HTTP Response Splitting Attackの時もHTTPヘッダに出力する値を確実にコントロールするのは当たり前。おかしなヘッダを送信させられるとキャッシュがおかしくなる事はまっとうなWebシステム開発者なら解っていて当たり前、と思っていたのですが…

セキュリティ関係の話をする時にはいつも言うことですが、「間違いを探すのではなく正しい事を確認するように」を実践していれば、なんだか訳の分からないセキュリティ用語が飛び出してきても慌てることは無いはずです。

参考：
http://d.hatena.ne.jp/hoshikuzu/20050130
いろいろリンクがあって参考になります。

追記：
入力済みの値の再検証を防ぐ方法（つまり期待したとおりの入力であること保障する方法）をいくつかのセミナーで説明したと思います。前のフォームに入力された値をメッセージダイジェストで確認していればCSRF問題は発生しません。フォーム毎にIDを発行し、再投稿を防ぐなど処理を行っていれば完璧です。

Security

プライバシー保護の難しさ

4月 28, 2005 投稿者 yohgaki

PCが期待通りに動作しないとフラストレーションが溜まりますよね。特に理由も分からずクラッシュるのは腹立たしい限りです。オープンソース製品ばかりであればデバックオプションを付けてビルドしてデバッガーでバックトレースをとって確認する事は簡単です。

Windowsの場合、利用してるアプリケーションのほとんどはオープンソースでは無いですしWindowsアプリの開発者でもない限り開発環境は持っているはずもありません。

Microsoftはクラッシュレポートの機能を強化したいようです。クラッシュ時に動作していた全てのアプリケーションやアプリケーションが利用していたデータ等を含むさらに詳細な情報を収集できるようにするようです。この機能が会社等でどの様な意味を持つかはCNET Japanの記事に記載されています。

この機能、このままリリースされる事になるのか興味深いですね。

追記：
プログラムのディバックをした事がある方なら誰でも理解できると思いますが、クラッシュした時のデータが全てそろっているのと全く無いのでは効率が全く異なります。データがあれば一目で解ることが、データが無ければ見当がつかない場合も多くあります。この仕組みを取り入れれば製品品質の向上につながる事は確実と思います。クラッシュ情報から会社の社員がクラッシュした際に何をしていたか解ってしまう、という仕組みは会社でのPCの乱用を防ぐ効果があってある意味良い事かも?

Computer

64bitよりdual/multi core!

4月 27, 2005 投稿者 yohgaki

なんとなくネガティブなブログが多いのは最近の気分を表しているのかも… と言うことでプラス指向な話題も一つ。

今年は一つのダイに2のCPUが搭載されるデュアルコアCPUが発売される年です。雑誌等の記事によるとアプリケーションがマルチスレッドに対応していないから云々と書いていますが、一般ユーザとしては64bit化よりデュアルコア化の方がよっぽどメリットが大きいです。

デュアルコアCPUが早く安くなれば良いですね。そのためには4コアとかのハイエンドCPUを早くリリースして欲しい！# 4コアのCPUは気の長い話しですね。

Security

RFIDの普及と健康の因果関係?

4月 27, 2005 投稿者 yohgaki

FUD(Fear, Uncertainty and Doubtの事)を流したい訳ではないのですが、この記事はFUDと思って読んでください。専門家ではないので詳しい事は知りません。

さてRFIDのチップから情報を読み取るには電波を当てる必要がありますが、生体への影響って研究が進んでいないような気が… 大丈夫なのかな?と思い簡単に調べてみる事にしました。

調べるきっかけになったのは、どこの国か忘れましたがヨーロッパのどこかでは保育園は高圧線から結構離れた場所でないと作れないとか、直ぐしたには家が作れないとか規制されている事を知っていたこと、大阪の高圧線が非常に密集している地域では白血病や癌の発病率が高い事、冷戦時代旧ソ連がアメリカ大使館に対してマイクロ波を照射していた事などを知っていたからです。携帯電話の電波が数分で脳細胞の細胞膜を破壊していることはニュースで大きく取り上げられたので広く知られていると思います。

RFIDと言っても色々種類があり読み取り距離は色々あります。読み取り距離が短い場合はRFIDのリーダ／ライターが健康への影響はないと思います。しかし、読み取り距離の長い物には出力がかなり大きな物もあります。

周波数通信距離電波法
UHF帯（860M〜960MHz）日本は利用不可＊1，米国は7m，EUは3m 米国は4Wまで，EUは0.5Wまで
2.45GHz帯日本は1m，米国は2m，EUは0.7/2m 日本は0.1〜1W，米国は4Wまで，EUは屋外0.5W/屋内4Wまで

出典：ITPro

無線LANの出力がピーク値22mW程、PHSが80mW、携帯電話が200～800mWであることに比べると大きな出力である事が分かります。電池を持たないICチップに電流が流れICチップの情報を読み取れるだけの電波出力を得る為には大きな電波をあてる必要があるのは当然と言えます。

無線電波の人体への影響についてによると、電磁界による健康ヘの影響を指摘する報告は統計精度が低い、結果に一貫性が無いなどの問題があるため信用性が低いとしています。イギリスで発表され話題になった「携帯電話で脳腫瘍になる」という説もラットによる実験で脳腫瘍の発生に及ぼす影響は無いとしています。このレポートを作成した社団法人日本電気制御機器工業会はRFIDを推進する立場にあるので健康に影響があるとするレポートを公開するとは思えませんが…

確かに一定以下の出力で適切な距離、離れていれば問題は少ないかも知れません。しかし、違法な電波出力で個人情報収集やマーケティングを目的にRFIDチップ情報の読み取りを行う人達が必ず現れると思われます。これなら大丈夫というデータではなく、ここまでやると影響があるというデータを取りこれくらいなら大丈夫、と言えるデータを取らなければ信憑性を疑いたくなります。

セキュリティ面でRFIDの危険性を指摘されている場面は頻繁に聞くのですが、健康面ではどうなんでしょうか?九州総合通信局の基準によるとかなり高出力でも生体への影響は大きくないとも読めますね。時間があるときにこれらのリンク先を読んでみることにします。

リンク：
電磁界と健康
電磁波ナビ
 電磁波が健康に及ぼす影響について
電波防護ための基準
電波の生体への影響

年: 2005年