popxpopに 【図解】 LinuxサーバーとWindowsサーバーの違いというエントリがある。 これだけだと何のことか分からないのだが、 元記事のZDNet.comでのRichard Stiennon氏によるブログエントリをさくっと 見ると、一個の静的なhtmlを読み込んだ時のLinux+ApacheとIISでのシステムコールの呼び出しを視覚化していることが分かる。 で、これで何が言いたいのかというと、元記事のタイトル「Why Windows is less secure than Linux」からもバレバレだが、ようはWindowsのほうが 複雑なシステムコールのおかげでbuffer overflow attackに晒されやすい云々ということを言いたいようだ。 ICのblogや18 til i dieあたりを 読めば、この導かれる結論のようなものが意味がないものと分かるのだが、18

いつもなら新たにFirefoxをインストールしてFLASH素材のあるページなどから自動インストールすると、ver7が入ってしまうのをインストールしてから気づいていて、今まではコンソールから手動で入れていたのだが、このあいだまた(笑)自動インストールしてしまいふとpluginバージョンを見てみるとver9になっていたのは正式リリースされたからなのかなぁ？などと思っています。 読みにくくてすいません（ぉ /.jpでは誰も言及していないようなのでFYIということで。 AdobeからOSS経由でもサウンド出力を可能とするwrapper "flashsupport [adobe.com]"のソースが配布されています。 このflashsupportをOSS, esd, PulseAuduioに対応したものを配布しているサイト [revolutionlinux.com]もあるようですが，2007/1/1

Technology ReviewにC++の創始者であるBjarne Stroustrupへのインタビューが掲載されている。 彼はC++が習得し辛く、使用し辛いという批判に対して興味深い意見を述べている。 以下は拙訳(意訳あり)。 Technology Review: なぜ多くのソフトウェアはそんなに粗悪なのでしょうか? Bjarne Stroustrup: 良いものもあります。Mars Rovers、 Google、 Human、 Genome Projectは高品質なソフトウェアです。15年前、こういうものを作るのは不可能だと思われていました。技術文明はソフトウェアに依存しているので、ソフトウェアがそんなにダメだったら我々はとうに滅びていたでしょう。 他方で、"平均的な"コードを見ると私はぞっとします。構造はひどいし、明らかにプログラマーは正しさやアルゴリズムやデータ構造、保全性につい

babie曰く、"OpenBSD3.2がリリースされました。えー、注目点としては、 Apacheがデフォルトでchrootされる setuid されたバイナリが大幅に減少 OpenBSD独自のパケットフィルタリング実装pfの拡張 ハードウェア暗号化サポートがデフォルトで有効化(?ThinkPadとかについてる奴?) ってとこでしょうか。おっ、しばらく見ないうちに、注文ページも日本語化されてる！翻訳のtoshiさんに感謝。あと、ロゴが007みたいです。"

airheadの力作「Microsoftのセキュリティ技術部門VP、Mike Nash@本家」が残念ながら一つの記事分量の制限にかかってるようなので、分割してお届けする。質問の(7)からはこの記事にて。 (7) 「平均的ユーザー」に付き合ったりしてる？ by Caspian 私は繰り返し何度となく、エンドユーザーと会っています――御婆様方、「サッカーママ」タイプ、サラリーマン――そういう人のコンピュータは決まりきって、スパイウェア、ウイルス、その他のマルウェアがどうにもならないほど詰まっていて、その圧倒的大部分はMicrosoftのソフトウェアにあるセキュリティの欠陥を突くことを通じて感染しています。そういったコンピュータの除菌を、私はしょっちゅう任せられるんですよ。 あなたは（そしてあなたのチームのメンバーは）どのくらいの頻度で平均的エンドユーザーに付き合ってるんでしょうかね？ 大企業の

airhead曰く、"今回は、MicrosoftのSecurity Technology Unit担当バイスプレジデント、Mike Nashへのインタビューです。彼は同社のセキュリティ施策を推進してきた中心人物の一人で、同社のWebcast「Security360（要登録 / 日本語字幕版では登録不要）」でホスト役を務めたりもしています。 時期的にもまず「Vistaでセキュリティ面が具体的にどう変わるのか」が気になるところですが、その他にも、ソフトウェア開発段階での取り組みとその内幕、サードパーティへの働きかけ、平均的ユーザーとマルウェア対策、FOSSに対する見解などが話題に上っています（原文）。 (1) 何が変わった？ by suso PR部門が原稿を用意する毎度おなじみの回答、要するに、実際のところを隠したり控えめに言ったりするために企業が提供したがるようなものは要りません。Micro

otkとsnowyとopenSUSE.orgの愉快な仲間達曰く、"本日、openSUSE.org日本語翻訳チームは、大きな喜びをもって、openSUSEコミュニティの日本語版サイトであるja.opensuse.orgがオープンしたことを発表いたします。 openSUSEプロジェクトは、定評あるGUI設定ツールYaST等で知られるSUSE Linuxを開発しています。また、YaST以外にも、斬新な特徴と機能を多く持つ次世代GUI環境Xglとその管理ツールCompiz、Linuxに強力なセキュリティ能力をもたらすAppArmor等の開発を行い、これらを他のLinuxコミュニティにも提案、提供しています。さらに間もなく、共用のパッケージ構築サービス「BuildService」の提供を開始します(限定的な提供が数日前に始まりました)。" (つづく...) "openSUSEコミュニティは、昨年夏に

とあるんですがchrootって特権あれば破れる==chroot外のファイル改竄?ということですか？ chrootってそういうもの?それともまたcvsとは別の脆弱性? 検索してFix chr [luky.org] 一応補足しておきますと、 - Linuxのchroot(2)にあるchroot jailからの脱出法 (#587014のリンク先と原理は同じ) は、chroot(2)の中でchdir相当をする実装 (NetBSD、OpenBSDなど) では無効です - #587014の、「mknodしてmountしなおす」は、一般的には不可能です。chroot jailの中では、jailの外側のファイルシステムをumountすることはできないからです。ただし、Linuxでは1つのファイルシステムを複数回 (別なmount pointに) mountできてしまうので、mountしなおす、というよりは

ストーリー by yoosee 2006年05月27日 10時30分 家電にも自動の「◯◯Update」が必要な時代? 部門より Anonymous Coward曰く、"「サーバ管理者のスパム対策」というサイトにある「国内open proxyの現状」というコンテンツが、spam中継などに悪用されかねないいわゆる「オープンProxy」の日本における実態を明らかにした。 オープンProxyの多さを国別に比較すると日本は4位と割と多めであるところ、その原因は 65%が「こりゃ英和！」の脆弱性が修正されていないもので、22%が東芝製HDD&DVDビデオレコーダーの脆弱性が修正されていないものだという。 JVNに登録されている東芝からの告知に書かれている「本件に関する対策は以下のURLで公開しています」のURLのページは既に削除されており、東芝のセキュリティへの取り組みの不誠実さが問われそうだ。"

Encode - 規格のバグまでは直せませんにコメントしながら思ったのだが、JIS X 0208の1区33点「波ダッシュ」をUnicodeに変換する際、U+FF5EのFULLWIDTH TILDEに変換するのは明らかに間違いだ。この件に関して、私が知る限りのことを、ここに記しておこうと思う。 平成5年度のUCS調査研究委員会WG1において問題となったものの一つが、既存のJISの文字コードとISO/IEC 10646との対応をどうするかだった。JIS X 0208-1990の1区33点「波ダッシュ」に対しては、U+223C、U+223D、U+223E、U+223F、U+301Cが候補となったが、結局U+301Cと対応させることとなった。U+301Cの名前がWAVE DASHだったからである。ただし、ISO/IEC 10646-1:1993のU+301Cの例示字形は、JIS X 0208の「波

いいか、みんな (ﾟдﾟ ) (|　y |) amazonで注文すればokと信じていたのに、 いつまでたっても商品が来ない。 amazon　( ﾟдﾟ)　　ok ＼／|　y |＼／ これらをくっつけて ( ﾟдﾟ)　amazonok (＼／＼／ 逆から読むとこのざま、というわけだ ( ﾟдﾟ)　konozama (＼／＼／ #よく考えついたなと・・・

ストーリー by yoosee 2006年05月19日 19時45分 安全な場所なんて、もうどこにもないんだよ… 部門より Anonymous Contributo曰く、"5月18日のNHKにて、最近急増しているネット家電のウイルス対策についてのニュースがありました。ネットに繋ぐからにはウイルス対策が必要だろうというのは予見された話ですが、実際の被害が出る様になり問題が出てきてから指針が話題になるというのはちょっとメーカー側の対応が遅く、弱いように感じます。しかしながら、対策がなされないよりはされた方が確実に良いので、各メーカーには、IPA(情報処理推進機構)の作成された指針を上回るような対策 (組込みソフトウェアのセキュリティ対策のポイント集) をお願いしたいところです。"

tamo曰く、"OpenBSD 3.9 リリース に合わせて KernelTrap が Theo de Raadt にインタビュー しました。許可を得て 和訳 (EUC-JP プレーンテキスト) を公開いたしましたので、ご賞味ください。公開を許可してくださった KernelTrap の Jeremy Andrews と、 訳文の誤りなどを正してくださった新山祐介氏に感謝いたします。 そしてもちろん Theo de Raadt にも! 関連記事: 資金不足 と Mozilla からの寄付。 Slashdot インタビューの翻訳 と新山さんによる 2001 年の KernelTrap インタビュー和訳。 また、インタビュー本文中で Theo が言っているX のセキュリティモデル (英文) もどうぞ。"

実際にSoftICEを現在も使っている人間ですけれど、無くなっても困らないというのが実情です。SoftICEである必然性がなくなりつつあります。 シリアル接続のWinDBGに比べて、DbgPrintを大量に入れてもストレスがないというのが使用していた主な理由だったりしますけれど、VMWare+WinDBGという選択肢ができて、この速度の優位性が一気になくなりました。ソースを使ったデバッグという土俵では両者に有意な差は感じていませんでしたし。 64bit環境のことを考えるとなおさらです。VMWareはすでに64bitを正式にサポートしているため、ゲスト、ホスト共に安心して使えます。 ドライバを書いて給料をもらっている人間としてはこの1年で必然性が一気になくなった気がします。ドライバはすでに64bit版があって当たり前になりつつありますから… (#915129)と同一人物です。 さらに付け加え

双方とも適材適所で、規模や状況に応じて使い分けるものなのに、 片方がもう片方の相手を一方的にあげつらうと、 「必死だな」感が醸し出されてしまうというか… 私が読み方を間違えてるのかなあ。 Kent BeckのDDDは、日頃ドキュメント書きや内容チェックに追われる身には結構ニヤリとできる話ではあります。 Robert Martinの話は、日頃下請けにシステム開発させている大手システムインテグレータには耳の痛い話でしょうし。 ちょっとまじめに。XP/Agileは小規模向きでWaterfallが大規模向き、みたいな通説がありますが、大規模におけるXP/Agileの検証が序盤についただけ、という程度でしょう。大規模に限らず、Waterfall適用の問題点については、失敗事例が多いので検証が進んでいますよね。

論文を読む限りでは、コリジョンを発生させるための計算式があって、 この計算式を満たすメッセージMの発見が数秒から数分で行われた、と読める。 任意のメッセージに対するコリジョン発生式というわけではないのかしら？ まあ、それはそれで重要な報告ではあるんだけど。 # 親コメントの方は分かってそうですがフォロー ハッシュ値のコリジョンには弱衝突と強衝突という概念がありまして。 ハッシュ関数を f()として元の文章をAとします。 Aのハッシュ値は f(A)= X とします。 このときに、f(B) = X となるようなBを発見するのが難しい性質がある事を 弱衝突耐性がある と言います。 「既にある何かにぶつける事が難しい」事ですね。 一方で強衝突耐性とは f(C)=f(D) となる、任意のC,Dのペアを見つける事が難しい性質がある事です。これは 「ぶつかってしまう2つの物を発見することが難しい」事にな

一度、Winny本体をWinnyで配布したら、同じハッシュの捏造ファイルが出回ったのでWinnyで配布するのをやめたとかいう噂を聞いた事が。

猫と一緒に曰く、"日本経済新聞社の記事によれば、ソニーは異なるメーカーのデジタル家電や携帯機器でも相互接続できる通信規格を、2007年以降発売する製品に採用すると発表した。 新規格は「デジタル・リビング・ネットワーク・アライアンス（dlna）設計ガイドライン」(プレスリリースPDF)と呼ばれる家電向け通信規格の改訂版で、3月上旬にソニーや松下電器産業、韓国サムスン電子のほか、米ＩＢＭ、マイクロソフト、インテルなど世界の大手家電・パソコンメーカーなどdlnaのメンバー約280社がまとめたもの。映像や音声などのデータをデジタル機器同士で交換するための手順などを定めているという。NECやシャープなど他社も追随する見込み。"

公のソースではありませんが、個人的にnbenchとscimarkでベンチ取ったところ、数%向上してました。 ただ、gccのバージョン違いより、適切なオプションのほうが大きな差が出ます(gcc4(-O2)とgcc4.1(-O2)の違いより、-O2 と-O2 -mtune=i686の違いのほうが大きい） また、3,4系のほうがよい場合もいまだにあるようです。scimarkは様々な数値演算系ベンチのパックですが、個々のベンチは全般的に3,44.04.1で向上しているのですが、あるベンチだけ3.4が大幅に高速なため、総合では3.4が上になっています。 3.4系と4.x系は - 全般的に最適化が向上しているが、なんか一つ抜けてる もしくは好意的に解釈すると - 3.4系ではaliasingの可能性等でヤバイ最適化をしてたが、4.xでは厳密に解釈するようになった（ので過度な最適化はしなくなった） んじ

Anonymous Coward曰く、"NHKオンラインが3月16日からポッドキャストによる外国語ニュースの提供を開始した(ニュースリリース(PDF))。ラジオ国際放送のホームページでは、以前から 日本語・英語・アラビア語・イタリア語・インドネシア語・ウルドゥ語・スウェーデン語・スペイン語・スワヒリ語・タイ語・中国語・ドイツ語・ハングル・ビルマ語・ヒンディ語・フランス語・ベトナム語・ペルシャ語・ベンガル語・ポルトガル語・マレー語・ロシア語 の22ヶ国語のニュースをWindowsMedia・Real形式で提供していたが、Podcastingのページでは日本語を除く21カ国語のニュースを利用できる。更新頻度は、最も頻繁に更新されると思われる英語ニュースで1日8回。昨今の国際放送拡充をめぐる議論を受けた動きを思わせる一方で、日本語ニュースに対応していない点や紹介ページが英語版しか無い点は「民業圧