家電量販店に行けば、ポイントカード保有者にポイントを還元し、次回以降の買い物で使えるという仕組みがよくある。「何となくそんなに得していないような気もするが、ポイントをためられるならためておきたい」という人が多いのではないだろうか。 価格ではなくポイントが購買行動に影響を与えているという現象を説明するために、「行動経済学」と呼ばれる学問分野がある。伝統的な経済学が、原則として「1円でも安くて良い物を手に入れるために、完ぺきな計算をして合理的に判断する」人を前提としているのに対し、行動経済学は「気まぐれで感情に動かされて、非合理な判断もしてしまう」という現実的な人の行動に焦点を当てている。 少ない割引率でも、非合理な顧客は動く かくいう筆者もポイントに弱く、合理的な判断ができない1人である。例えば、5万円のデジタルカメラを「20％ポイント還元」で買うと、1万円分のポイントが付く。伝統的な経済学

文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。（1）文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と，（2）文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング（1）――冗長なUTF-8符号化問題 まず，（1）の不正な文字エンコーディングの代表として，冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン（表1に再掲）を見ると，コード・ポイントの範囲ごとにビット・パターンが割り当てられているが，ビット・パターン上は，より多くのバイト数を使っても同じコー

ドワンゴは2008年12月22日，ニコニコ動画の上で最大数十万人がチャットできるサービス「ニコニコ広場」を開設した。 ニコニコ広場には，ニコニコ動画の各動画の右上にある「ニコニコ広場に行く」ボタンで入ることができる。また時報が流れると，自動的にニコニコ広場に移動する。ニコニコ広場では，現在アクセスしているユーザーがさまざまな動画に書き込んだコメントがリアルタイムに表示される。動画エリアには通常，現在閲覧されている動画のランキングや生放送の情報などが表示される。 動画，生放送に次ぐコミュニケーションの進化 「ネット上に“群衆”を作りたい」（ドワンゴ 研究開発本部 杉谷保幸氏）---ドワンゴでは，ニコニコ広場を，「ニコニコ動画」，「時報（ニコ割）」，「ニコニコ生放送」に次ぐコミュニケーションの進化と位置付ける。「クラウドメッセージング（Crowd Messaging）」と，ドワンゴでは名付けて

Perlは，Larry Wall氏が開発したスクリプト言語です。Perlと言えば「カウンタや掲示板のCGIを作るための専用言語」という印象を持つ人も多いかもしれません。しかし，本格的なWebサイトやシステム管理などにも使われています。例えば，SNSで国内最大手のミクシィも，LinuxとPerlの組み合わせで，SNSシステムを構築しています。 Perlスクリプトの実行方法 Perlはインタプリタ型言語のため，コンパイルやリンクをして実行ファイルを別途作成する必要がありません。Perlで記述したソース・ファイルをそのまま実行できます。実際には，Perlのインタプリタが起動され，Perlスクリプトを解釈し実行します。Perlのインタプリタは多くのLinuxディストリビューションに標準で装備されています。 例として，以下のようなスクリプトがhello.plというファイル名で作成されているとします。

この記事は，日経ソフトウエア2008年3月号から掲載した「ニコニコ動画開発記」の再録です。記事は執筆時の情報に基づいており，現在では異なる場合があります。 2007年12月12日，筆者がその開発と運用に携わったサイト「ニコニコ動画」が，サービス・インからめでたく1周年を迎えました。サービスを始めた1年前から400万人を超えるユーザーを集めるサイトに成長した今日まで，筆者は波乱の連続といえる経験をしてきました。 連載「ニコニコ動画開発記」では，ニコニコ動画開発者の一人である筆者が，本サイトと筆者の軌跡を振り返ります。ニコニコ動画のユーザーの皆さんもそうでない方も，あるエンジニアの奮闘記としてお楽しみいただければ幸いです。 ニコニコ動画開発記（上）　いつもだれかがそこにいる ニコニコ動画開発記（中）　激闘！フェニックス・プロジェクト ニコニコ動画開発記（下）　すごい勢いで進化

ASUSの超高性能ノート「Zenbook S 16」、大画面で極薄ながらも残る課題 2024.08.06

図6●複合インデックスの利用は，検索条件のカラムに左右される<BR>複合インデックスとは，1つのインデックスに複数カラムが含まれるインデックスである。インデックス内のカラムの順番と，検索条件のカラムによって，複合インデックスの利用の可否が決まる。(1)検索条件に指定したカラムが1個の場合，そのカラムが複合インデックスの先頭カラムでなければインデックスは利用しない。(2)検索条件に指定したカラムが複数個の場合，それらのカラムが複合インデックス内の先頭から使われていればインデックスは使われる。WHERE句内の順番は関係ない NULL値は，特殊な値である。この値は，「データが存在しない」という意味を持つ。すべてのデータ型に対して利用できるが，特殊な値であるため，その扱いには注意が必要である。 NULL値の特性を説明する前に，NULL値の表示方法を説明しておこう。NULL値は「データが存在しない」

この記事は，日経ソフトウエア2007年2月号，連載「簡単実装で学ぶWeb技術2006」の第8回「Cookie――状態管理とトラッキング」の再録です。記事は執筆時の情報に基づいており，現在では異なる場合があります。 こんにちは，結城浩です。 今回は，Webで状態を管理する際の基本技術である「Cookie（クッキー）」を紹介します。サンプル・プログラムを通してCookieの仕組みを学びましょう。サンプル・プログラムは，Cookieの読み書きを試す簡単なものから，ユーザーのアクセス追跡やログイン状態の管理などの機能を備えた実用的なものまでを紹介します。 ここで紹介するサンプル・プログラムは，日経ソフトウエアのWebサイトからダウンロードできます。ダウンロード・ページ中で，2007年2月号の「簡単実装で学ぶWeb技術2006　第8回」を参照してください。 ●日経ソフトウエア2007年2月号のダウン

Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず，である。特に，セッション管理がからむアプリケーションのぜい弱性には，気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」（CSRF），「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング，SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く，対策も進んでいない。 原因の一つは，アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば，セッション管理に使うクッキー（cookie）の動作を理解していないと対策が難しい。ところが最近の開発環境では，セッション管理の仕組みが隠ぺいされているため，必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気

SQL文を実行する際のパフォーマンスに大きな影響を及ぼすものとして，もう一つ，インデックスがあります。インデックスについては，どう定義すべきかというデータベース設計上の問題と，インデックスを有効に使うためのSQL文をどう書くべきかというコーディング上の問題があります。 ここではテーブル設計上の問題を主に取り上げます。SQL文のコーディングについては囲み記事「SQL文を最速にする11のポイント」を参照してください。 インデックスは，テーブルの検索速度を向上させるためのものです。それぞれのSQL文に対して最適なインデックスを定義するのが理想的ですが，実際にはある程度限られたインデックスで，必要なパフォーマンス要件を満たすようにインデックスを定義する必要があります。加えて，どんなSQL文が実際に発行されるのかがあらかじめわかっていない場合は，適当な想定に基づいてインデックスを定義しておかなくては

「データベースはブラックボックス。どんなSQL文を投げたらどんな結果が返ってくるかさえ知っていればよい」---そう思っている人も多いかもしれません。 しかし，本物のソフトウエア・エンジニアを目指すのであれば，データベースが動く仕組みを学ぶことは避けて通れません。パフォーマンスなどに問題が生じたときどこから手を付けていいのか皆目見当がつかない，といった事態に陥りかねません。 市販のRDBMSの内部はかなり複雑ですが，基本的な部分を理解するのはそれほど難しくありません。この特集でデータベースの動く仕組みを理解してください。 イントロ ●ブラックボックスのままでいいの？ 基礎から理解するデータベースのしくみ（1） Ｐａｒｔ１ ●SQL文はどのように実行されるのか 基礎から理解するデータベースのしくみ（2） 基礎から理解するデータベースのしくみ（3） 基礎から理解するデータベースのしくみ（4） 基

たいへんお待たせして申し訳ございませんでしました。ドワンゴ 戀塚昭彦さんの講演「ニコニコ動画の創り方」の動画です。 ニコニコ動画のヘビー・ユーザーの皆様には「戀塚くんはただちにログアウトして..」でおなじみの戀塚さん。「金曜日に『こんなものを作ってみない？』と言われて，水曜日にほとんどできていた」という，ニコニコ動画の創世にまつわる驚愕の舞台裏を語ります。 ITproによるレポートはこちらです。 【ITpro Challenge!】開発者が語る「3日で作ったニコニコ動画」---ドワンゴ 戀塚昭彦氏 ご講演くださった皆様，ご参加くださった皆様，コメントをくださった皆様に改めて心より感謝いたします。本当にありがとうございました！

Shibuya Perl Mongers 2代目リーダーにして，ppencodeの作者。広島市立大学卒業後，大企業向けmod_perl製品の開発に従事。2005年よりサイボウズ・ラボ株式会社に入社。LL Ringに参戦。Namazu for Win32，Plagger，Ajajaのコミッターでもある。 CGIといえばPerl。そんな風にいわれていた時期もありました。レンタル・サーバーのCGIで手軽にPerlが使えたこともあり，ちょっとした掲示板のスクリプトやアクセス・カウンタなど，CGIプログラムの多くがPerlで書かれていました。このためPerlが爆発的に普及したのです。Perlは日本のインターネット黎明期を支えたプログラミング言語として，広くその名が知られています。 その半面，Perlで書かれたプログラムの保守性に悩む声も聞かれるようになりました。事実，Perlのプログラミング経験が少

ノートPCを使えば，バックアップ電源付きの，小型で省電力なサーバーを構築できる。本連載では，往年の名機「ThinkPad s30」を使い，「CentOS」を導入したホーム・サーバーを構築する。 自宅に思い通りに使えるサーバーを設置したいと考えているLinuxユーザーは多いだろう。いざ，設置するとなると，騒音や電気代，設置場所の確保などが問題になる。そこで，旧型の携帯ノートPCを使ってLinuxサーバーを構築してみよう。 小型・省電力を実現できるノートPC 自宅にサーバーを置くなら，24時間稼働させても気にならないほど騒音が小さく，電気代が抑えられ，場所を取らないPCを利用するのが望ましい。しかし，ここ数年のCPUの“動作周波数競争”によって，最新のPCの消費電力および発熱のレベルは大幅に上がった。設置場所と稼働時間の長さを考慮すれば，最新のデスクトップPCはホーム・サーバーに向かない。そこ

「オンラインゲームのアカウント（ユーザーIDとパスワード）を狙う悪質なプログラム（ウイルス）が、国内で多数報告されている。ぜい弱性（セキュリティホール）がある環境では、“わなサイト”にアクセスするだけでウイルスを仕込まれる恐れがある。ゲームユーザーは注意する必要がある」。セキュリティ対策ソフトなどを開発販売するウェブルート・ソフトウェアのテクニカルサポートディレクター野々下幸治氏は2007年5月21日、日経パソコンの取材に対して語った。 野々下氏によれば、国内のオンラインゲームユーザーを狙ったウイルスが急増しているという。攻撃者（ウイルス作者）の目的は金銭。ウイルスを仕込んでパスワードなどを盗み、そのユーザーのアカウントを乗っ取る。乗っ取った後は、ユーザーが蓄えたゲームの中で使うアイテムなどを売りさばく。 アカウントを盗むウイルスの配布方法はさまざま。例えば、オンラインゲーム関連の掲示板に

Webアプリケーションのぜい弱性を示す用語として，クロスサイト・スクリプティング，SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし，Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年（2006年），ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると，パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56％，2位はSQLインジェクションで11%と，どちらもインジェクション（注入）系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが，以前は「ぜい

「日本の大手サイトのアクセスが伸び悩んでいる」，「Web 2.0サービスの成長が鈍化している」---最近，こんな論調をマスメディアやブログでよく見かけるようになりました。 J-CAST ニュース : SNS最大手ミクシィ 成長神話の終焉 ラージアイ・イレブン - 大手サイトのページビュー推移比較 九段ではたらく社長のここだけの話 - alexaが伸びていないのは当たり前 メディア・パブ - Web2.0が失速？！ Dave's Blog: Web2.0の次 これらのエントリでは，インターネットの視聴率サービスであるAlexa(アレクサ)でのリーチ(Reach)指標が漸減していることを根拠に，パソコンによるネット利用の減退の可能性について警鐘を鳴らしています。 Alexaは，オンライン書店米Amazon.comの子会社で，世界中のウェブサイトのアクセス数の多寡を調べ，提供しています。インター

比較的新しい攻撃方法に、不完全なマルチバイト文字列を送信することでHTMLに 記述されているクォートを無効化する方法があります。この攻撃はHTML エス ケープのみでは防げない事に注意が必要です。では、どのように対策をすれば良 いのでしょうか？ まずは、不完全なマルチバイト文字を利用してクォート（"）を無効化できるこ とを確認しましょう。次のスクリプトをブラウザから実行して下さい（最後の ダブルクォテーションとPHPタグの間にスペースを入れないで下さい）。 <?php $str = urldecode('%81'); header('Content-Type: text/html; charset=SJIS'); ?> <?php echo htmlentities($str, ENT_QUOTES, 'SJIS') ?>" コードが分かりづらいので注意してください。PHPタグを２つに大別

Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた，2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は，今そこにある危機に迫る。 Zone-Hの場合，犯人は自己顕示を目的としていたため，被害はページ改ざん程度で済んだ。しかし，犯罪者の狙い次第で危険度はもっと高まる（図3）。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに，背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば，クッキーを盗まれ，不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば，開発や営業の資

Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた，2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも，エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト，Ajax，RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では，エンドユーザーに情報盗難などの危険が広がっている（図1）。インターネット・バンキングやEC（電子商取引）サイトのユーザーIDやパスワード，クレジットカード番号はもちろん，企業内のシステムにアクセスするためのパスワードや，パソコンに読み込んだ機密文書データなど，対象はあらゆる情報だ。 2006年12月末，米国のセキュリテ