XML爆弾

DoS攻撃に利用可能な「XML爆弾」の例を紹介している。
Dismantling an XML-Bomb ≪ Didier Stevens

このような

データでDTDのENTITYの定義でe1はe0を2つつなげているので文字数が倍に増えるようにする。
同じようにe2, e3…と定義していくと、31個のENTITYを持つデータは1kB以内で作れるが、e30をXMLバーサーが解釈した時点で1GB (2^30)になる。 どんどん大きくできるので、リソース不足によるDoS攻撃に使える。
回避方法としては、DTDを解釈しないようにするか、アプリケーション・ファイアウォールを使う。
…とはいってもこういった攻撃はDTDに限ったことではないので、パッチを当てる、アプリケーション・ファイアウォールを使う、という基本の実践が必要ということだろうなあ。

NECからOpenID対応の個人認証基盤ソフト「NC7000-3A-OI」発売

NECからOpenID対応製品の発表。
OpenID対応の個人認証基盤ソフト「NC7000-3A-OI」発売(2008年9月29日): プレスリリース | NEC

もう1つのID連携技術であるSAML2.0(注3)に比べ、システム構築が容易であり、短期間での導入が可能になります。

また、「NC7000-3A-OI」は、フリーライセンスのライブラリなどを使用する際に、実装状況によっては発生し得るセキュリティの脆弱性をあらかじめ考慮・解決した製品となっています。

より多彩な属性交換と高いセキュリティを必要とする通信キャリアやISP、銀行向けにはSAML2.0に対応した「NC7000-3A-ID」を提供いたします。
また、「NC7000-3A」では、個人認証やID情報管理に共通の機能を搭載しています。そのため、OpenIDとSAMLの特長を活かした共通ID連携基盤への拡張も容易であり、通信キャリアやISPなど基盤事業者のID連携戦略に迅速に対応できます。

新製品「NC7000-3A-OI」の価格は、機能のカスタマイズを含めて個別見積もりとなります。販売目標は、今後3年間で合計300システムを計画しています。

製品ページNC7000-3A : 製品 | NECをみると、 通信事業者向け製品ということで、エンタープライズ向けのSECUREMASTERとは別、ということかな。

ギターソロ100選 – 100 Greatest Guitar Solos

Guitar World誌の読者投票によるギターソロ100選。(いつの記事か知らないけどたまたま見つけた)
100 Greatest Guitar Solos – Tablature for the greatest guitar solos of all time

知らないのも結構あるけど、上位はさすがになるほど、というのが多い。なんだかいろいろ久しぶりに聞きたくなってしまった。

  • なんで、Pat TraversもFrank Marino (Mahogany Rush)も入ってないんだ。
     
  • 3位にレイナード・スキナード。へー。
     
  • 15位という上位にPanteraが入っているのは嬉しい。Floods (Great Southern Trendkill"")という曲はパンテラを代表する曲とは言いがたいけど。
     
  • 4位にComfortably Numb ってのは渋いな。デイブ・ギルモアはこのほかにも21位Timeと62位Moneyと狂気=Dark Side of the Moonの2曲が入っている。時は金なりと。たしかにコレは名盤でしょう。
     
  • ジミヘンは6曲入っているけど、最上位は5位のAll Along the Watchtower (エレクトリック・レディランド
    )、ちょっと意外。この人の演奏を選ぶとなると苦労するのかも。
     
  • 19位Highway Star (マシン・ヘッド
    )のリッチー・ブラックモアの前に、ジミー・ペイジとクラプトンが2曲ずつも入ってるのは納得いかねえ。
     
  • 25位にJethro Tull (マーティン・バレ)のAqualang (Aqualung)って言うのはびっくり。この曲のギター・ソロなんか覚えてないな。と思ったけど聴いてみたら、これか、なるほど。
     
  • テッド・ニュージェントは31位。ま、これでいいとするか。なにしろ、60位のザッパに勝った。わっはっは。曲がStranglehold (Ted Nugentの1曲目)というのも、いい線だとは思うけど、やっぱりMotor City Madhouseって言って欲しい。もっと欲を言うとHibernationだけど。Catch Scratch Feverって言われなくてよかったというべきか。どれもDouble Live Gonzo!に入っている演奏がすばらしい。
     
  • 76位Cinnamon Girlってのは、どこかで聞いた曲名だと思ったけど。Type O Negativeだった。(October Rust収録)。カバーってのは知ってたけど、ニール・ヤングだったのね。Type Oのカバーが、いいんだこれが。
     
  • カバーと言えば、今まで聞いたカバーでも忘れられないのが、Foo FightersがやってるHave a Cigar。Mission Impossible 2に入っている(なぜだか国内版では削除?)。ギターはブライアン・メイでこれもがんばってる。ココで聞ける http://jp.youtube.com/watch?v=tl1_RtklXpY
     
  • そういえば、マイケル・シェンカーがいない。なんてこった。もう忘れ去られてるということか。ニュージェントもザッパも、プリンスすら入っているというのに。ジツは今日もかなり久しぶりにギター練習しようと思ってInto the Arena ()をひいていたくらいなんだが。

20位まで:












































































































































































順位 ギタリスト バンド アルバム
1 Stairway to Heaven Jimmy Page Led Zeppelin Led Zeppelin 4: Zoso""
2 Eruption Eddie Van Halen Van Halen Van Halen""
3 Freebird Collins/Rossington Lynyrd Skynyrd Pronounced Leh-nerd Skin-nerd""
4 Comfortably Numb David Gilmour Pink Floyd The Wall""
5 All Along the Watchtower Jimi Hendrix Jimi Hendrix Experience Electric Ladyland
6 November Rain Slash Guns n’ Roses Use Your Illusion I
7 One Kirk Hammet Metallica And Justice for All メタル・ジャスティス""
8 Hotel California Don Felder/Joe Walsh The Eagles Hotel California ホテル・カリフォルニア""
9 Crazy Train Randy Rhoads Ozzy Ozbourne Blizzard of Ozz""
10 Crossroads Eric Clapton Cream Wheels of Fire
11 Voodoo Chile (Slight Return) Jimi Hendrix Jimi Hendrix Electric Ladyland エレクトリック・レディランド""
12 Johnny B. Goode Chuck Berry Chuck Berry Chuck Berry Is On Top
13 Texas Flood Stevie Ray Vaughan Stevie Ray Vaughan Texas Flood
14 Layla Clapton/Allman Derek and the Dominoes Layla and Other Assorted Love Songs
15 Floods Dimebag Darrel Pantera Great Southern Trendkill"" 邦盤「鎌首」は廃盤らしい
16 Heartbreaker Jimmy Page Led Zeppelin Led Zeppelin II
17 Cliffs of Dover Eric Johnson Eric Johnson Ah Via Musicom
18 Little Wing Jimi Hendrix Jimi Hendrix Experience Axis: Bold As Love""
19 Highway Star Ritchie Blackmore Deep Purple Machine Head マシン・ヘッド""
20 Bohemian Rhapsody Brian May Queen A Night at the Opera オペラ座の夜<リミテッド・エディション>""

天國のギター・トレーニング・ソング 愛と昇天のスタンダード・ナンバー編 (CD付き)
小林 信一
リットーミュージック
売り上げランキング: 7,990

内容紹介
地獄シリーズの兄弟本”天國シリーズ”の第2弾、登場!

超絶系教則本”地獄シリーズ”の兄弟本『天國のギター・トレーニング・ソング』の第2弾。第1弾と同じく、クラシック、洋楽、邦楽、アニメ、ゲーム、童謡など、さまざまなジャンルの世代を超えて愛されている名曲をギター・インストにアレンジしたエクササイズ曲集です。曲ごとに修得できるテクニックを設定しているので、曲を弾くことでギターの腕を磨くことができます。
また、曲を通して演奏できるようになるためのエクササイズ・フレーズを各曲に収録。第1弾よりも、簡単な曲はより弾きやすく、難しい曲はより弾きごたえのある、幅広いレベル設定にしていますので、さまざまなタイプのギタリストに楽しんで頂ける1冊になっています。

OASISがInformation Card互換性のTC設立

OASISの新しいTC。
OASIS Identity Metasystem Interoperability (IMI) Technical Committee。
なんだろう、これは。
OASIS – News – 2008-09-23

to enable the use of Information Cards to universally manage personal digital identities.
インフォメーションカードを使って個人のディジタルIDを普遍的に管理できるようにする。

で、Information Cardに何があるというと、WikipediaによるとIdentity Selectorsとして実装されており、
Microsoft’s Windows CardSpace, the Bandit Project‘s DigitalMe, and several kinds of Identity Selectors from the Eclipse Higgins Project
がある。
この中で、Bandit Projectについては、
demonstrated prototype managed cards backed by OpenIDs at the BrainShare conference in March 2007
とのこと。
Information Card – Wikipedia, the free encyclopedia

TCの憲章TC Charterによると、
既存の仕様
[1] Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
と、ガイド
[2] A Guide to Using the Identity Selector Interoperability Profile V1.5 within Web Applications and Browsers, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
[3] An Implementer’s Guide to the Identity Selector Interoperability Profile V1.5, August 2008
http://schemas.xmlsoap.org/ws/2005/05/identity
を基ににするらしい。
つまり、マイクロソフトの仕様を標準にするための活動?

開発者向けセキュリティ資格CSSLP

CISSPをやっている(ISC)2から、開発者向けのセキュリティ資格が発表された。
CSSLP : Certified Secure Software Lifecycle Professional
Security pros offered new ‘CSSLP’ qualification – Network World

Areas of knowledge will include “the software lifecycle, vulnerabilities, risk, information security fundamentals and compliance.” Applicants will need to have at least 4 years of professional experience or three years experience and an IT university degree before being able to sit the CSSLP.

カバー範囲は、ソフトウェアのライフサイクル、脆弱性、リスク、情報セキュリティの基礎、コンプライアンス。受験するには4年以上の実務経験、あるいは3年の実務経験プラスIT関連の学位が必要。
「sit」にこういう使い方があるとは。
5 ((英))〈試験を〉受ける.
Yahoo!辞書 – sit

Secure ComputingをMcAfeeが買収

ファイアウォールSideWinderのSecure ComputingをMcAfeeが買収。
McAfee to acquire Secure Computing for $465M – Network World

SC社2007年の売り上げは$237M、2年連続赤字の割にはいい値段か。
サーバ側セキュリティの強化、ということだと思うけど。
Webフィルター、スパムフィルター、あたりは既に持っている。
ファイアウォールが欲しかったのか。
McAfee最近の買収:
Reconnex 2008/07 情報漏洩防止(ADL)
ScanAlert 2007/10 Webセキュリティ
SafeBoot 2007/10 暗号化
Onigma 2006/10 情報漏洩防止
Citadel 2006/10 パッチ管理
Preventsys 2006/06 脆弱性管理
買い物も苦労しているのか。
ADLは軒並み大企業に統合されてしまった。
Vontu -> Symantec
Tablus -> EMC
Port Authority -> WebSense
残っているのはCode Greenくらいか。

DNSアタック、技術者がまずすべき3つの対策 - @IT

DNSのセキュリティ対策に関する記事。
DNSアタック、技術者がまずすべき3つの対策 - @IT
1つはDNS設定のテスト、2つめはパッチの適用、3つめはDNSファイアウォールの導入

情報処理推進機構(IPA)も9月18日に「DNSキャッシュポイズニングの脆弱性に関する注意喚起」をする文書を発表

BusinessWeek.comにSQLインジェクション

BusinessWeek.comがSQLインジェクションで不正プログラムの配布サイトに仕立てられた。
SQL injection taints BusinessWeek.com ? The Register
http://www.theregister.co.uk/2008/09/16/businessweek_hacked/
今まで同様な被害にあったサイトとして、

Department of Homeland Security, the Phoenix Mars website, and sites belonging to UK government agencies.

# クイックポストがしょぼくなって、使いにくい…

中国の国鳥選定難航、「タンチョウ=日本の鶴」で具合悪く

中国で国鳥を決めようとしているらしい。
中国の国鳥選定難航、「タンチョウ=日本の鶴」で具合悪く : 国際 : YOMIURI ONLINE(読売新聞)
2004年の調査で、中国の国鳥としてはタンチョウが一番人気だったが。

しかし、中国紙「新京報」によると、タンチョウの学名は「Grus japonensis」(日本の鶴、の意味)で、「中国の国鳥としてふさわしくない」との批判が起き、政府がタンチョウに決めるのをためらっているという。

そりゃあ、やだろうなあ。

中国のウエブサイト「天涯網」の調査では、「学名を理由にタンチョウの資格が剥奪されるのは合理的か」との質問に対し、約9000の回答の約7割が「合理的。民族の気概を重視するから」との選択肢を選んだ。国鳥候補としてはスズメが約41%を占め、1位になった。「黙々と働く姿が中国人に似ている」との理由からだが、「あまりに平凡」との反対意見も出ている。

そりゃいい。
スズメにしとけ。
(Movable Typeをバージョンアップしたらぜんぜん使えなくなって、こまった。
ナントカ動くようになったけど、レイアウトは壊れたまま。
メンドクサイなあ。)

四国旅行マップ

四国旅行のマップを作ってみた。

大きな地図で見る
8/18, 19 高知ホテル
高知県高知市駅前町4-10 088-822-8008 詳細 ?
8/18 高知城
宝暦3年(1753年)までに創建当時の姿のまま再建 http://www.kochipark.jp/kochijyo/
8/19 龍河洞県立自然公園
洞窟探検! 高知県香美市土佐山田町逆川 0887-53-3111 詳細 ?
8/19 アンパンマンミュージアム
8/20 桂浜、桂浜水族館
高知県高知市浦戸桂浜 イルカショー、ペンギンと戯れる。
8/20 四万十源流センター
源流点を極めた。達成感。普段よりだいぶ水が少ない由。 高知県高岡郡津野町船戸4727-2 0889-62-3623 詳細 ?
8/20 高原ふれあいの家 天狗荘
涼しい。星がきれい。 高知県高岡郡津野町芳生野乙4921-22 0889-62-3188 詳細
8/21 長沢の滝
上のほうから滝が落ちてきているけど、壁があってその穴から流れ出ているので様子がよくわからない。脇に上り道があったから、どんどん上っていった。尾根を超えて下り始めるところまでいったけど行き止まりになっていた。 高知県高岡郡津野町芳生野 0889-62-2311 詳細 ?
8/21 昼食 レストハウス古都
おじさん1人でやってるけど、なんでもある。とても居心地が良い。 高知県高岡郡四万十町大正107-5
8/21 22 民宿清龍
Japan 高知県土佐清水市幸町2-27 0880-82-0606 詳細 ?
8/22 足摺岬
灯台、展望台。 白山洞門がおもしろい。 http://www.ashizuri.co.jp/doc/kanko/doumon.html 行ってよかったけど、降りて上るのが大変。山登り。
8/22 足摺海底館
塔の中を海底に下りていって、魚を見れる。面白い。 高知県土佐清水市三崎4124-1 0880-85-0201 詳細 ?
8/23 四万十屋でうなぎ
昼食にうなぎ。おいしいけど、値段は東京と変わらん。 高知県四万十市山路2494-1 0880-36-2828 詳細 ?
8/23 四万十カヌーとキャンプの里かわらっこ
初めて家族でテントにキャンプ。面白い。 四万十カヌーとキャンプの里かわらっこ 朝から川遊び。しばらく浸かってると寒くなる。
8/24 滑床渓谷
雄大な渓谷。 駐車場で猿が弁当を狙って襲ってきた。睨んどいて「駄目」、と一喝して撃退。目を合わせちゃいけないんだっけ? しばらく川遊び。 足摺宇和海国立公園滑床渓谷 愛媛県北宇和郡松野町目黒 0895-43-0331 詳細 ?
8/24 成川渓谷休養センター
バンガローに泊まったけど、とてもきれいで設備もしっかり。温泉もある。飯もとてもうまい。すばらしい宿。 夜は星が降っていた。 愛媛県北宇和郡鬼北町大字奈良 0895-45-2639 詳細 ?
8/25 宇和島城
山の上で、上るのが大変。上の天守閣は大きくない。 愛媛県宇和島市丸之内1丁目 0895-23-4784 詳細 ?
8/25 26 ホテル三番町
部屋は狭い。けど設備充実、温泉大浴場もある。 〒790-0003 愛媛県松山市三番町2-7-7 TEL 089-913-2000
8/26 松山城
とても立派なお城。山の上だけどロープウェイで途中まで上れる。松山城は、日本で12か所しか残っていない、江戸時代以前に建造された天守を有する城郭の一つです http://www.city.matsuyama.ehime.jp/matsuyamajo/1177426_1025.html
8/26 道後温泉本館
愛媛県松山市道後湯之町5-6 089-921-5141 詳細 ?
8/27 松山駅(愛媛)
アンパンマン列車で高松へ。 アンパンマンシートがついているのは、連結されている岡山行きの車両にしかない。 いしづち10号 普通 松山(愛媛)(8:11)~高松(香川)(10:36)
8/27 ホテルアベスト高松2
広い和室に泊まれてよかった。 香川県高松市西の丸町2-23 087-823-7807 詳細 ?
8/27 屋島
ケーブルカーで上りたかったのに、営業していなかったので、バス。かわらけ投げは、的を狙うものか、遠くに投げるものか?
8/27 わら家
うどん。 香川県高松市屋島中町91 087-843-3115 詳細 ?
8/28 女木島(鬼ヶ島大洞窟)
日本 香川県高松市女木町2633 087-873-0211 詳細 ?
8/28 松下製麺所
日本 香川県高松市中野町2-2 087-831-6279 詳細 ?
8/28 特別名所栗林公園
松がすごい。あらゆる意匠を凝らした松がわんさか生やしてある。松林公園といったほうが合うのでは。 香川県高松市栗林町1丁目20-16 087-833-7411 詳細 ?
8/29 東港ジャンボフェリーのりば(香川)
三宮行きのフェリーで移動。 チケットやで、大人2枚2700円で買えた。安い。
8/29 30 ハートンホテル西梅田
夜はたこ焼き会津屋。 大阪府大阪市北区梅田3-3-55 06-6342-1100 詳細 ?
8/30 ユニバーサルスタジオ・ジャパン
午前中は雨、午後はやんだ。 大阪府大阪市此花区桜島2丁目1-33 06-4790-7000 詳細 ?
8/31 大阪城
広い。 園内交通「ロードトレイン」を知っておくべきだった。 大阪府大阪市中央区大阪城