ようやく出た。 一応これが日本語版の正式バージョンらしいので, 必ずアップデートすべし。 ただし Opera のセキュリティ障害は他にもあるので, 取り敢えず Javascript は無効にしておくのが吉。
セキュリティ関連の続き。 Opera 側の対応はやはりダメダメのようである。 ソフトウェアなのだから障害が発生してしまうのは仕方ないとしても, 以後の対応が全然拙い。 日本語サイトの 「Operaでのセキュリティについて」 では一応言及されているが
などの「説明」が一切ない。 しかもこの程度の内容のものですら 「日本語版サイトにて追加された」 情報であり 本家 Opera Software のページ には情報がないらしい (ひとつはあるようにみえるけど)。 セキュリティ情報は迅速性が要求される。 少なくともベンダ側がセキュリティ障害について認識していることを, 報告があった段階でまず告知すべきだ。 セキュリティレベルの高さは, 製品そのものの堅牢性も確かに重要なのだが (この辺は IE が最低か?), 障害発生時の対応は更に重要である。 言いかえれば, いかにユーザに気を配っているかということであろう。
Opera のセキュリティ関連の情報については Security - OperaJ がよさげである。 ベンダからの一次情報が期待できない以上,これでしのぐしかあるまい。
これまで Opera を割と礼賛する立場を取ってきた (実は社内でも割と宣伝していた) が今日から撤回する。 Opera のセキュリティレベルは Netscape 4.x (つまり IE より低い) 程度であると評価する。 これは Opera Software 社がセキュリティ関連のサポートを改善しない限り変えないものとする。
ClipRes6 というものがあるらしい。 IP Messanger と互換性がある簡易エディタだそうで, PGP 6.5.x を使って暗号化通信も出来るらしい。 メッセンジャーソフトは使わないのだが確かに面白いと思う。
「Linux有力4ベンダーが連合、統一ディストリビューションを開発へ」
「ドイツ政府、Linuxへの移行でIBMと契約」
IBM を中心とする企業連合や独政府の (上記を含めた) 最近の動きは, 今後5-10年単位の短期・中期の流れを決める重要なもののような気がする。 そろそろ私も準備しないといけないかなぁ。
pLaTeX について紹介されている英語のページ。
e-Japanese ちうのは日本語を学ぶ人達のための理論や情報のページ (でいいのかな?) らしい。
PDF995 というソフトがあるらしい。 ZDNet の記事によると, Windows のプリンタドライバとして動作し暗号化やディジタル署名にも対応しているそうな。 日本語に対応しているかどうかは不明。
Windows Update のページが一新されていると思ったら, 中身も WinXP 風になっているらしい。 一応お断りがあるのだが, 何となくイヤ。
仕事 (調査) で MIDlet なんか作ったりしている。 今時はケータイにゲームパッドやバーコードリーダなんかを繋いだりできるらしい。 国内では i アプリだけがキワモノ扱い (シェアはだんトツ) のようだが, 全然先の見えない FOMA なんか止めて, J-PHONE か au に走るというのも手かも。
Palm 機にも MIDlet 突っ込めるんだよねぇ。 あぁ物欲が...
Imad's PGP Page が一時閉鎖中だそうな。 近日再開予定 (らしい)。 焦って ftp://ftp.zedz.net/pub/crypto/incoming/ から大量にダウンロードしちまったぜいっ!
たしかに 「コンピュータ (パソコン)」 とか 「IT」 とかって言葉を聞くと妙に肩に力が入ってしまう人は多いらしい。 私の周りにも 「パソコンを教えて」 という人が何人かいて 「何に使うの?」 と訊くと 「とにかく使えるようになりたい」 ってな感じで答える人が多い。 まぁそういう人には取り敢えずマインスイーパの起動方法を教えてお茶を濁すことにしてるけど (それで満足する人は結構多いし,マウスが上手く使えることはそれだけで技能らしいので,最近は)。
昔は外に繋げるためには最低でも 「パソコン」 が必須だったけど, 今は冷蔵庫だってネットに繋がる時代である。 メールのやり取りをしたり Web で買い物や探し物をしたりする程度なら敢えて 「パソコン」 を選択する理由はない。 「○×△へ行ってパソコン資格をとろう」 とか 「IT 時代に乗り遅れるな」 なんてな口上はあからさまにセールストークだし, 良識ある 「消費者」 ならそんな口車に乗ってはいけない。 「IT習得」 なんて言い草がそもそも嘘なのだ。 (ちなみに私は野口悠紀さんのファンだ。 超整理手帳は今でも愛用している)
そういった状況に政府が無思慮に乗っかってしまっているのも問題。 そもそも 「IT」 という言葉も その直訳の 「情報技術」 も単独では何も意味しない外見だけの言葉だ。 「IT」 という言葉の器に何を詰め込むかで意味は全く違ってくる。 何の前置きもなく 「IT」 という言葉だけを振りかざす人達は, 奇麗な外側だけを見せびらかし中身は一切見せずにお金だけを巻き上げる詐欺師のようなものである。
為政者たるものが 「IT」 という名のセールストークに翻弄され, 無分別にお金をばら撒き, 住基ネットみたいな怪しげなシステムを作って悦に入ってる。 私がこの国の人間でなければ滑稽過ぎて笑い死ぬところだ。 少しはドイツを見習え!
「野尻ボード」 の一連のナノテク話は面白く読ませてもらいました。 いや, 「ナノテク」 と 「IT」 って (政治的な意味での) 言葉の使われ方が似てるなぁ, とふと思ったり。 望遠鏡の設計で 「ナノテクやってます」 と言えるのなら ナノ秒単位で設計する今時の H/W 技術者はみんな 「ナノテクエンジニア」 だな。
spam をサーバ上で削除できたり, 巨大添付ファイルをメール本体から分割して保存できたり, HTML メールを簡易表示 (文字情報のみ抜き出して表示する) できたり, 色々便利になっているのでアップグレードするのが吉。
そういや 秀丸 もアップグレードしてるんだよなぁ。 今回の目玉 (?), 多言語化対応は素晴らしい。
私が Windows から離れられない最大の理由は 秀丸 の存在だったり。 UNIX プラットフォームの仕事でもコーディングは Windows で 秀丸 でやってるものなぁ。 お気に入りのペンじゃないと筆が進まないのと同じく, 秀丸 がないとモノが考えられないのよ。 必須文房具。
J2SE 1.4.0_01 も出てる。
タイムビジネスの普及に向けて 「標準時配信・時刻認証サービスの研究開発に関する研究会」 −タイムビジネス研究会−報告書
いや,なんちうか, 総務省が 「ボクもおいしいもの (利権) が欲しいよう」 と駄々こねてるように見えるんですけど。 時刻配信を有料にされてはちと困るが, それ以上に時刻認証に第3機関を置くという発想がアレゲ。 今まで (オフライン) だってそんなことしなかったじゃない。 S/C システムの場合はサーバの時刻に合わせるのが常識だし, 電子取り引きだって当事者同士でタイムスタンプの確認ができればそれでいいんじゃないかと思うが。
Apache は (仕事でも) 使ってなかったので当初 「関係ないや」 と思っていたのだが, 大変なことになっている模様。
「早すぎた?『Apache』セキュリティー警告」 や 「『アパッチ』サーバーソフトのセキュリティー警告は勇み足?」 を見ると, どうやら公表に際し 「組織による公開情報の意図的な選択」 が行われたらしい。 これはリスク・コミュニケーションで一番やっちゃいけないことのひとつだ。 通常この選択はユーザに対する「隠蔽」という形で行われるが, 今回の場合は逆にベンダに対してのみ隠蔽しているところが面白いところか。 おまけに, その情報が全然間違っていて結局ユーザに対しても混乱を引き起こすという最悪の事態。
ISS がどのような釈明をしようとも, インシデント情報を政治的な駆け引きの手段に使ったことは紛れもない事実だし (スポンサー以外の) ユーザからの信用を失うのは避けられないだろう。 しかもこれはおそらく ISS だけの問題に止まらない。 今後私達はセキュリティ調査企業 (組織) からのインシデント情報に対し常に?マークを付けて 「読んで」 いく必要がある。
やれやれ, 監視団体まで監視しなくてはいけないとは...
ソフトウェアにPL法を適用することの是非についてはパス。 (長谷川さんあたりに訊くといいのかなぁ。 そもそもPL法って欠陥を許さない法律ってワケじゃない筈だけど) ただしこれが Microsoft に対するものだという見解には疑問がある。 実は単に弁護士集団のキャンペーンなのではないだろうか。
もしソフトウェアにPL法の厳しい網を掛けるとして, もっともダメージを受けるのはフリーソフトや安価なシェアウェアソフトだ。 逆に Microsoft のような 「企業」 は余りダメージを受けそうにない。 Microsoft の例でいくと, 現在のライセンス方式は製品自体を比較的安価で提供する代わりにアフターサポートを有料にするシステムだ。 従ってPL法の網が被せられアフターサポートの料金が取りにくくなったら単に製品自体の料金を釣り上げるだけなのである。 Microsoft のユーザの多くは企業であり, 企業ユーザはコストのトータルで製品を判断するから, トータルコストが変わらない (あるいはちょっぴり高い程度) なら他製品に乗り換えたりはしないだろう。 (個人ユーザの場合はイニシャルコストをより重視する傾向があるので企業ユーザのようにはいかないだろうが)
法律が変われば新しい法律に合うように収益構造を変えればいいのであって, これはどの分野の企業でもやってきていることだ。 だからやはり問題になるのは, 利益を得ることを目的とせずリスクの一部をユーザに引き受けて貰うことで無償もしくは安価に提供できているフリーソフトやシェアウェアである。
仕事でわざわざ私を指名してくる人 (場合) というのは, 私が 「他人のコードを読める」 からということらしい (← 今更気付く)。 こんなの大したスキルじゃないんだが。 つか, 「他人のコードを読める」 人が少ないというのはヤバい事態なのではないだろうか。 単に私の周りのローカルな話だけならいいのだが (ってよくないが)。
一応 「ソースコードを読むための技術」 でも挙げておくか。 ただしここに書かれている手法は勉強用にはいいかも知れないが, 仕事で応用するには (初歩的過ぎて) あまり実用性がないので注意。 あっ,それから, 「コードを読む」 のは技術じゃなくて技能 (スキル) である。 つまり慣れと経験で誰にでもできるようになることなのだ。 (逆に言うと職業プログラマが他人のコードを読めないというのは問題あり)
読んでる? ここ見てる後輩たち。
(Google で検索すると妙なページもひっかかるけど,まぁいいか)
[pml-security,00435] で CAPICOM が紹介されている。 Windows には暗号機能をサポートする CryptoAPI があるが, CryptoAPI を COM でラッピングしたのが CAPICOM ということらしい。 X.509 ベースの暗号システムを組むのには便利かも知れない。 (Windows 限定だが)
MSDN Library には CAPICOM のリファレンスやサンプルがあるので色々参考になるだろう。 また IPA/ISEC にある 「セキュリティ関連 API に関する調査」 でも CryptoAPI や CAPICOM について言及している。
ASCIIの用語辞典サイトは (Super ASCII の頃から) 割とお世話になっているのだが, 最近の用語が網羅されていないのが欠点である。 最近のお薦めは e-Words である。 まず読み仮名がふってあるのが嬉しい。 「MIDlet」 なんて普通の人は読めませんって。 また用語に関連するニュースや書籍が併せて紹介されているのも素晴らしい。
「「システム統合の見切り発車を知らなかった」---みずほHD社長」
まぁその辺のワイドショウ番組なら 「信じられませんねぇ」 の一言で終わってしまうような内容だが。 これが本当のことであるとして, そう簡単に起こり得るのだろうか。 しかし私自身の周りを見回してみてもこのような情報のフィルタリングは日常茶飯事で行われているような気がする。 「みずほ」 の件は, それがたまたまリスク管理上致命的な内容を含んでいたため問題が大きくなったのだろうとも解釈できる。
もともと 「上意下達」 (「官僚的な縦割り組織型」と言ってもよい) な情報伝達システムでは, 情報がレイヤ間の各ノードを通過するごとにフィルタリングを行い, 余計なノイズを除去することでスムーズに伝達されることが期待されている。 また情報の向きが上りと下りしかないためコントロールが容易で責任ある人に情報が集中しやすいという利点を持つ。 これは物事が順調に進行している間は非常に上手く機能する。 しかしフィルタリングについてはレイヤのノードにいる人 (つまり中間管理職) の裁量に任せられているため, トラブルが発生するとノード部分で情報がせき止められたり (自己保身のための) 情報の意図的な選択が頻発するようになる。 通常はこういう事態を避けるため, 組織構成員に対し 「組織に忠誠を誓う」 よう条件付けを行うことによって個々の勝手な振る舞いを制限している。 (まぁこれが行き過ぎると逆に雪印食品みたいになってしまうのだが) ところが今の時代のように社会的な価値観が大きく変化 (または多様化) してくると, 従来の「条件付け」による組織構成員のコントロールが甘くなってしまう。 こうなると残る手としては ノードの数を減らすかまたは現場と上層部とを直結するバイパスを設定するか (これがいわゆるリストラクチャリング), さもなければ新興宗教団体がよくやるように「条件付け」をもっと徹底化した「洗脳」を行うしかない。 こうして考えると 「上意下達」 な情報伝達システムは変化やトラブルに弱いシステムであると言えるかも知れない。
もっと小さい規模でコンピュータシステム開発の現場を考えてみよう。 私が経験しているかなり多くの開発現場では顧客を頂点としたピラミッドが形成され, その中ではやはり 「上意下達」 な情報伝達システムが使われている。 また 「SE」 というノードと 「営業マン」 というノードが分かれていて, 通常 「営業マン」 は 「SE」 より上位 (つまり顧客に近い位置) に位置する (プログラマは更に下) のが特徴である。 したがって, しばしば技術的な問題は営業的な要求よりも低い優先順位で扱われることになる。 技術的に可能な納期よりも営業的な納期の方が優先される。 従ってSEはそのギャップを埋めるために現場の人間を大量に投入して 「人月」 を稼ぐか (しかし2人で2ヶ月かかる仕事が4人で1ヶ月でできるわけではないことに注意), それでも間に合わなければ工程を端折るしかない。 「仕様を見直す」 という現場からの要望は非常に低い優先順位として扱われるため常に後回しにされる。 逆に顧客からの 「仕様変更」 は何の熟考もなく簡単に通ってしまい, またもやごり押しされる。
こんな理不尽なシステムがまかり通るのは単純に現場のプログラマやSEが優秀で, トラブルによる 「振れ」 が現場の裁量で吸収できる場合に限られる。 しかしそれももう限界である。 システムはどんどん大規模かつ複雑 (しかも動的) になってきているので, とても個人の裁量ではカバーしきれない。 「少数の優秀なエンジニアがその他大勢の凡庸なエンジニアを養う」 古き良き時代 (あるいは「体力と笑顔で乗り切れた」時代 (^^;)) は終わったのである。 「みずほ」 の件はそれを象徴している。 (「みずほ」 の件を 「異端な例」 と見なしているうちはまた同じことが繰り返される)
XP やハッキングによるシステム開発 (「システム開発におけるハッカーの倫理についての考察」(PDF) など) が注目されているのは旧態依然とした現行の開発システムからの反動的な期待もあると思う。 職業プログラマも (平身低頭で励むだけではなく) 専門知識のない顧客に対する高いコミュニケーション能力が求められるようになっている。 難しいけどね。 ...今夜はここまで
面白過ぎる! 愉快痛快怪物くん。 さてこれから魔女 (Warez者) 狩りが始まったりするのでしょうか。 ホホホ。
[memo:4294] にもある通り, バージョンアップはお早めに。 現在最新版の 2.05 にするのがお薦め。
長谷川さんありがとうございます。 紹介していただいたページを仕事の合間に読んでみたり。 むー, 確かにフリーソフトは色々逃げ道がありそうですね。 やっぱ職業エンジニアの端くれとして著作権法とPL法くらいはちゃんと勉強しないとダメだな。 法律の文章って苦手なんだよなぁ。 一番平易な感じの 「製造物責任法(PL法)入門」 ですら読んでて目眩いがするものなぁ。
「ソフトウェアにもPL法を」 って気持ち的には分かるんだけど, 「製造物責任法(PL法)入門」 なんか見てもターゲットは家電などみたいだし, 時効とか責任範囲とかそのままソフトウェア製品に適用できるのだろうかと疑問に思ってしまう。 (ドッグイヤーのソフトウェア業界に3年は長すぎる) 組み込み機器なんかは分かりやすいけど。 でも組み込み用のソフトって実際には入れ物であるハードウェアによって挙動が制限されるので, ある意味では (予期せぬ使い方をされる) パソコンソフトなどよりも楽。 (しかしH/Wスペックギリギリでの要求をされる組み込みソフトは別の意味でしんどい)