とりあえずWikiを復旧

Webサーバのコンテンツはsubversionで管理しているのですがWikiはデータがWebサーバ上にあったためバックアップ対象から外れていました。この為、先日のHDDクラッシュでWikiデータは消滅してしまいました。とりあえずほとんど空のWikiとして公開を再開しています。

Pukiwikiを使っているのですが前からコンバート後にpreに変換させる為の行頭のスペース追加がめんどうでどうにかしたかったのですが、時間がなくて放っていました。

今回、再インストールするにあたってインデントボタンくらいは付けよう、とhttp://pukiwiki.org/ の自作プラグインpreedit.inc.phpというプラグインを見つけましたが、Mozillaで使えないこと(致命的)と現時点での最新版Pukiwiki 1.4.5-1では編集ページ表示の仕様が変わった(?)為か動作しませんでした。と言うことでパッチで作ってしまう事にしました。

http://www.ohgaki.net/wiki/index.php?Pukiwiki

基本的に編集ページを生成するスクリプトにボタンとJavaScriptの出力を追加するだけのパッチです。手動で別のバージョンのPukiwikiで使うのも難しくはないと思います。 必要な方はご自由にお使い下さい。
# 一応IE、Mozilla両方で動作しますがMozillaの方がまし
# に動作します。早くIEは捨てましょう!(本当に)

パッチを適用すると下の画像のように「インデント」ボタンが追加されます。マウスでインデント(アンインデント)する範囲を選択し、ボタンを押すと行頭にスペースが追加されます。

pukiwikiのインデントボタン

Facebook Comments

AJAX – ダイナミックWebコンテンツ

JavaScript/DOMを使ったメニュー生成やフォーム選択状況に応じて適切なメッセージを表示するダイナミックコンテンツは多くありましたが、よりインタラクティブなHTMLコンテンツがどんどん増えそうです。

AJAX = Asynchronous JavaScript + XML

XMLHttpRequestを使った方法ですが、非常に新しいと言うことではないのですが最近急に注目されはじめました。

はやりgoogleのせい?

ここここが参考になります。

Facebook Comments

形ある物はいつかは壊れる…

とは言っても連続してHDDが2台、そして購入して1年経たないLCD1台、結構古い(とは言っても4年未満)のCRT、ダメだしに台所の蛇口が… こんなに連続して壊れなくても、しかも最悪のタイミングで…

Facebook Comments

新しいドメインの仕組や新ドメインは必要か?

私は国際化ドメイン名(IDN)は前から必要無いと考えています。そしてフィッシング(Phishing)の流行のおかげ(?)で国際化ドメインは過去の物となることは決定的となったと思います。何故ならほとんどのブラウザはIDNが無効な状態がデフォルトになると思われるからです。

もともと国際化ドメイン名が提案されていた頃から似た文字を使用した紛らわしいサイト名について議論されていました。今日のように組織的にフィッシングが行われ、数百億単位の損害であると言われている状態では国際化ドメイン名は百害あって一利なしとまでは言えなくても、百害あって一利がある程度と言わざるを得ないと思います。国際化ドメイン名で「商品名.jp」の様に簡単に必要なサイトにアクセスできる、ことがメリットとして紹介されていますが、フィッシングを行っている犯罪者にも好都合です。ありとあらゆる商品やサービス名を使って個人情報を盗むには好都合です。今日のように検索サイトが高機能化している場合、「商品名.jp」などと言うサイトが無くても検索サイトで検索すれば良いだけです。そして検索サイトの検索結果の上位にフィッシングサイトが載ってしまう、と言うことはあまり考えられません。国際化ドメイン名は本当に必要なのでしょうか?

新しいトップレベルドメイン名についても色々議論されていますが、これらの不必要です。.infoや.bizなどの比較的新しいドメインは作られはしたものの.infoや.bizドメインを持つサイトは怪しげなサイトに思えてしまうのは私だけでしょうか? 私だけでは無い証拠(?)に.infoや.bizドメインはほとんど使われていない様に思えます。少なくとも私は.info/.bizドメインのURLを見た場合「本物かな?」と疑ってしまいます。

結局、国際化ドメイン名も新しいドメイン名もドメイン登録業者だけが喜ぶだけではないでしょうか? 念のために自分が保有している名前と同じドメイン名を取得しているだけ、と言う会社がほとんどではないかと思います。

会社等のサイトの場合でフィッシングに対抗したり責任のある対処をとるのであれば、複数のトップレベルドメインの使用は控えるべきと思います。フィッシングに対抗すると言う理由ではありませんが、多くのグローバル企業が.comドメインのみを使用するようになっています。例えば、IBMのサイトの場合は必ずドメイン名がibm.comで終わる、とユーザが解かっていれば仮にibm-newservice.comと言うフィッシングサイトが在ったとしてもユーザは本当に「IBMのサイトか?」思う可能性が高くなります。基本的には組織や団体は一つのドメイン名のみを使用するべきです。

「組織や団体は一つのドメイン名のみを使用するべき」と言う考え方に多少関連していますが、私が特に気になっているドメイン名に地方公共団体の組織で.go.jpドメインが利用できるにもかかわらず.jpドメインを使用しているサイトがある事です。.go.jpドメインであればドメイン登録の仕組上、どのような組織であるかは決まっていますしユーザも解かっている確率が高くなります。しかし、ドメイン登録が面倒なのか(それとも.jpドメインの方がカッコいいとでも思っている!?のか).go.jpドメインではない.jpドメインを使用しているサイトが非常に目に付きます。地方公共団体による不必要な.jpドメインの乱用が続けばフィッシングに利用されるようになることは簡単に想像できます。偽サイトを本物の公共団体サイトである、と信じさせる事が出来れば「オレオレ詐欺」に簡単に引っかかってしまう日本人なので個人情報が盗み放題になってしまうかも知れません。

.jpドメインが不必要とは思っていませんが、更に新しいドメインの仕組や新ドメインは必要か? 答えはNOではないでしょうか?

Facebook Comments

国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解

CNET Japanから。

最近話題になってきた、古くて新しい(?)国際化ドメインの似ている文字や表記の問題についれJPRSがコメントしているようです。日本語ドメインは安全と主張しているようですが、JPRSが「日本語ドメインは危険です」とは言えないでしょう。

JPドメインはICANNガイドラインに基付いてDNS登録のルールを運用している。日本語文字列でも英数字でもない文字ではJPドメインのDNS に登録できないのである。さらに、例えば「A」と「a」と「A」と「a」はすべて「a」に変換してから登録するなど、文字の正規化を図っている。以上のルールにより、JPドメインでは似た文字問題が起こらない。異なる言語圏の文字を混ぜた場合、そもそもDNSに情報が登録されていないためだ。

/.でも記載されていましたが、日本語ドメインではカタカナの「へ」とひらながの「へ」は区別が付きづらいです。ICANNガイドラインRFC3743の様にドメイン登録にはルールがありますが、RFCがあれば安心できる、と言うものではないと思います。RFC2505にはOpen Relayはいけません、とありますがこれがあるからと言ってOpen Relayが無くなる訳ではありません。ドメイン登録はSMTPサーバと違い、誰でも自由に設置できないので国際化ドメイン名の登録とは事情が異なるのは明らかですがそれでも問題は残ると思います。

JPRS社長室広報の渡辺俊雄氏はIDNのフィッシング詐欺への影響に関して2つの見解を示した。1つは、フィッシング詐欺はJPドメインではそもそも起こり得ない問題であること。2つ目は、COMドメインではフィッシングが起こり得るが、それはCOMドメインの問題であり、ウェブブラウザの機能を制限する論調になっていくのはよくないということ。

ここでのJPRSの見解は支離滅裂と言えると思います。JPドメインは安全なのでCOMドメインの問題はJPドメインの問題ではない? フィッシング(Phishing)は全てのユーザを「釣る」必要は無く、より多くの攻撃対象を釣るためにIDN機能は好都合ということが問題なのです。HTMLメールに金融機関のURLを付けリンク先はIPアドレスの別サイト、と言うフィッシングは「普通」に行われています。「COMドメインの問題でJPドメインでは問題は起り得ない」と言う考え方は暴論としか思えません。例えば「日本銀行.jp」を偽る「日本銀行.com」を本当のサイトと思うユーザは「10.231.87.12」というIPアドレスのサイトよりもかなりの多い数になる事は容易に推測できます。.jpドメインのIDNであればフィッシング詐欺が起きない、と言うの見解はどすれば出てるくのか理解不能です。

CNET Japanの記事にはこう書いてありました。

ブラウザの機能をOFFにしてIDNを使えなくすることは簡単にできる一方で、IDN が使えれば「商品名.jp」といったURLを使って情報にアクセスできる。IDNによるフィッシング問題をどう捉えるかはユーザーの判断に任せられている。

IDNは「必ず」無効にするべき機能、責任あるサイトはIDNのサイトは作るべきでは無いと考えています。ブラウザベンダーはIDN機能はデフォルト無効に設定するべきで、ほとんどのベンダーは正しい方向に修正すると思われます。

Say NO to IDN!!

Facebook Comments

NTTの局で障害発生 part2

結局、Bフレッツが回復したのは障害発生(2005/2/9 16:33)から約29時間(2005/2/10 9:22)後でした。しかし、未だに(2005/2/11 16:10)障害情報のページは更新されていません。

http://www.ip-nw.com/nwc/kagawa/trouble.html

今回の障害は局全体+一部の地域が影響範囲と聞いています。Bフレッツのみでなく一般電話回線であるISDNも使えない状態でもこのページを更新するに値する障害と考えていない?!のかただ更新を忘れていただけ?!なのかどちらでしょうか?

イチローのCMが虚しく響きます。

# NTT西日本はイチローをCMに起用して最高以上のサービス提供する云々
# と言っていました。残念ながらNTT西日本ホームページのCMライブラリ
# にも映像ファイルが無いようです。

Facebook Comments

NTTの局で障害発生

このサーバが設置されている事務所の電話局(さぬき三条)で2月9日 16:33頃に障害が発生したらしく、複数のISDN回線とBフレッツが回線エラーでダウンしました。

電話は23:30頃には回復したようですが、Bフレッツは今現在(2/10 9:00)でも不通です…
電力会社の光とも契約しようとしていた矢先の長期間にわたる障害になってしまいました…
個人的には最悪電話は携帯が使えるのでネットワークの回復を優先してほしいです。NTTの問い合わせ先を調べるのにAirH”を使いましたが、遅すぎて本当に辛いです。

気になったのは http://www.ip-nw.com/nwc/kagawa/trouble.html でフレッツの障害情報を公開しているはずですが、今現在も載っていません。これだけ長期間の障害ですから障害発生中に状況や復旧見込など載せるべきと思います。

たしか去年だったと思いますが高松市の中心部でまる1日Bフレッツがダウンした障害もありました。フレッツだけならまだしも今回は電話もですから何が起きたか説明くらいは欲しいものです。

Facebook Comments

MySQLはバグが少ない–ソースコードの分析で判明

CNET Japanの記事によるとMySQLのコードは商用製品に比べバグがするないらしい。どのような「商用製品」と比較したのか気になりますが単独で動作するWindowsアプリケーション、つまりサーバアプリケーションでないアプリケーション、と比較したのであれば少なくて当り前のような気がします。この結果をだした会社の顧客には大手IT企業が名を連ねているので意地悪な見方をするとこれらの会社の製品のクオリティーが悪いとも読めます。深読みし過ぎでしょうか?

この記事で使われているソースコードバリデーションツール類似したもので私のブックマークには次のリンクが入っていました。(サイトの中まで確認していないので関係無い物もあるかもしれませんが)

http://www.splint.org/
http://www.dwheeler.com/flawfinder/
http://www.securesoftware.com/resources/tools.html
http://www.astree.ens.fr/
http://www.cleanscape.net/products/lintplus/
http://spinroot.com/uno/

少なくともどれか一つくらいは使った方が良いとは思いますが、使ってないですね。今度、時間があったらPostgreSQLとPHPくらいはチェックしてみます。

しかしMySQLはさすがに会社としてきちんとマーケティングしてますね。PostgreSQLのサイトもデザインが洗練されたり、今まで弱かった関連ツール情報を提供したり、実際に開発する場所(GNUForgeのpgfundroy.org)等を提供しています。でも、こういったマーケティングはなかなかボランティアベースでは難しいですね。私はニュースとかまるまる信じるタイプではなくまず疑ってみるタイプですから、「本当に?」と思ってしまいますが、この手のマーケティングは効果があるのでしょうね。

Facebook Comments

PukiWiki vs Hiki

具体的な数値はさておきkazuhikoさんから「PukiWikiよりHikiの方が3倍くらい速い!」と聞きました。実際、モジュール版PHPとmod_ruby版Rubyで比較するとそれくらいの差が出るようです。

PukiWikiが遅いのは生成したページデータのキャッシュをほとんど全く行っていない事が原因と思います。Hikiの作りは良く知らないのですが、PukiWikiより多くキャッシュをしているようです。

print(‘ABCDEFG’);

と言う簡単なスクリプトをPHP, mod_rubyで実行し、abで比較するとPHPの方が3倍くらい速かったのでmod_rubyはリクエストの初期化にもう少し改善できる余地があるようです。個人的にはPukiWikiの速度に全く不満は無いのですがアクセス数が多いサイト様にもう少し性能アップしても良いのかも、と思いました。

そこでwikipediaなどで使われているMediaWikiを試しにインストールしてabでベンチマークしてみました。結果は悲惨なことにPukiWikiの半分以下の性能でした… MediaWikiはMySQLにデータを保存しているのでオーバーヘッドが大きいとは言えますが、それにしても2リクエスト/秒弱(AthlonXP2500+)とは遅すぎです。

最後にmod_rubyはスクリプトをキャッシュしている(?)らしいのでphp-eacceleratorをインストールするとPukiWikiの速度は2倍くらい(10リクエスト/秒)になりました。それでもHiki+mod_rubyの方が50%くらい速い事になります。

注意:いい加減なベンチマークなのであまり具体的な数値は書きませんが、イメージは解かると思います。コメント歓迎します。

Facebook Comments

SQLiteサイトのベンチマークは間違い!? 少なくとも古すぎ

最近全く時間が足りなくて日記もなにもかもご無沙汰でした。Wikiに書いた内容ですがSQLiteサイトを見ていて、PostgreSQL vs. MySQL vs. SQLite のベンチマークが載っていました。

http://sqlite.org/speed.html

これだけ見ると「PostgreSQLは捨て」と言う印象の方も多かったのではないかと思います。ベンチマーク結果に疑問があったので自分でやり直してみました。

http://www.ohgaki.net/wiki/index.php?Database%2FPostgreSQL-MySQL-SQLite

RedHat 7.2のPostgreSQL RPMのデフォルト設定がダメすぎだったのか… 私のベンチマークではPostgreSQL 7.4 (SQLiteのベンチマークは 7.1)ですからかなり高速化された部分もありますが、ちょっと??な部分もありあます。時間が出来たらPostgreSQL 7.1、8.0でもベンチマークしてみようか、と思っています。

Facebook Comments

沖縄観光

# 12/11の日記にしたかったのですがタイムスタンプ編集の不具合(?)
# で書いた日付に..不便なので調べないと..

岡山->那覇 という経路で沖縄入りしたので帰りの便は16:25分発のJTAしかありません。
# 高松->那覇でもおなじような物で1日1便です。

セミナーの次の日はとりあえず各自で自由行動に、ということで9時ごろ朝食を食べに行こうとしたところ石井さんにホテルのロビーでばったり会い「これから首里城に行くところ」と言うことだったのでご一緒しました。首里城自体は最近再建されたそうですが世界遺産に登録されているそうです。この時期は修学旅行シーズンらしく高校生か中学生くらいの学生が沢山いました。

帰りに駅に向かうタクシーでは生まれて初めてタクシー料金をまけてもらいました。モノレールの首里駅から首里城までの行きのタクシー代は石井さんに払って頂いたので帰りは私が払おうとしたのですが450円のタクシー代だったのですが小銭が370円くらいしか有りませんでした。後は全部1万円札だったので石井さんに100円借りようとしたのですが運転手の方は気前よく「いいよ小銭があるだけで」と言うことでまけてもらいました。全体的な印象も沖縄の方は親切だなぁと思っていましたがこれには驚きました。

石井さんの便は昼前に出発する便だったので昼は荒谷さんに電話をして三谷さん、尾高さんと一緒に公設市場の食堂で食事をしました。市場で買った食材を食堂で料理してもらえると言うことだったので、挑戦したかったのですが今回は見送りました… 次回には是非挑戦してみたいです。

ここではじめて「しまらっきょう」という沖縄名物があることを知りオリオンビールと一緒に食べました。気に入ったので1つはお見上げに1は自分用にしまらっきょうを買いました。尾高さん、荒谷さんの順番で飛行機の時間が来たので別々に空港に向かわれたのですが、私と三谷さんは時間がまだあったので三谷さんが社員旅行の際のお勧めの店に行って豚の角煮風の食べ物(名前を失念..)を食べました。もうお腹はいっぱいだったのですが美味しく完食!

観光場所やルート等調べる時間が全くなかったので全くの無計画観光でしたが満足できる一日でした。

Facebook Comments

講演内容

片岡さんの講演が終わり、石井さんの講演がもうすぐ終わるところです。お二人の講演はつい先日行ったPostgreSQLセミナー2004@四国で聞かせていただいたのですが、やはり後の講演の方が追加の情報などもあり興味深かったです。

それにしても三谷さんはすごいですね。北海道大学でのセミナーをご一緒したときも寝ずに新しいバージョンのPGClusterを開発し、沖縄セミナーでも2週間寝ずにPostgreSQL 7.4に対応した新しいPGClusterを準備されたそうです。新しい機能が盛りだくさんです。近日中に公開予定だそうです。

Facebook Comments

琉球大学到着

11:30に那覇空港に到着。さすがに沖縄は高松に比べてもかなり気温が高いです。私には半袖Tシャツでも十分です。カジュアルな格好で来てもよかったのですがスーツで来たのでなおさら暑いです。

教えていただいたとおり出来立てのモノレールに乗って大学最寄の駅からタクシーできました。空港からは結構距離がありました。

Facebook Comments

沖縄へ

明日(投稿したら日付が変わってて本当は今日)はPostgreSQLセミナー2004@沖縄でWebセキュリティー関係の話をします。実は沖縄へ行くのは初めてです。行ってみたかったのですがなかなか機会がありませんでした。

私は2003年KOFの講演の資料に今年流行のHTTP Response Splittingの話題を加えた講演を行います。
# KOFの講演を聞いた方はいないハズ(?!)ですよね。

Facebook Comments

IEのセキュリティーホール

CERTも放っておくわけには… 2004/12/2 US-CERTのメールから。

TA04-315A describes a buffer overflow vulnerability in Microsoft Internet Explorer HTML elements that could allow a remote attacker to execute arbitrary code. Note that any program that hosts the WebBrowser ActiveX control could be affected. Microsoft Security Bulletin MS04-040 contains an update to fix this vulnerability.

The vulnerability is described in further detail in VU#842160.

URL: http://www.us-cert.gov/cas/techalerts/TA04-336A.html

Facebook Comments

PostgreSQLセミナー2004@沖縄

下記の内容で「PostgreSQLセミナー2004@沖縄」が開催されます。

「PostgreSQLセミナー2004@沖縄」

主 催:琉球大学 日本PostgreSQLユーザ会 OSPI
日 時:2004年12月10日(金) 13:00〜17:30
会 場:琉球大学 工1-321
参加費:無料
申込み:
懇親会:

スケジュール:
13:00〜13:50 「PostgreSQL 8.0の概要」
  講演者:片岡 裕生(日本PostgreSQLユーザ会理事長)
  概要:
本格的なリレーショナルデータベース管理システムであるPostgreSQLが、このたびバージョン8.0となって飛躍的な進化を遂げました。待ち望まれたWindowsサーバの登場やアーカイブログによるメディアリカバリ機能、Point InTime Recovery機能など、新バージョン8.0には魅力的な機能が満載です。この講演では、PostgreSQL 8.0の特徴と新機能を紹介します。

14:00〜14:50 「多機能コネクションプールサーバpgpool」
  講演者:石井 達夫((株)株SRA)
  概要:
「PHP+PostgreSQLなどのWeb環境におけるDB利用を効率化,高可用化する多機能コネクションプールサーバpgpoolをご紹介します。pgpoolの概要、使い方、さらには性能評価にも触れます.」

15:00〜15:50 「PGClusterの最新動向」
  講演者:三谷 篤(日本PostgreSQLユーザ会理事/広島地区支部支部長)
  概要:
PostgreSQLで負荷分散や高可用性システムを構築できるマルチマスタ同期レプリケーションシステムのPGClusterをご紹介します。公開版の基本機能に加え、次バージョンで予定している新機能の紹介と、システム構築例をご紹介します。また、PostgreSQL7.4対応の状況も併せてご報告します。

16:00〜16:50 「Webアプリケーション構築におけるセキュリティーの基礎」
  講演者:大垣 靖男(日本PostgreSQLユーザ会理事/四国支部支部長)
  概要:
多くのWebアプリケーションはインターネットに公開される事が前提として開発されます。どのようなWebアプリケーションでも立派なネットワークアプリケーションであり、セキュリティーには十分な配慮が必要です。スクリプト系の言語やJava言語の様にメモリ管理が不必要なプログラミング言語を利用した場合でも発生するセキュリティー問題の基礎知識をご紹介します。

17:00〜17:30 後援企業講演
      「遂にスタート! PostgreSQL CE(技術者認定制度)の概要」
  講演者:稲葉 香理((株)SRA、日本PostgreSQLユーザ会理事/事務局担当)

Facebook Comments

SCOのWebサイトが改竄

SCOのWebサイトがクラックされ改竄されていたことはfull-disclosureに載っていました。真偽の程は確かめていませんが、これが侵入経路かわかりませんがどうもセキュリティーホール付きのFTPサーバをかなり長い間運用し続けていたようです。

.comのSCOサイト以外にも世界中のSCOサイトは改竄された事が何度もあるのですがそれでも適切に運用できない、と言うことはこの会社も終わりが近いと言うことなのかも知れません。

Facebook Comments

Solaris10が無償化

既にいろいろな報道が行われていたのでご存じの方も多いと思いますがSolarisが1〜4CPUまでは無償になるそうです。

将来はオープンソース化も行われる可能性が高い、との事ですが見ただけで汚染されるライセンスでなければよいのですが。

# ところで開発ツールはどうなんでしょう? 無償になるのかな?

Facebook Comments

PHP 4.3.7/PHP 5.0.0 RC3以前の脆弱性を攻撃するコード

PHP 4.3.7/5.0.0RC3以前に脆弱性がある事は広く知られている(?)と思いますが、攻撃用コードがネットに公開されています。

http://www.felinemenace.org/~gyan/phpnolimit.c

もし脆弱性があるPHPを利用している場合は直ぐにアップグレードする等、必要な対策をおこなうべきです。

Facebook Comments