Journal InTime

_ beta.modruby.net

modruby.netにlilyを導入するための準備中。

ついでに、mod_rubyのバージョンを表示するためのプラグインを書いてみた。 と言っても見ての通り三行である。

flavour/foot.{flav,html}に、

<p id="powered">
    Generated by <a href="http://www.mikihoshi.com/lily" title="">lily</a> $version<br />
    Powered by <a href="http://www.ruby-lang.org/" title="ruby-lang.org">ruby</a> $ruby_version /
    <a href="http://modruby.net/" title="modruby.net">mod_ruby</a> $mod_ruby_version
</p>

とか書いとくと、mod_rubyのバージョンが表示されるはず。

_ Thunderbirdでフォルダを開いた時に自動的にダウンロードしない設定

ThunderbirdはIMAPフォルダを開いただけで、勝手にそのフォルダの 全メールのダウンロードを始めてしまうので、spamフォルダを開くとなかなかつらい。

どなたか勝手にダウンロードをさせない設定を知っていたら教えてくださいm(..)m

mail.server.default.download_on_biffという設定は見つけたけど、 これは

新着確認で新しい message を download するなら true、user に新しい mail があることを通知するなら false。

ということで、ちょっと違うんだよなあ。

_ Railsトレーニングプログラム

7/3〜5の日程で無事開催終了。

途中reset_session時にflashがリセットされないバグが見つかって、その場でtracにパッチをポストしたら、最終日にはcommitされていた。すばらしい。

他にもRails自体のテストが通らないところがあったりして、自分はデバッグばかりしてた気がする。

_ Matilda (PMC) (Puffin Modern Classics)

Matilda (PMC) (Puffin Modern Classics)

出張中の3日間で読了。洋書だと挫折しがちなのだが、最後まで楽しく読めた(未読の方のために内容には触れない)。 まあ、8才以上向けだしなあ(その割にわからない単語が多かったのは内緒)。

ダールってあなたに似た人しか読んだことなかったけど、子ども向けの本も書いてたんだ。 チャーリーとチョコレート工場(見てないけど)の原作も彼だったのね。

一緒にKiss Kissも買ったけど、こっちは読了できるかな。

_ Webアプリケーションセキュリティフォーラム

というわけで、発表して来た。

• スライド(PDF)
• スライド原稿(RD)

自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。

追記:

リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため)

高木先生

Greasemonkeyの説明の部分がよく聞こえなかったんですが。

奥さん

(内容を説明)

高木先生

ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。

私の心の声

(最初から聞こえてたんじゃ…)

奥さん

ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。

高木先生

いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩したら非常に危険ですよね。同じことをトロイの木馬などで実現するのは相当コストがかかると思うんですが、Greasemonkeyスクリプトでは簡単に実現してしまうわけで、非常に危険だと思います。

奥さん

スクリプトを有効にするドメインを指定できますので、ある程度対策は可能です。

高木先生

私はGreasemonkeyスクリプトのようなものは、スクリプトの内容が読める人が使うものだと思っています。

他にも、JSONPの脆弱性の対策手法は汚いと思うがそもそもJSONPみたいなもが必要なんですか?とか、全ユーザのトラッキングじゃなくて視聴率調査みたいに了解を取った上で何%かのユーザを対象に調査すればいいんじゃないですか?とか、IPアドレスによるトラッキングなんて本当にできるんですかとか?とか面白い応酬が続いていた。

おおざっぱに議論をまとめると、セキュリティと利便性のトレードオフの話ということになるのかな?

さらに追記:

すみません、やっぱり記憶違いがあったようです。 高木先生からのツッコミを引用します。

銀行サイトの件は「cookieが漏洩したら」ではなく、cookie漏洩なしにGreasemonkeyスクリプトならその場でアレコレできちゃって激ヤバ （以下「同じことをトロイで実現するのは面倒だが…」に続く） という話をしたのでした。

[HiromitsuTakagiのブックマークより引用]