自由なソフトウェアと自由なWeb
先日、ソフトウェアライセンスの勉強会に参加したり、オープンソースライセンスの議論が炎上白熱したりしているので、俺自身ソフトウェアライセンスについて考える機会が増えたように思う。プロフィールにも書いてある通り、俺はフリーソフトウェアが大好きである。フリーソフトウェアライセンスは(乱立したので)星のかずほど存在するのだが、その中でもやはりフリーソフトウェアという概念を提唱したリチャード・ストールマン等によるGPLを支持せずには居られない。GPLにもいくつかバリエーションが存在するのだが、その中でももっともとんがっている(最も強いコピーレフト条項が盛り込まれた)AGPLの採用事例が少ないように思う。なぜ採用があまり進まないのだろうかと考えた結果、ある重大な事実、特にWeb業界にまつわる事実に気がついたので、今日はそのことについて紹介しようと思う。結論は最後の方にあるが、あきらめずに頑張って読んで
インテグラル理論とグーグルとケータイ小説 - アンカテ
(8/18 追記) 引用した4象限の図を修正しました。詳しくは本文参照。 (追記終わり) インテグラル理論入門I ウィルバーの意識論 今まで読んだどの本よりもこの本は、グーグルの限界について明確に語っている。 と言っても、これはネットやビジネスについての本ではなくて、ケン・ウィルバーの「インテグラル理論」という考え方について、わかりやすく解説した本だ。グーグルのことは一言も書かれてないが、この本で解説されている考え方をあてはめると、それがよくわかるのだ。 「インテグラル理論」では、古今東西のあらゆる人間の営みを次の4つの象限に分けて考える。 (「インテグラル理論入門」P25より 一部修正*1 ) 縦は集団か個人かという分類で、横が「私」が関係する主観的な領域か、「それ」として扱える客観的な領域かという分類だ。これは、普通は学問のジャンルを整理する表なのだが、ここにネットに関連する企業をあて
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
梅田氏と「アテネの学堂」 - michikaifu’s diary
梅田さんの発言記事がネットで盛り上がっている模様。 日本のWebは「残念」 梅田望夫さんに聞く(前編) (1/3) - ITmedia NEWS Web、はてな、将棋への思い 梅田望夫さんに聞く(後編) (1/3) - ITmedia NEWS 404 Blog Not Found:梅田望夫は「残念」なただ一つの理由 (他はこのDan Kogaiの中にリンクがいっぱいあるので参照) 渡辺千賀といい、あーあ、言っちゃった、何か心境の変化でもあったのかな、などと思いつつ。 叩かれるのは覚悟の上で言ったんだろうけれど、少なくとも私の見える範囲で彼の発言を叩いている内容を見る限り、梅田さんのフラストレーションは当たってるなぁ・・・と思ってしまう。以下は私の解釈ではあるが。 梅田さんが「好き」であって、日本でもその登場を期待したネットの世界とは、「バーチャル・アテネの学堂」だったんじゃないかと思う。
APIドリブン - 西尾泰和のはてなダイアリー
いつもウェブアプリを作るときには画面の遷移の流れを追って作るんだけど、今回はAPIの仕様策定からスタートした。なるべく多くの人が手軽にボットを作れるような遊び場を作ることが目的なのでなるべくシンプルなフォーマットでなるべく少ない情報をやり取りしてゲームを進めることを考えている。これはこれで違う視点から見れて切り分けがはっきりしていいなぁ。 人間が操作するブラウザ上の画面遷移を考えているとそれに引きずられて「ここではこんな情報も出てくれるとうれしいな」とか「このボタン一つで何々ができたらいいのに」ってのに引きずられて本来複数に分割すべき処理が一つに固まってしまったりする。そしてそれがくっついていることが問題であることに気づけない。 具体的に言うと最中限で最初に/start_new_gameで「自分とランダムAIが2人着席したゲームを作る」というようにしてしまったために、対人戦やAIの選択をす
満足せる豚。眠たげなポチ。:大規模サービスの運用事例まとめ
ここ数年の大規模サービスのシステム運用について調べてみたので参照したページやファイル、本へのリンクをまとめておく。PDF へのリンクも多数含まれているのでご注意を。 時代が時代なら企業のノウハウとして隠されていたような情報がこれだけ公開してもらえているというのが非常にありがたい。公開してくれている各企業や公開してくれている人に感謝。 あとで気付いたが、Google や Facebook の事例も探しておけばよかった。Thrift とかあったのに。「こんな情報もあったよ」などあればぜひ教えてください。追記していきます。 youtube http://d.hatena.ne.jp/stanaka/20070427/1177651323 digg http://d.hatena.ne.jp/stanaka/20070427/1177651323 livedoor http://labs.cybo
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
堀愚霊瑠の指摘で気付いた、はてなスターの静的ファイルとか想像以上にアレな件 : にぽたん研究所
id:HolyGrail (堀愚霊瑠氏) の「はてなブックマークが重い件について、Page Detailerというツールを使って調べてみる - id:HolyGrailとid:HoryGrailの区別がつかない日記」とか見てて、色々問題点が指摘されてて、うん、まぁそうだねーとか色々と思いつつ、YSlow は、有用なツールである反面、減点基準が必ずしも全てのサイトに適合しないというか、ハッキリ言ってしまえば Yahoo! Inc. 基準すぎるので、鵜呑みにし過ぎるのもどうかなーとか思ってた。 で、気になったのは 13. Configure ETags ETagsっていうのはサーバ上のファイルとブラウザのキャッシュが一致しているかどうかを検証するためのものなのですが、正しく利用できていないのであれば、ETagsは無駄なだけなので取り除いてやりましょう、という項目です。 http://s.hat
だから - finalventの日記
⇒「死ね!」と言われて自殺を図る子にコメント承認制は効果がない そこがポイントじゃないんだってば。 それと。 「死ね!」コメントはもちろんイケナイ物だと思うし、排除されるべきと思うのだけど、罵倒も含めてネガティブ言及をコントロールするのは難しく、その対策をサービスに要求してもすぐに叶えられるものとは思えないので、耐性を備えることができない人は「コメントを受け付けない」「アクセス解析を見ない」のが手っ取り早いのではないか、と思います。 あのね。 「「死ね!」コメントはもちろんイケナイ物だと思うし、排除されるべきと思う」に寄与できる部分があるとしたら、それはなんなの? とブロガーとして考えたということ。 あまり言いたくないけど、というかまた上から目線とかいわれたり頓珍漢な誹謗中傷受けるからやなんだけど、数千PVもあるようなブログのエントリに、「死ね」とか、知らない人の個人メールアドレスものがコ
コンテナーとコンテンツ : 404 Blog Not Found
2007年12月02日20:30 カテゴリMediaBlogosphere コンテナーとコンテンツ ここは、正しい。 自己表現のプラットフォームは移り変わる:佐々木俊尚 ジャーナリストの視点 - CNET Japan ブログなんて、しょせんはひとつの表現コンテナー(メディア)に過ぎない。 しかし、ここは私にとって正しくない。 Web2.0の時代において最も大切なのはコンテナーではなく、コンテンツそのものだ。理由は、二つある。 一つは、コンテントの形はコンテナーの影響を受けずにいられない、という事実。だからマクルーハンも「メディアはメッセージ」だといった。メッセージを発しているのは、メディアという着ぐるみではなく、その中に入っている人のはずなのだが、しかしそれがメッセージとして見えるのは着ぐるみを通してなのである。だから、その着ぐるみにどんな機能があってどんな機能がないかというのは、そのコン
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
ネットサービスでやってはいけない14のこと(Guy Kawasaki版) | P O P * P O P
このブログでもたまにとりあげるGuy Kawasakiさん。ベンチャーキャピタリストで数多くのネットサービスを手がけています。 そんな彼が「ネットサービスでやってはいけない10のこと」なる記事をあげていました(本当は14ありますが、Guyさんはなんでもポイントを10にするので有名)。 あたりまえ的なポイントも多いですが、数多くのネットサービスに携わっている方の言葉ですから説得力がありますよね。 » How to Change the World: The Top Ten Stupid Ways to Hinder Market Adoption では、早速、下記にご紹介。 【1】 すぐにユーザー登録を要求する 最初にユーザー登録を要求したい気持ちはわかりますが、利用者の心理的抵抗を大きくしてしまいます。 まずは使ってもらうことを第一にしましょう。ぎりぎりまで要求しない方が良いですよ。 【2
Web2.0の先にあるC10K問題 ― @IT
個々のクライアントがサーバに要求する処理量は小さなものでハードウェアの性能上は問題がなくても、あまりにもクライアントの数が多くなるとサーバがパンクする――。これが最近Web開発者の間で話題となっている「C10K問題」(クライアント1万台問題)だ。 プロセス番号が足りなくなる パンクするのは例えばプロセス番号だ。 Ajaxの実装として最近注目されている技術に“Comet”(コメット)と呼ばれるものがある。HTTPのセッションをあえて切断せずに、サーバとクライアント間でつなぎっぱなしにするテクニックだ。Cometを使えばクライアントからのリクエストに応えるだけでなく、サーバ側からも不定期に情報を送り出すことができる。例えば、Web上でチャットサービスを実装するには、通常はクライアント側からサーバに一定間隔でポーリングすることで、ほかのユーザーの発言分をサーバから取得して表示するが、Cometの
ダークマター主導経済 - アンカテ
天文学の用語である「ダークマター」というメタファーで、ネットによる経済の構造変化を語ってみる。 今年の新書ベスト3 ウェブ進化論 本当の大変化はこれから始まる (ちくま新書) グーグル―Google 既存のビジネスを破壊する 文春新書 (501) ヒューマン2.0―web新時代の働き方(かもしれない) (朝日新書) 私は新書をそうたくさんは読まないけど、2006年という年を語る上で、この3冊は欠かせない気がする。そして、この3冊に共通するテーマとして「ネット列強は個人のエンパワーメントを促進する」ということがある。 「ウェブ進化論」のその側面については、アドセンスは21世紀のフルブライト留学制度だで論じている。佐々木さんの本については、佐々木氏のググル本に自助努力系の人が登場する理由に書いた。どちらの記事も、読みかえすと、自分が書いた所にはいろいろ直したい所があるが、引用はいい所を引用して
Flashで道順をアニメーション再生する地図ができる「ALPSLAB route」
いろいろと地図に関する面白い実験をしている毎度おなじみ「ALPSLAB」が久々に実用度満点のすばらしいものを送り出してくれました。道順を地図上でクリックしていくと自動的にその道順をアニメーションでたどりながら再生してくれる地図を生成する「ALPSLAB route」というのがそれ。ブログなどに埋め込むことも可能です。 これだけでも十分すごいのですが、GPSのログが利用できたり、タグ入力も可能で、なおかつFlickrのアカウントを使えば写真を埋め込むこともできます。 というわけで、実際に使ってみました。 ALPSLAB route http://route.alpslab.jp/ まずは「ALPSLAB route (ルートを作成)」にアクセスし、上の空欄にスターチ地点の住所を入力して移動してから、「道に沿って結ぶ」か「直線で結ぶ」を選んで、地図上を道順に沿ってクリックしていきます。「Shi
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
キャズムを超えろ! - Coolpix S7c Nikon Online Album徹底Review 結論は『もっとユーザの目線で作って』『難しすぎる』
別にNikonに恨みがあるわけでもないが、あまりにあんまりなのでさくっとReview。大手企業がネット商売に乗り出すとだいたいやるミスを片っ端から犯しているので、文末に箇条書きにしてみた。本Blogを閲覧している大手電気メーカーの方はしっかりと目を通して同じ過ちを繰り返さないようにしてほしい。 まずはユーザビリティ観点で、デフォルト設定に大問題があるので真っ先に指摘しておく。デフォルトでは「撮った写真をDirectにWeb Albumにアップする」ことはできるが「撮った写真をWiFiでネットに即公開!」は出来ないので注意!どういうことかというと、アップはできるがテンポラリフォルダに格納されるのみで、PCからニコン・オンラインアルバムにログインして「テンポラリにUPしたファイルの中からこれとこれを公開」という操作をしなければ公開できないのだ。「つくるモード」→「カメラからのアップロード設定」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ユニバーサル・エディット・ボタン
computernews.com
Technologies for UI