Ask @tokumaru:

セキュリティソフトが、アプリを削除することがあります。 以前、罪のないアプリを勝手に削除したということで問題になってましたが、セキュリティソフトは何を基準に判断しているのでしょうか?削除されるということは、基本的には、アプリ側に問題があるのでしょうか?それとも、セキュリティソフトは、ちょっと怪しい雰囲気を醸し出しているアプリ(たとえば、モジュール名がいかにも怪しい名前だとか)は、とりあえず削除してしまうのでしょうか?

少なくともアプリが悪いということはありません。セキュリティソフトは独自の判断基準でウイルスと判定するわけですが、たまたまその判断基準で「罪のないアプリ」がひっかかったというだけで、引っかかることが悪いということではありません。

View more

忘れっぽいのではなく、気分が落ち込まないようにあえて考えることを避けているだけでは?

そうかもしれません。過去は変えられませんから、考えても仕方ないと思っています。無意識下で考えることを避けていて、結果として思い出さないのであれば、それは忘れたことと大差無いようにも思えます

View more

今日、小学生の女の子に「ネットの情報って、そのまま信じてもいいんかなぁ?」と相談されました。とっさに、今はどれがいい情報かわからないだろうから、見ておくだけにして、わかるようになってから活用すればいいよと答えましたが、何かもっといい答え方があったのではと考えております。子どもにネットの使い方を聞かれた場合は、どのような方向に持っていくのが良いと思われますか?また、注意しておいたほうがいいことなどありましたら、お聞かせ願いたいです。

これは本当に難しい問題で、こうすればよいという解は持ちあわせません。お子さんの性格によっても、接し方が変わるかもしれません。私は息子には時々わざと明らかに嘘と分かる話を(ニヤニヤしながら)して、息子が「(疑い深そうに)本当?」と聞いたら、「うそだよーん」と答えています。そして、「ネットの情報にも今みたいなのが多いから」と言っています。その効果か分かりませんが、時々「ネットにこんな馬鹿な書き込みがあった」と嬉しそうに話してくれることがあります。まずは、ネットの書き込みが、特に「偉い人」が書いているわけではなく、普通の人たちが書いていて、中にはウケ狙いや、誤解・偏見により書いてあるものもある…ということがわかればよいのではないでしょうか。その先の真贋の見分け方というのは非常に難しい話ですが、根拠が明確か、論理的に筋が通っているか、などの話ですから、それなりにトレーニングが必要です。そういう意味では、小学生相手ということであれば、今の接し方でも特に問題はないかと思います。

View more

現在、WEBシステムを構築しているのですが、ログイン担当がめんどくさがって、IDとパスワードを平文で保存しようとしています。その上司もあほなので、そのまま行くと言っています。経営層(IT人ではないです)に働きかけて、どうにかしたいと考えておりますが、何かアドバイスなどいただけるとありがたいです。

そういう方針もありかと思いますが、その場合、ウェブサイトのプライバシーポリシーに「パスワードはデータベース内で平文保存しております」と明記すればよいのではないかと思います。

View more

母国語は自身の思考形成に影響すると思いますか

母国語で思考をする以上は、母国語が思考形成に影響すると思いますが、母国語=日本語の特性よりも、母国語を十分につかいこなせるか否かの影響の方が大きいように思います。

View more

他の言語利用者の芽を来にしているのか、PHPをメインに使ってるのにPHPをバカにしている人たちがいますよね。Mなんでしょうか?徳丸さんは胸を張ってPHPが好きと言えますか?

徳丸はPHPが好きか? ですが、元はそんなこと意識してなかったんです。日本のPHPコミッターの一人にコイズミモリヨシ( @moriyoshit )という男がいますが、たまたま彼と昼食が一緒になる機会があって、その席で彼からぼそっと言われたんです。『徳丸さん、PHP好きでしょ』…あぁ、それまでPHPが好きかどうかなんて、考えたこともなかったのです。自分はPHPが好きか? 考えているうちに、あっ、自分はPHPが好きなのかも…と思い始めました。おそらくモリヨシが私に呪いをかけたんだと思いますね(笑い)
同業者からは、徳丸はなぜあんなにPHPを追いかけ回すんだろと思われていると思います。「徳丸さんはPHPを安全に使う方法を示した罪深い方」と書かれたこともあります(揶揄なのか、批判なのか、まさか褒めているのか、なんなのかよくわかりませんがw)。
かつては、PHP界隈の一人から、面と向かって「徳丸さん、そんなにPHPをいじめないでくださいよ」と言われたことがある私ですが、今ではPHPカンファレンスでは毎年しゃべっていますし、毎年多くの方が聞きに来てくださいます。かつては「PHPをいじめている」と思われていた私をPHPerの方々は受け入れてくれていると感じています。
PHPには多くの欠点があります。そこに目を向ければ、PHPをけなしたくなる気持ちが出るだろうことはよく理解できます。それにも関わらず、多くの方々に使われ、そして大規模な著名Webアプリケーションの多くがPHPで記述されています。なぜだかよく分かりませんが、そういうPHPに惹かれる自分がいます。
ご質問の『徳丸さんは胸を張ってPHPが好きと言えますか?』については…どうでしょうか? 胸を張って「好き」というようなものでもないような気がします。ちょっと恥ずかしいけど、なぜだかよくわからないけど、PHPは好きです。
ご期待に沿う答えではないかもしれませんが、上記が正直な気持ちです。

View more

「サイト毎に異なるパスワードを設定すればいい」という話ですが、サイトごとに異なるID(メールアドレス)を使用するのはどうでしょうか?

単純なパスワードリスト攻撃であれば、サイト毎に異なるIDを設定すれば防御できます。しかし、サイト毎に秘密のIDを設定するのも煩雑であり、ルールによりIDを生成するとそのルールを見破られるリスクがあるので、パスワード側をサイト毎に変えるのが無難かと思います。

View more

すいませんPHPカンファレンスに徳丸さんがいらっしゃるということでサインを貰いに行きたいと思いますが、コミュ障なので話しかけられないかも知れません。どんなタイミングの時に話しかけたらよいでしょうか?

登壇中でなければいつでもいいですよ。セッションの後がベストかと

View more

shellshock問題が完全に解決するまでに最低限しておくべき対策はあるでしょうか。(パッチが不十分という話をききました。現状のパッチを適用した前提ではどのような対策をすればよいでしょうか。)

前提条件がついてないと広範囲のケースを想定しなければならないので、ask.fmではお答えできないですね

View more

気分が落ち込んだ時はどうしてますか?

何もしません。落ち込んでいる自分を静かに受け入れます。落ち込んでいる自分を責めたり、あせったりするのは得策でないと思います。そうして一晩寝ればたいてい立ち直ります。

View more

$_SERVER['SERVER_NAME']をブラウザに出力する場合にもhtmlspecialcharsに通すべきでしょうか?

通すべきです。型変換という立場からは通すべきだということと、仮にエスケープすべき文字が来ないことがわかっていても、それを一々確認することが煩わしく、バグや脆弱性の元です。一律に通すと決めたほうがシンプルで、バグや脆弱性も混入しにくくなります。

View more

$_SERVER['SCRIPT_NAME']をブラウザに出力する場合にもhtmlspecialcharsに通すべきでしょうか?

通すべきです。第1に、htmlspecialcharsはセキュリティ目的ではなく、単純なテキスト(text/plain)からHTML(text/html)に「型変換」する関数ととらえるとよいと思います。$_SERVER['SCRIPT_NAME']の値はテキストなので、HTMLに流し込むにはhtmlspecialcharsにより型変換が必要です。第2に現実問題として、ファイル名には「<」や「>」が使えますから、エスケープの必要な文字が絶対にスクリプト名に来ないとは限りません。これらの理由から、常に$_SERVER['SCRIPT_NAME']の値(を含め単純な文字列)をHTMLに流し込む場合は、htmlspecialcharsを通すべきです。

View more

ローカル環境のapacheでport 80は使わないほうがいいのでしょうか?検索して見つけた導入記事を見ると8080に変更しろなどとあるのでローカルでport 80を使うとなにか危険なことがありますか? Listenで127.0.0.1:80を指定するだけじゃだめでしょうか?

port 80は既に他のソフトが使っている可能性がある、あるいは他のソフトが将来port 80を使う可能性があるので、他のポートにしておけ、くらいの意味だろうと推測します。80が絶対ダメということはありません

View more

ログイン画面の次画面への遷移のときに存在するオープンリダイレクタと、GET一発で簡単にリダイレクトしてしまうふつうおオープンリダイレクタ、それぞれの脅威の差などについて何かご意見ありますか?

脅威の差はあると思いますが、それを説明するには余白が狭すぎます

View more

Next