« 2010年8月 | Main | 2010年10月 »

メールアドレスのドメインのチェックはMXレコードだけじゃなくAレコードも見ないとダメ。

ずいぶん前に、聞かれたことがあったので。

とあるWebサービスのとある利用希望者が、「俺のメールアドレスは taro@hogehoge.example.com なんだが、ユーザー登録しようとすると、メールアドレスが間違ってるぞと言われる、なんでや!」というクレームをつけてきたんだそうな。

調べてみると、hogehoge.example.com でDNSのMXレコードが確かに引けない。んで、会員登録画面のアプリはメールアドレスの正否を確認するためにMXレコードの有無判定を実装しているんだと。 「これってこのユーザーがバカ自分のメルアドを覚え間違ってるんですよね!」とか言うもんで、これはと思って調べたら、案の定、hogehoge.example.comはMXでは引けなくてもAレコードは設定されてた。 「そのユーザーは悪くない。Aレコードも引くように実装しなかったお前が悪い」と伝えた。

例えば、PHPのPEARのValidateパッケージにもメールアドレスの正否確認用のメソッドがあるのだが、そこではドメイン部分についてはMXレコードとAレコードのどちらかの存在チェックをもってよしとしている。 [svn] Contents of /pear/packages/Validate/trunk/Validate.php583行目あたり。 perlのcpanのEmail::ValidMail::CheckUserとかでも同じ。

巷の解説書やらなんやらには、メールアドレスのドメインに対してはMXレコードというものを設定してどうの、、、と書かれているだけのものが大半なので、そう覚えてしまっている人もいるらしい。

確かに一般的なメールアドレスはそのドメインとそのMTAとなるマシン(群)とがMXレコードによってひもづけられている。しかし、MTAとして稼動しているマシンのFQDNそのものをメールアドレスのドメイン部分に使っているメールアドレスは多くもないけど珍しくもない。大昔のインターネットではそっちのほうが多かったし、今でも自宅サーバとかではAレコードの設定だけでやってるケースはありうる。

see also:

2010年9月 1日 | Permalink | Comments [0] | Trackbacks [0]

librahack事件:やはり何にもわかってなかった岡崎市立中央図書館

本質を見ることを知らず問題解決能力がゼロの小役人として大変模範的な文章だと思います。 ちなみにrobots.txtがこんなふうに書いてある(←追記:robots.txtが書き換えられた。が、突っ込みどころ満載ww)のでGoogleやYahooではこの文章はひっかからないようになっている。

岡崎市立中央図書館のホームページへの大量アクセスによる障害について

平成22年3月から4月にかけて、新着図書データベースへの大量アクセスがあり、中央図書館のホームページ(蔵書の詳細情報)につながらない、又はつながりにくい事態が、何度も発生していました。市民の方からその旨のお問い合わせをいただくことも何度かありました。

図書館が導入しているコンピュータシステムのソフトウエアを開発した会社に連絡し、調査したところ、本を検索したり予約したりする一般利用とは異なり、短時間に大量のアクセスが行われていることがわかりました。これによって、それまでは問題なく閲覧できていた図書館のホームページが閲覧できない現象がたびたび発生していたということですが、誰が何のために行っているのか不明なため、図書館も対応に苦慮していました。

しかし、このような状態を放置しておくことは、より多くの方にご迷惑をかけることになるので、警察に、このような事例が他にも存在するのか、犯罪性はあるのか、また相談窓口はないか、といったことについて相談し、最終的には被害届を提出しました。

その後の捜査により、大量アクセスを行った人物が逮捕され、報道によりますと、起訴猶予処分となっているとのことです。

このコンピュータシステムは平成17年に導入しましたが、その時点で自動プログラムを用いて短時間に大量の図書データ情報を入手できるような事態は、想定していませんでした。今回の事例により、そのような情報入手の方法があることを認識し、本年7月、大量アクセスに対応できるよう、コンピュータシステムの改善を行ったところです。

ホームページは誰にでも開かれています。もちろん事前の申請の必要もありませんが、利用者の方におかれましては、情報収集のために使われる手段が、他の利用者に迷惑をかけていないかどうかについて、ご配慮をお願いいたします。

 なお、平成23年1月初旬には、サーバーの入替を主とするシステムの更新を行います。これにより、図書館業務の機能強化を行うとともに、今回のような、大量アクセスへの対応はもちろんのこと、市民の皆さんの使い易さの向上を図ってまいります。

平成22年9月1日

岡崎市立中央図書館

まず第一に、おかしな理由で逮捕されて20日間拘束された、自分の図書館の利用者に対する気づかいがまったく見あたらない。「報道によりますと起訴猶予処分に」とか言うんなら、「報道によりますとMDIS(三菱電機インフォメーションシステムズ)が作ったシステム側に不具合がありまして」も一緒に書けよそこの保身ハゲ。

そればかりか、クッキーを食わないブラウザでシリアルに繰り返しアクセスするだけで死ぬような超ウルトラ低品質なWebアプリをMDISから売りつけられていたという現実をまるで理解できてない。

平成17年(2005年)にはこんな使い方は想定してなかった?!?! おいおいおいおいおい、ここ4,5年、アプリの修正の必要性をMDISに知らされてなかった件はどうなったの?

そもそも2000年あたりから検索エンジンのロボット(もちろんクッキーは食わない)はウヨウヨあったよすでに。今でも同じ。 えっ?robots.txtでどうにかなると思ってた?MDISの中の人はよくそんなこっぱずかしい言い訳できたもんだな。警察にログ出すついでに始末書と辞表もだしとけよ。

何度でも言うけど、ITの素人に最初から理解しろというのには無理のある事案ではあるものの、ことここに至っては、全ての関係者は何が起きたのかを客観的に正確に把握する義務が必ずある。

MDISに首輪つけてもらって末永く禄をクソを食んでください。

see also

2010年9月 1日 | Permalink | Comments [1] | Trackbacks [0]

求む!PC向けとスマートフォン向けを同じHTMLでうまいこと出しわけるCSSの基本思想

手札にあるデザイナがほぼ全員Media Queriesってナンデスカ?状態でしかなくてもう困っておりましていやはやまったく。

ガラケー?もう無視の方向で。

追記: 誰も教えてくれないので自分で考えてみた → いまのWebサイトを低予算でスマートフォンに対応させるための5つのTIPS (2010/11)

2010年9月 2日 | Permalink | Comments [0] | Trackbacks [0]

adsense広告がIEで表示できなくなってる

なんぞこれ。9/11午前現在。

自分のところだけじゃなく他のブログ等でも似たような症状がでているので、Google側のjsの問題と思われる。 Firefoxでばかり見てる人は気づかないのでご注意ください。

2010年9月11日 | Permalink | Comments [0] | Trackbacks [0]

それ、S2JDBCの流れるインターフェース。

以下、PQ - naoyaのはてなダイアリー (September 12, 2010)より。 
$pq = new PQ();
$pq->dsn('mysqli://nobody:nobody@localhost/sample?charset=utf8');

echo $pq->query('users')
    ->where( array('age'  => array('>' => 20)) )
    ->where( array('mail' => array('-like' => '%@example.com')) )
    ->fields("mail, name")
    ->order("updated desc")
    ->offset(0)
    ->limit(10)
    ->exec()
    ->map(function ($o) { return $o[0]; })
    ->map(function ($v) { return strtoupper($v); })
    ->join("\n") . "\n";

それ、S2JDBCの流れるインターフェース

2010年9月12日 | Permalink | Comments [0] | Trackbacks [0]

岡田斗司夫のお悩み相談が神回答すぎる

某所で話題になっていた話。

先週の土曜、朝日新聞「悩みのるつぼ」で回答を担当した。編集部から依頼された質問、今回はコレ。なかなかの難問だ。

************質問***************
十代の女子高生です。以前から相談したいことがあるので投稿しました。
父のことです。父の休日は食べる、寝る、テレビの繰り返し。無趣味なので他のことは何ひとつやりません。強いて言うなら、買い物に行って無駄金を使うくらい。何もしないくせに食欲は人一倍あるので困ります。
仕事は「忙しい」と言う時期もありますが、自営業で一日中テレビがついているようなところなのでちゃんと仕事しているのか不審です。また、最近は「疲れた」と言っているのにも関わらず、夜遅くまでずってケータイをいじっており、五十歳にしてケータイ依存症で、酒を飲みに起きたりと意味がわかりません。
物心ついたときからこんな父が嫌いでした。母には「お父さんみたいにならないように」と言われ育てられてきました。幼い頃真冬の二月の公園の噴水で私が遊びたいという理由で父が遊ばせ、肺炎になり入院したことがあります。父と遊んだ思い出やしつけをしてもらった記憶はありません。父に育てられたという思いはありませんし、感謝の気持ちはこれっぽっちもありません。
だから、父の老後の面倒は見ないと決めました。野垂れ死ねばいいんです。友達はお父さんと一緒に買い物をしたり映画を見たりしているので、とても羨ましく思います。父を好きに・・なろうとしても、父のいいところなんてひとつもないし、考えるほど悪いところがあがってしまいます。
子供のことに無関心で全てにおいて母に任せっきりで、学校のテストや成績、最近は通知表も父には見せていません。イジメられてる子はいないかなどと聞いて、おもしろがったり、今はロクな先生がいないと言ったりしています。
母は父との結婚は失敗と言っており、私は離婚してほしい限りなのですが、やはり経済的なことを考えると離婚という選択は無理です。
父がいる休日はイライラしてしまい、死んでほしいとか殺したいという気持ちが強くなっていくばかりで、いっそのこと虐待でもされれば訴えられるのにと思うようになりました。楽しいはずの休日はストレスがたまって辛くて泣くようになりました。
私はどうすれば良いのでしょうか。思春期という理由で片付けないでほしいです。
*************質問終わり************


*************回答***************
「お父さんみたいにならないで」
母はいつも言う。不思議です。あなたは女、父にはなれません。なるとすれば母親でしょう。
「お母さんのようになっちゃダメよ」 こう言うべきです。
なぜ母は「私のような母親になるな」と言えないのか?ここがポイントです。
「私のような母親」とはどんな母親でしょう。答は簡単ですね。
自分に無関心・無頓着な夫と結婚し、離婚もできず、思いつく限りの愚痴を幼い頃から言い聞かせ、やがて娘が「父など死ねばいい」と思いこみ休日に泣いて過ごすように仕向ける母。
それが「私のような母」です。
本当に最悪の父なら、なぜ母は離婚しないのか?これも簡単、ちゃんとストレスのはけ口があるからです。自分の言い分を全部信じる娘に毎日悪口を言ってストレス発散してる。だから母は耐えられる。つまりあなたの犠牲の上に、母は暮らしている。
あなたの父親像は、母の愚痴でできている。寒い中、娘にせがまれて公園まで連れて行く父。はしゃいで寒いのも忘れ夢中であなたは噴水で遊んだ。でも風邪を引いたあなたに母は「父が悪い」と吹き込みます。繰り返される呪いの言葉が楽しい思い出を消してしまったのです。
人間は弱い。誰かの愚痴や文句を言わないと生きていけない。
母の不幸は、家に閉じこめられて、視野が狭いことです。趣味が「父のダメ出し→娘に吐き出し」だけ。こんなの誰の得にもなりません。
ではどうするか?あなたがこのマイナス連鎖を切りましょう。
誘ってあげて、お母さんの興味を外に向けさせる。これができれば、情況はかなり改善されるはずです。お母さんと一緒に映画やショッピングや旅行をする。そのために、あなたがバイトをするのもアリ。お母さんにもパートに出ることをどんどん勧めましょう。
パートをすれば、お母さんの世界も広がるし、お金も、できることも増えます。本当に最悪な父なら、あなたと母が一緒に働いたら独立も可能でしょう。
難しすぎますか?じゃああなただけでも逃げてください。たった三人家族で二人が一人の悪口を言い合ってる家は地獄ですよ。高校生ならもう働けます。
逃げなさい。さもなければ、母を助けなさい。
*************回答終わり************


毎回、このコーナーには悩まされる。でも今回の質問、かなり悩んだよ。
なんだか言いたいことや聞きたいことが浮かんでは消えて、言葉になりにくかったからだ。
(以下略)

この続き(っていうか元ページ)は 【社長日記】メイキング・オブ「悩みのるつぼ」 - オタキングex公式サイト 2010年5月16日へ。字数制限の中でどうここまでまとめあげたのかという話も非常に興味深い。

2010年9月15日 | Permalink | Comments [0] | Trackbacks [0]

apacheのBufferedLogsとかmod_syslogとかの話

Webサーバのアクセスログというものはその管理(肥大化対策)も大事なんだが性能影響も無視できない。つまりログを出力するのにリソース食っちゃって、Webアプリのプレゼン層としてのコンテンツ送出という役割にまわすべきパワーが削られるわけで、なんだか本末転倒。

いっそログなんて取らない、httpd.conf上のCustomLogって書いてある行全部削っちゃえ!というのもアリはアリで、実際性能も少し上がるはずだしログ管理の手間も省けるのでいいことだらけなんですが、そうはいかないのが大人の事情なのですね。

apacheのログだけでなくサーバ上ではsyslogが動いて各種ログもそれに吐かれているので、apacheのログもsyslogに任せてしまうのも悪くない。 そんなことを思っていたら 「DSAS開発者の部屋:Apacheのアクセスログをsyslog経由で出力するためのモジュールを作りました (2009/10)」 という記事を発見した。 apacheはErrorLogについてはsyslogへの出力に対応しているが、通常のログ(CustomLog)はsyslogに直接出す機能が無い。これについてはもう長年、中途半端だなあと思っていた。似たようなことを感じてる人がおりましたと。

syslogをsyslog-ngに乗り換えると何かと便利よという話」とこのmod_syslogを組み合わせたら、ログ管理の柔軟性もあがって性能もあがって、何かとうれしいんじゃなかろうか。

そうこうしている間に、「ftp-adminの憂鬱: BufferedLogsは効果絶大(2010/9)」という話が最近でてきた。 「マニュアルにはBufferedLogsディレクティブによってディスクアクセスが効率的になると書かれていますが、これが効いてくるのはむしろパイプ経由のログ出力です。

ほほう。そういえば「ApacheのBufferedLogsを触ってみる | データセンターの専用サーバ データセンターダイレクト ブログ(2007/8)」によると「誤差程度にしか速くならなくて残念」という話があったんですが、「むしろパイプ経由のログ出力してる場合なのだ」と。
たしかに
CustomLog "|bin/rotatelogs -f -l /var/foo/bar.log"
という設定はよく見かけるし筆者もやってる。これにBufferedLogs Onを加えると結構キクらしい。早速やってみようっと。長年Experimental(実験的)のままほったらかされていた設定項目だが、ま、だいじょぶなんじゃじゃねーの。

see also:

2010年9月19日 | Permalink | Comments [0] | Trackbacks [0]

iPhoneからのmixiの新規登録ができるようになっているらしい件にからんでの雑談

ついこないだ(2010/8)、筆者はスマートフォン時代の電話番号確認の実装という記事で、次のように書いた。

とにかく、Webを知らぬ携帯キャリア各社によるこういう行き当たりばったりなマーケティング戦略とシステム戦略との不整合のおかげで、そろそろ、「オレ、ドコモのエクスペリアなんだけど」「アタシiphoneなんだけど」という方々からの「どうしてmixiとかに新規登録できないの!!」みたいな苦情が無視できないくらいの数になっているはずなんですね。もちろんmixiってのはあくまでも例で、要するに複アカ荒らしクン対策が必要なWebサイト全般に同じことが言える。

やはりというかとうとうというか、mixiではスマートフォン持ちの新規ユーザー希望者からの苦情が無視できる限界値を超えたのだろうか。

2010年6月時点でのmixiの説明は以下。(mixiのヘルプ画面の文章が引用されている)

mixi アカウント 携帯認証について。 - Yahoo!知恵袋 2010/6

以下 ミクシー ヘルプより転記。


Q. iPhoneで新規登録できますか?
1. PCのメールアドレスで招待状を受け取った場合

PCのメールアドレスで招待状を受け取った場合、mixi への登録を行うにはケータイ登録をおこなう必要があるため、別途 mixiモバイル対応の携帯端末が必要となります。 現状、iPhone は mixiモバイルの対応機種外となり、認証操作をおこなっていただくことができず、新規ご登録いただくこともできませんのでご了承ください。 mixiモバイルでご利用可能な機種につきましては、 こちら をご参照ください。


2.iPhone のメールアドレスで招待状を受け取った場合
iPhone のメールアドレスで招待状を受け取った場合、パソコン用の招待状が発行されることとなります。 iPhone のブラウザで、招待状のメール内のURLにアクセスしていただければ、そちらから新規ご登録操作が可能です。

ただし、mixi への登録を行うにはケータイ登録をおこなう必要があるため、別途 mixiモバイル対応の携帯端末が必要となります。


3.招待状なしに登録する場合

mixi のトップページ(http://mixi.jp/)から「新規登録」をクリックすると、登録に使用するメールアドレスの入力画面が表示されます。その画面でご自分のメールアドレスを入力していただければ、mixi運営事務局より「登録のご案内」メールが届きます。「登録のご案内」に記載されたURLにアクセスし、必要事項を入力してご登録ください。

ただし、mixi への登録を行うにはケータイ登録をおこなう必要があるため、別途 mixiモバイル対応の携帯端末が必要となります。
現状、iPhone 単体での新規登録はできませんので、恐れ入りますがご了承ください。

そして2010年9月23日現在の、mixiの同じヘルプ画面での文章がこちら。

Q. iPhoneで新規登録できますか?
1.PCもしくは「@softbank.ne.jp」メールアドレスで招待状を受け取った場合

PCもしくは「@softbank.ne.jp」メールアドレスで招待状を受け取った場合、mixi への登録を行うにはケータイ登録を行う必要があるため、別途 mixiモバイル対応の携帯端末が必要となります。
現状、iPhone は mixiモバイルの対応機種外となり、認証操作をおこなっていただくことができず、新規ご登録いただくこともできませんのでご了承ください。
お手数ですが、「@i.softbank.jp」のメールアドレスに招待状を送り直していただくか、招待状なしでのご登録をお願いいたします。

mixiモバイルでご利用可能な機種につきましては、 こちら をご参照ください。

2.「@i.softbank.jp」のメールアドレスで招待状を受け取った場合

「@i.softbank.jp」のメールアドレスで招待状を受け取った場合、iPhoneのブラウザもしくはPCから登録を行うことができます。招待状のURLにアクセスしてご登録ください。

3.招待状なしに登録する場合
「@i.softbank.jp」のアドレスをお持ちであれば、新規登録を行うことができます。
ご利用のiPhoneのブラウザかPCより、mixi のトップページ(http://mixi.jp/)へアクセスし「新規登録」をクリックすると、登録に使用するメールアドレスの入力画面が表示されます。その画面でご自分のメールアドレスを入力していただければ、mixi運営事務局より「登録のご案内」メールが届きます。「登録のご案内」に記載された URLにアクセスし、必要事項を入力してご登録ください。

苦情の数に負けてというべきなのか?個体識別番号が取得できないという壁を越えるなんらかの技術的手段を確立できたから、というべきなのか?はたまた「事業者は、会員及び非会員投稿者(非会員による投稿が可能なサイトの場合)に対し、携帯端末を特定する個体識別番号等を取得しなければならない。」というEMAの規定をガン無視する作戦に出たのかっていや健全サイトを運営する上場企業様がそんなことするわけがない。

ところで、mixiは2010/9/10にmixi meetup2010という記者発表イベントを東京プリンスのイベントホールほぼ全部貸しきってやってたんだが、その席上で社長さんが「世界初、PC、携帯、スマートフォンの3デバイス対応のプラットフォームができる」とか言ってた。おいおい、PCとスマートフォンはともかく、ケータイってそれ日本国内だけのガラパゴスケータイだけの話でしょ?それで世界初って言われてもねえ、と現場で失笑していたエンジニアは俺だけではあるまい。

とにかく、あんなバブリーなイベントでそれっぽくぶちあげる以上はiPhoneじゃmixiに新規登録できませんなんていう状態はなんとしても解消しなきゃならなくなったという大人の事情は察してあげるべきでしょう。

しかしいったい、今回のmixiは個体識別番号の取得、どうやってるんだろう?まさかとは思うけどUDID使ってるのか? UDIDが偽装可能なことは例えばソフトバンクの電波チェッカー事件における高木氏のこの発言でも明らかになっていることである。 iPhone装備の諸君による前線からの報告を待ちたいところであります。

話は変わるけど、この8月に greeがiPhone向けの機能をベータリリースしたときには、まだ新規ユーザー登録機能はなく、正式版になったらできるようになるよ、という話しだった。しかしgreeのこれもmixiと同じ問題を抱えているはずだ。どうすんだろう。

もしも仮に、仮にだよ、仮にだからね。mixiのiPhone向けの新規ユーザー登録機能がiPhoneのUDID使ってのことだとすれば、偽装して複アカ取り放題だイヤッホォォウ! @i.softbank.jpのメルアドの存在確認だけでやってるんだとすればメルアドせこせこ変えて複アカ取り放題だイヤッホォォウ! ってことになるかもしれないね。 いずれにせよオンラインゲームのRMT事業者よろしくアカウントの売買市場が再生しちゃうかもしれないね、かもしれないね、かもしれないね。大事なことだから各3回言ってみた。

ところでドコモのxperiaとかは相変わらず置き去りですかそうですか(笑) こんな泥縄なやり方続けてどうすんのよ。

see also:

追記

iPhoneのsafariブラウザからじゃUDID取得できないでしょとか言ってる方につきましては、 safariとかIEとかfirefoxといったいわゆるWebブラウザから使うのがWebだという固定観念を抱えての今後のご活躍をお祈り申し上げます。

追記

iPhone装備の方の前線報告を見つけた。というのは、 iPhoneでmixiにユーザー登録するときの様子のスクリーンショットを見かけたんだが、iPhoneアプリを使ってる感じが見受けられない。ただのSafariブラウザ画面だけのようだ。 mixiの説明によると、mixi Touchと称するiphone向けにカスタムしたWeb画面(アプリではない)らしい。 ということは、UDIDすら取得せず、本当に @i.softbank.jpメルアドの存在確認だけでやってるのか? @i.softbank.jpメルアドは確か1日3回まで変更できる仕様だった気がするので、ちまちまとメルアド変えながら複アカ取って、キャバ嬢やらキチガイやらマルチ商法やらにアカウント売ろうとする奴いると思うんだけどなあ。

で、EMAが規定するところの個体識別番号の取得は、ガン無視ですか?まあ取れないものはどうしようもないですよね(笑)。っていうか個体識別番号ってなんなんだろうね。EMAってなんなんだろうね。ほんと。

2010年9月23日 | Permalink | Comments [0] | Trackbacks [0]

論ずるに値しない -岡崎市立図書館のシステムを作ったMDISがコピペしすぎで個人情報漏れの件-

巨人ファンなわけじゃないけどさ。 論ずるに値しないよ、ここまでくると。

岡崎市立中央図書館:利用者情報163人流出 - 毎日jp(毎日新聞)

ソフトを開発した三菱電機インフォメーションシステムズ(東京)によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国37の公立図書館に販売してしまったという。

朝日新聞の報道も参照→asahi.com(朝日新聞社):本を返さない人のリスト、全国に流出 愛知の図書館から - 社会

相変わらずMDISや図書館はボカすはウソばっかつくわですが、実際のところの詳報は「三菱電機インフォメーションシステムズ(MDIS)は自治体システムをどこまで複製したか?: 日々是・・・」などもどうぞ。

see also:

2010年9月29日 | Permalink | Comments [0] | Trackbacks [0]