2007/04/19

[雑記]   「肝臓がよくない」

at 16:15JST
医者に、思いっきり眉間のしわつくりながら言われた-"- こないだの血液検査の結果とにらめっこしてる。

もう、病気の総合百貨店だから何言われたって動じないぜ。へっ。つーか、先週別件で血液検査受けたから、そうすぐに死ぬようなことはないはずなのだ。

ここんとこの検査結果を表にしてみた。
200704198mage1.png
…去年の9月がすごかったんだな。このころ血圧も異常で、何があったのかいまだにわからない。しかし、長い目で見るとよくなっている感がしないでもない。

しかしねえ、お酒一滴も飲まないからこれ以上節制するとこないしー。

[技術系]   さらにurchin.jsの中身を見てみる

at 15:14JST
結局、気になったのでおうちに帰ってきて、Google Analyticsのクライアント側本体にあたるurchin.jsの中身を調べてみることにした。さすがにケータイからJavaScriptのチェックをするのはキツいもの。

なんかしつこいようだが、ひまなのか…?

これまでのあしあと:
http://memo.hirosiki.jp/article/39107558.html

http://www.milkstand.net/fsgarage/archives/001003.html

http://memo.hirosiki.jp/article/39314566.html

http://memo.hirosiki.jp/article/39344442.html

いまココ!

で、なんでJavaScriptのソースを調べるかというと、JavaScriptを使うとクロスドメインのCookie共有ができてしまうからだ。これは簡単で、

サイトA:
 - Cookie-aをフィード
 - HTML-aをホスト。
  ※HTML-aはサイトBのJavaScript-jを呼び出す
サイトB:
 - JavaScript-jをホスト
 - dummy.gifをホスト

で、JavaScript-jに
 var i = new Image(1,1);
 i.src = 'http://サイトB/dummy.gif?' + EscapeURIComponent( document.cookie );
と書いておくと、クライアントがHTML-aにアクセスするとdummy.gifへのクエリーとしてCookie-aがサイトBに向けて送信される。よね? つーか、Cookieを直接送信しなくても今回必要なのは一意なIDなので、doument.cookieでなくてもかまわない。

このようなダミー画像による情報の送信自体は、エンベッド型のアクセス解析ツールでは定石だ。実際、
http://www.google-analytics.com/urchin.js
は、l.171のように、
i2.src=_ugifpath2+"?"+"utmwv="+_uwv+s+"&utmac="+_uacct+"&utmcc="+_uGCS();
として、ユーザー情報を送信している。

問題は、ここで送信されている情報の中身なんだよねえ…。sについては、ざっと見ると
 - _uBInfo()(ブラウザ環境情報)
 - _uCInfo()
 - ページタイトル
 - リファラー
 - URL
だ。このうちの_uCInfo()が何をやってるのかよくわかんなかった。サイト内でのクライアント特定用Cookieを生成している部分なんだけれど、ダミー画像側には何も送信していないように見える。

…ということなんだよなあ。結局、
「Google Analytics全体で一意なIDをもっているか」
という点については、JavaScriptから見ても
「技術的には可能だがやってないっぽい」
ということだろうか。

でも、そうするとやっぱりGoogleの人が例のカンファレンスで述べた「ファーストパーティクッキー」というものの意味がつかめない。どういうことなんだろうなぁ…。

[雑記]   やっぱ違うかも>Googleのユーザートラッキング

at 13:05JST
Google Analyticsはマジ怖い。
http://www.milkstand.net/fsgarage/archives/001003.html

歩きながら考えたのだが、前のエントリ
http://memo.hirosiki.jp/article/39314566.html
でわかったように

「google-analytics.comはクッキーをフィードしていない」

なら、Googleはガチガチなユーザートラッキングはしてない/できないかもしれない。

初心にかえって考えると添付図のようになる。出先でケータイから書いてるのでこんなの。

Image004.jpg


クライアントXはサイトSnに対応するクッキーの受け皿Xnをもっている。それぞれのサイトからはGoogle Analyticsが発行する「各サイト専用のトラッキングクッキー」Cnがフィードされる。お互いに他サイト用クッキーは参照できない。

この状態では、Google AnalyticsはC1〜3が同じXにフィードしたクッキーだと気付くことはできない。それにはUrchinのスクリプトを送信する自分のサーバGから、ユニバーサルなクッキーであるCgをフィードする必要がある。

しかし、ぼくがみたようすではCgはフィードされていない。ということは、最初に疑義を呈したようなユーザートラッキングは行われていないということになる。

…のかなあ?

でも、それだとGoogleの人は何を指して「ファーストパーティークッキー」という言葉を出したのか。これができないのであれば、Google Analyticsにはとりたててコレというアドバンテージがない。サーチエンジンからの流入状況なんて、誰でもわかる。ちなみにサイト内遷移な視覚化も対応しているアクセス解析ソフトはほかにある。単なるバズワード?

勝手に悩む。

[技術系]   あんまたいしたことなかった>APOPの脆弱性

at 11:13JST
「そもそも一般ユーザーはAPOPなんか使ってねーから
 かんけーねーぜ」
という話はさておき。
 # 「生POP? プギャー!」
 # とか言ってた訳知り顔な人の立場ないよな…

メールのパスワード暗号破った…APOP規格を解読:
YOMIURI ONLINE(読売新聞)
http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm

けっこう技術的に理解したうえでかみ砕いてよく書けてる記事だ。朝これを読んだときは、
「うーん? すごいことかも」
と思った。でも、JVNが出たのを見たら限定的な話だった。

こっち↓だと、ちょっとセンセーショナルに読めてしまうかも。

APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について
http://www.ipa.go.jp/security/vuln/200704_APOP.html

直接JVNを読んだほうが正確↓

JVN#16445002: APOP におけるパスワード漏えいの脆弱性
http://jvn.jp/jp/JVN%2316445002/index.html
この手法による攻撃では、メールサーバを詐称してメールクライアントからの応答を集めることが必要となります。


基本的に、この脆弱性の影響範囲の狭さはこの一文に尽きる。詳細はリンクされているPDFから確認できるが、けっきょく

・攻撃者が細工したチャレンジをクライアントに与えると、
 そのレスポンスを元にいろいろやったあげく元パスワードを得られる
・31文字までのパスワードを実際に約31時間でリカバリできた
 (61文字までは実用的な時間内にリカバリできる)

てな話か。APOPはチャレンジ・レスポンスのしかたもちょっとアレなのが影響していると。チャレンジの文字種・ビット長を制限することで多少は対抗できるが、MD5はもう捨てようよ、というのが結論だそうな。

といってもクライアント側の対応という課題があるのですぐには捨てられない。メールサーバによっては、いったんAPOPで認証をはじめたユーザーはもうほかのものでは受け付けないなどという実装もあるので、すぐにどうこうすることはできないっすね。

まあ、APOPの立場が
「あんた! 使わないと地獄に堕ちるよ!」
から、
「気休めで使っておいたら?」
程度のものになったということかしら。

ぼくは思うんだが、SMTP/POPってもはや一般ユーザーには関係のない世界になってきてる気がする。POP over SSLとかはクライアントの対応もゆっくりだったのに、あんまり騒ぎにならなかったじゃん? OP25Bもそうだけど。それって、明らかに
「メインがWebメールにシフトしてしまっている」
せいだよね…。

これを機会にみんなWebメールに移行したほうがいいのかもしれん。ブラウザはSSL対応しててもはや当たり前。認証もいろんな方法取れるし。POP vs. IMAPみたいな不毛な宗教論争をしなくてすむ。SMTPもPOPもIMAPも、NNTPみたいに消えてしまうのだろう。

それでもぼくは当面生POPを使い続けますが…。いや、telnetさえできればメールを読めるというのは大きな利点だから…。

[技術系]   バグとった

at 07:06JST
3日くらい放置してたバグを取った。

強くなんなきゃなあ…。

[ネット]   でも大丈夫。IEならGoogleにエロサイト閲覧履歴を把握される心配はないんだ

at 03:51JST

以下の文の続きはこっち
http://memo.hirosiki.jp/article/39344442.html


F's Garage:Google Analyticsはマジ怖い。
http://www.milkstand.net/fsgarage/archives/001003.html
Google Analyticsのクッキーを自動削除するソフトとか誰か作って欲しいす。
もしFirefoxのエクステンションで実現されるなら、本気でFirefoxへの移行を考えます。


http://memo.hirosiki.jp/article/39107558.html にちょっと書いたし、ブックマークコメントでも指摘されているみたいだけど、いちおうIEでは簡単に対応できると思う。

まず、IEの
「ツール」→「オプション」→「プライバシー」

「サイト...」
をクリック。
20070419mage1.png

「Webサイトのアドレス」に
google-analytics.com
を入力して、「ブロック」。


ついでに、念のため
「ツール」→「オプション」→「セキュリティ」
で、
「制限付きサイト」
をクリックしたあと「サイト」をクリック。
20070419mage2.png

「このWebサイトをゾーンに追加する」に、
*.google-analytics.com
を入力して、「追加」。

これでGoogle Analyticsが管理する「ファーストパーティCookie」はすべて無視。UrchinのJavaScriptも動作しなくなるはず。IE万歳! ゲイツ様のセキュリティ技術は世界一!

…でも、ぼくは今まで「サードパーティCookie遭遇時に警告を出す」設定にしてたのにGoogle Analytics関連で警告が出た覚えがないんだよね。もしかしたらgoogle.comドメインでCookieをホストしてるのかなぁ…。そしたら手に負えない。それとも、そもそも「Googleはそんな邪悪なことはしていない」なのか。

ま、ぼくは最近、熟女ものとかしか視てないから関係ないや。なんの話だ。Google信者な人は、ここらへんどう思うのであろうか。あ、熟女がどうとかいう件についてではないぞ。

追記:
あっ…違った! そうか。
「Cookieは関係ない」
んだ! Cookieは、もともとUrchinを利用しているサイトにしか受け渡されない。警告は出るわけがない! そしてgoogle-analytics.comではCookieをfeedしていない。だからサードパーティCookie警告が出なかった。

問題はJavaScriptを介してGoogle Analyticsがユーザーを弁別するIDを振っており、それで動向を把握していることなんだ! 本来のCookieではないからこそ、Googleは
http://itpro.nikkeibp.co.jp/article/NEWS/20070417/268557/
で「ファーストパーティクッキー」と呼んでいたんだなあ。

結論として、エロサイト閲覧履歴をGoogleに把握されないためには、
「*.google-analytics.comを制限付きサイトに登録する」
が必須だ。ふわふわ。

うーん。しかしこりゃけっこうヤバい話なのではないか…。誰か「アンチGoogle Analytics」キャンペーンを張ってもいい気がしてきた…ぼくは面倒なのでやらない。

あとあれね。この件は、そこらへんの弱小ベンチャーが配布してるblogパーツとは規模の違う話ね。利用者がインターネット全体に広がっているGoogleだからこそ問題になる。

多少からむ話で、blogパーツを配布しているサイトはApacheアクセスログのusertrackはやめてcombinedにしたほうがいいね…(自分に言っている)。

[ネット]   谷根千コミュニティを作ってみた

at 02:47JST
Unow?
http://www.unow.jp/

がおもしろそうだったので、発作的に地元のコミュニティを作ってみた。

西日暮里・谷根千地域を大いに盛り上げる会
http://www.unow.jp/community.php?comid=120
どんな仲間商店街が軒並み6時で閉まってもへこたれない。
そんな下町住民のための場所です。
店、街並み、事件など、なんでもトラックバックしよう。
なお、対象地域は谷中・根津・千駄木・西日暮里のほか、日暮里・田端・駒込・本郷など、どんどん拡大しつつある「自称谷根千地域」すべてとします。将来は東京全域を「谷根千」の支配下に置こう!
写真は夕焼けだんだんを不法占拠している危険な野生動物です。おそろしい…。


以下、コミュニティと関係なくUnow?について。

東芝系の駅前探検倶楽部が運営している。駅前〜は、人知れずコツコツとインターネットのサービスを運営し続けているところだが、なぜか芽が出ないという不遇なサイトだ。97年にお仕事をもらった記憶があるのだが、そのころから延々と
「コミュニティ、コミュニティ…」
と言っていた。ああ、10年も前だよ…。

iモードがブレイクしたとき、乗り換え案内サービスを最初に有料化してビジネスに結びつけようとしたのがここだった記憶がある。技術的にもけっしてレベルが低くはないのだが、なんかパッとしないんだよねえ。

で、Unow?自体は、ちょうど「トラックバックを使ったうまいblog向けツールを作りたい」と思っているぼくのアイデアと競合するので見に行ったんだけど、それなりにそつない作りに仕上がってると思う。ただ、Ajaxっぽい効果が多すぎるかもしれないね。「これくらいできる」という自己顕示かな? それくらいの生臭さは必要か…。いちおう既存競合もあるジャンルだしね。

ただ、コミュニティって結局「人」が集まらなきゃどうしようもないからねえ…。それをどうするかだよなあ。

ITmedia +D PC USER:“孤独なブロガー”をつなげるコミュニティポータル「Unow?」
http://plusd.itmedia.co.jp/pcuser/articles/0704/18/news124.html
今後1年で3万人の会員獲得および月間450万ページビューをめざす


企業サイトなのに目標が堅実すぎる…。

ああ、あとトラックバックExcerptの文章、漢字を途中でぶった切ってしまうバグは恥ずかしいので直したほうがいいと思う。

[雑記]   個人的には弟のほうが全然顔をよく見るのに…

at 00:35JST
えー、知らなかった。

神田うのと、漫才コンビ「ハマカーン」の神田伸一郎って姉弟だったんだ…。言われてみるとちょっと似ているような気がする。

今まで気づかなかったのは、好きな芸人さんのことはwikipediaとかで見ないようにしているからだが。偶然知ってしまったのでしかたない。

しかし、某所で「兄弟で片方だけ有名」の事例に挙げられていたのはふにおちねー。ぼくは毎晩ハマカーンの漫才をかけっぱなしにして寝てるくらいなのに。うのも嫌いじゃないけど、弟さんの才能はもっと評価されてほしいもんだ。

blogを発見してしまった。

ハマカーン神田のただいま勉強中
http://kandashin.blog77.fc2.com/
※コメントとかトラックバックは今はできなくなっている。
 そのほうがいいよ。のんびりできて

読んでいると、まだバイト掛け持ちの身分らしい>_<;; 世間は間違ってる。あんなおもしろいのになぜ漫才一本で食っていかせないのだ。まあ、でもなまじ売れちゃうと漫才やってくれなくなるから、ほどほどでいいのかなあ。

もう片割れのblog。

ハマカーン浜谷史
http://hamakan.blog77.fc2.com/

そういえば、2〜3月中収録とおぼしき番組で、浜谷の衣装がみんな同じネルシャツだった…_| ̄|O

ハマカーンはネタの作り込みが細かい。ネタを全部コンビ内で作っているのだとすると、おそらくどっちかか両方がかなり映画好きだと思う。ところどころ映画やドラマ的なモチーフを入れてくる傾向がある。他の人気芸人はサザエさんやドラゴンボールのようなマンガやアニメを拾ってくる傾向が強い。特定の世代の親近感を一気に掴めるから。

たとえば、

・オンバト 2007/03/24放映分
 「13デイズ」とか「クリムゾン・タイド」とか
・オンバト 2007/02/03放映分
 松田勇作「太陽にほえろ!」
 「アルマゲドン」
 「交渉人」(特に最後のシーン)
・オンバト 2006/03/05放映分
 「ターミネーター2」
・オンバト 2005/10/23放映分
 西部劇
・オンバト 2004/05/02放映分
 「あぶない刑事」

…ちっ。意外に論拠が少ない。とはいえ、フィクションをうまく消化して構成してるんだよね。職人的こだわりがあるのは間違いないなー。

とにかく、ハマカーンは(漫才だけやらせるためにギャラをあげず)もっとテレビに出すといいと思う。
さらに過去の記事
2009/04 (1)   2008/12 (3)   2008/11 (9)   2008/10 (10)   2008/09 (20)   2008/08 (2)   2008/07 (23)   2008/06 (16)   2008/05 (22)   2008/04 (11)   2008/03 (21)   2008/02 (20)   2008/01 (21)   2007/12 (32)   2007/11 (37)   2007/10 (46)   2007/09 (63)   2007/08 (33)   2007/07 (41)   2007/06 (81)   2007/05 (173)   2007/04 (168)   2007/03 (113)   2007/02 (123)   2007/01 (92)   2006/12 (111)   2006/11 (185)   2006/10 (20)  

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。


×

この広告は1年以上新しい記事の投稿がないブログに表示されております。