• テキストリンク色の変更で、70億円（！）を稼ぎだすことに成功したマイクロソフト - Feel Like A Fallinstar
• 「Bing」の検索リンクが青い理由--マイクロソフトが配色決定の裏側を説明 - インターネット - ZDNet Japan

ほほうと思って見比べてみたのですが、

そんな、大金かけて調べるほどの結論だったんだろうか。（笑）

訂正：bingで採用された色は0033ccじゃなくて0044ccでした。

「なりすまし」で口座を開設できる銀行 - 風見鶏の目 (2010/2/14)

セブン銀行：
同姓同名の人がメールアドレスを間違って入力した可能性がある。このような事例は過去にも何件かあった。
私：
ドメイン名を間違えてなければ「@gmail.com」の仕組み上、そのようなことはないと思うが、そうだとしても貴行はフリーメールでも口座開設が可能なのか。「@gmail.com」はだれでも無料でとれるメールアドレスである。

ドメイン名を間違えてなければ仕組み上そのようなことはないだの、フリーメールがダメだの、まるで意味不明を言う勘違いクレーマー。 「gmailに詳しいオレ様にそんな言い訳は通用せんぞ」と。しかし「じゃあgmailじゃなかったらどうなるか？」って考える脳力はまるでないようである。

さて、筆者の知り合いににスズキイチロー君っていうのがいる（マジ）んだが、 彼のメールアドレスが suzukii@example.com だとしよう。 彼が、セブン銀行の新規口座開設のWeb上での申し込み画面で住所氏名とメールアドレスを入力したとする。

うえの画像をよく見て欲しい。 メールアドレスを間違って入力してしまっているよね（suzukiiがsuzukkiになってる）。 この程度の間違いは誰でもやらかすだろう。

そして、セブン銀行のこの画面はこのあと、申込書の請求完了画面まで普通に遷移できてしまう。あとは、セブン銀行の画面上の絵のとおりだ。

「お客様情報が印字済み（たぶん住所氏名が印字済み）」の申込書が郵送で届くのがポイント。 仮に成りすましを謀るとすると、郵送で届いた申込書をその人の自宅のポストから奪う必要がある。（奪われたんですか？＞元記事の人。やりとりからするとそうは見えませんが。） もちろんこの「ポストからの書類窃盗作戦」を防ぐために最近では書留やら配達記録郵便やらが使われるのが主流である。

私設私書箱と、そこを住所とした本人確認書類の偽造とを組み合わせればセブン銀行の口座を作れてしまうとか言っておりますが、それ言い出したらセブン銀行だけではなくてネット／リアル問わずほぼ全ての銀行で同じことが言えてしまう。

なお、セブン銀行の申込画面のメールアドレスの入力のさせかたが、現代のWebシステム設計からするとかなり遅れているという欠点はあるにはある。

• メールアドレスが正しいか確認する方法 (2004/8)
• Webアプリでメールアドレスを確認する「正しい」方法　(2007/12)

まとめるよ。このケースは、セブン銀行の口座開設申し込み画面はメールアドレスの入力間違いにやや弱いね、というだけであって他人に成りすましての銀行口座の不正取得という犯罪とはまったく関係が無い。

1. スズキイチローさんがセブン銀行の口座開設の画面を使って申込書を取り寄せた。 そのときに画面上でメールアドレスを入力し間違えた。suzukii@example.comのはずのところをsuzukki@example.comと入力した。でも住所氏名は間違えなかったから、後日、口座開設申込書がちゃんと郵送されてきた。
2. しかもその入力し間違えたsuzukki@example.comというアドレスは実在していて、よりによって、googleサービスに詳しいことを自負してブログも書いちゃう思い込みの激しい勘違いしがちなライターさんだった。
3. 所定の手続きを経てスズキイチローさんは口座を開設した。そんでセブン銀行のネットバンキング機能にアクセスしていろいろ確認したり、イトーヨーカドーでお得するためにポイントサービスの登録をしたりした。この段階でもまだメールアドレスの間違いには気づかなかった。
4. 一番最初の段階で間違って書いてしまっていたメールアドレスの本来の持ち主（同姓同名のスズキイチローさんかあるいはスズキイチバンさんかはどうでもいい）のＰＣ画面上に、次のようなメールが届いて本人は「？？？」と思った。

   「なりすまし」で口座を開設できる銀行 - 風見鶏の目 (2010/2/14)

   今日の昼間、Gmail宛に下記のようなメールが届いていた。右側はメールの送信時間である。
   ・リモートバンキングが利用できるようになりました (12:07)
   ・ポイントサービスの登録を受付けました (12:18)
   ・通知メールの受信設定を変更しました (12:52)
   ・お取引明細表郵送サービスを変更しました (12:53)
   

というわけで、Googleのサービスにとっても詳しいこちらのライターさんはとっととこの記事をどうにかしないと実はとっても恥ずかしいと思います。

別に力説するほどのことじゃないんだけどさ、でもね、やっぱりこういうのは定期的に取り上げたほうがいいと思うんだ。

• メールアドレスが漏洩してると決めつける迷惑な人々 (2006/7)
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々 (2008/9)
• 楽天はニセ脆弱性を放置しないで欲しい (2010/3)
• 誰も見てないんだろうかほんと。（myRakutenの件） (2010/3)

正直あんましこの件にコメントしたいと思わない。情報不足過ぎるから。 結論言うと上の増田を書いた人に同意で、BEWという人は、「全楽天ユーザーが今すぐ」とかそこまで言いたいんなら、問題の現象がプロキシサーバを通すような環境で起きたコトなのかそうでないのかYes?No?くらい言及すべき。質問の意味がわからないならわかるようになってからまた来てね以上終了。

ほんとに結論は以上終了なんだけどさ、でも、なんだかちょっとヘンな風にガックシ来たことがあるからこれを書いてるんだ。下を見てほしい。

こんなにわかりやすい食い違い、ここまで来て、なんで、まだ誰もツッコんでないの？ もう最初の記事が出てから2ヶ月近くたってる。いままでツイッターだのブクマだのでうだうだ言ってるやつらはなに見てたの？ （誰かツッコみ済みだったらすまん、ツイートやブクマのコメント群やその他もろもろをチョロチョロと「会員」とか「ゴールド」みたいな単語でCTRL+Fしただけなんだ）

もしかして、見もしないで騒いでるの？それはガキのやることだぜ。 騒ぎたいだけのやつが相手にされなくて当然。

上の青い矢印の部分の状態ってまず笑う所であり、かつ、この問題（らしきもの）に関するヒントでもあるよね？

とは言っても、下の部分はpoint.rakuten.co.jpから情報来てるのね、じゃあmy.rakuten.co.jpから来る情報となにかが食い違ってこんなことになってるんだろうね、*.jsファイルのsrc指定で、たぶんそのjsファイルのファイルシステム上の更新日時なのであろうepoch timeをつけてブラウザが自分で持ってる古いキャッシュを読むのを防ぐ措置のうちもらしがあるように（ソースではそう）見えるね、いやそこはpointとmyとでサーバ違うからpoint側の*.jsのURLに対してはファイルタイムスタンプのQUERY_STRINGあて作戦が取れないからしょうがないんだろうね、いずれにせよ名前の部分はjsじゃなくてmyサーバ上から直接動的に来てるみたいだからあんまし関係なさそうだよね、一応Cache-Controlヘッダとか見ようか、、、うんそんなヘンでもないよね（超ナナメ見なので見落としたらスマン）、ってところまでしかわからないけどさ。ほんといま超ナナメ読みしただけ。

外部から調べれることなんて限られてるしましてや再現性ないんならこの現象が起きたLANにある（のかもしれない）低予算長期運用誰も面倒みてない古めのプロキシサーバ（とそのキャッシュ）を疑うだけだけどね結局。

「気がついたオレすげえだろ」とか言いたいんじゃないんだホント。実際オレだって勘違いや見落としは日常茶飯事だしね。でも、

1. この件は、Webサイト（Webアプリ）の話で、かつ、個人情報が心配、とかいう話だ。
2. myrakutenのトップページの話かなってことはコトの発端の記事にデカデカとのってるスクリーンショット見れば誰でもわかる。
3. その個人情報ってつまり「ＸＸさんこんにちは」とかいうよくある文字列が表示されているあたりだろう、ということも誰にでも推測できる。
4. じゃあせめてその周辺ぐらい、「見よう」よ。

見てるんだったら絶対誰かがつっこんでｗｗとか言ってるはずのところに誰もつっこんでない。ってことは誰も見てないんじゃないの？と考える俺自身がなにかおかしいなのだろうかいやマジで。 （画像アップした本人はなおさらのことだけどこれに気づいててあえて言わないでいるとかいうんならそれについては話は別）

もしかして、みなさんのノートPCとか小さい画面で見てるからこんな感じになってる？

もしかしてそんな状態で「個人情報が！」なんて騒ぐのか？ それこそ「なんも見てない」じゃん！だって見えねえんだもん（笑）。 言い訳無用、元記事では画像ワンクリックで picasaを見れるようになってるし。（もちろん画像アップした本人はなおさらのことだけどこれに気づいててあえて言わないでいるとかいうんなら話は別）

ソフト開発の現場でクライアントから出る報告って、例えばのはなし、こういうのとか（開発現場じゃないし例がちょと極端だけど）、いやホント、意外と多いんだ。こっちはプロだからもう慣れっ子だけどさ。でも疲れてるときにこういうのやられると正直ゲンナリすることがある。

コトの発端の人もツイッターでワイワイやってる人もブクマしてる人も、みんなちゃんと「見て」から言ってる？これって見る人の技術力が云々のケースじゃない。 大騒ぎする／したいんなら、その前に、見ようよ。でなきゃなんのために騒いでんだかわかりゃしない。「騒ぎ」の本質はドコ？

これ全部見ろとは言わないしモチロン俺も全部見てない（笑）。でも問題のブログ記事の文章上で直接見れるやつくらい、その、「個人情報と呼ばれるものが表示されているであろうあたり」だけでも、見よう。騒ぐ前に見るよね普通？オトナとして。

途中でちょっと話がとんじゃってすまない。若干おかしな話の展開になってる気もするしなんだか俺自身にツッコミどころが一杯ありそうな気にすらなってきたけど、もういいや。要するに眠いんだ。おやすみ。

「彼（彼女）を否定することは、彼を信じてきた今までの自分と自分の行動を否定することだ」

これが、オオカミ少年あるいは詐欺師にかかわってしまった人間の心のなかで自身の正気を保つために無意識に芽生えてしまう感情であり、人間として正常な免疫反応である。

「突然、自分自身とその過去を否定しなければならない事態に陥いる」 言葉にするとピンとこないが、これはきっと、めちゃくちゃキツいことなのだろうと思う。 極端すぎるたとえだけど「助産院で入浴時に赤ちゃんを取り違えて15年後に発覚」みたいな。想像を絶するような感情が渦巻くであろう。 そうでなくとも「愛した彼は結婚詐欺師or妻子もちでした」なんてのは定番である。 ある者はただ嘆く。ある者はウソを指摘してくれた人を恨むという曲った行動に出る。ある者はかろうじて正気を保ちつつ、件に関係する自分の行動のうちのどの部分を肯定して心のよりどころとし、どの部分を否定して諦めるべきかを慎重に選別しはじめる。

そしてある者はあえてオオカミ少年と道をともにする。美しき友情ではないか。毒を食らわば皿までも作戦とも言えるけど。

しかし、美しく熱い友情は大いに結構なのだが熱すぎて言ってはならないことを口走るおこちゃまと、ついでに（本人には迷惑かも知らんが）2スレ781さんの名誉のために、もう少しdisっておこうか。

人工衛星のクルーだったのは間違いないのだからとか口走っておりますがまさか有人衛星（宇宙ステーションみたいな）のことじゃないだろうから通信衛星や気象衛星のような一般の人工衛星の開発or運用orそれを用いた研究に携わっていたのは本当なのだ！と言いたいのだろうがいやいやそんなことをウソだともガチだとも誰も言っておらず宇宙服着てるこの写真がプププなんですよってことであってウソの検証における論点のデザインに前衛芸術すら感じます。「トルコ空軍の大佐殿が兵役のために帰国」という俳句のように短いフレーズにこめられたツッコミどころの広がりも確かに宇宙規模です。そもそもトルコで無事にいられるかというご心配はもっともです。ちょっと違う意味だけどな。

そもそも脅しみたいなメールをよこしてsorae.jpの記事を取り下げさせる魔性の女マネージャーとかワタシも初めて知って驚いているんですっ！みたいなウソつきカマトトとか名を名乗らぬ者はすべて一律に卑怯者の野次馬であるぞいいいいいいいっさい譲らぬからそこになおれ手打ちにしてくれるわみたいな暑苦しいサムライスピリッツが実は周囲からすると地下道で異臭を放つホームレスのような空気感なんだけど本人には言わないでおいたほうがよさげなグッドデザイン賞審査委員長（元）とか無関係の一般ピープルによるまったく単なる独り言に対していきなり恫喝する意味不明な大学教授とかとかが世にはびこっているからこそ「@drkazuo 単なる論戦なら名乗ってやりますが，こんなこと実名で出来ませんよ。逆恨みして刺されたらどうするんです？　そのために公益通報者保護法の制定などが進んでいるのではないですか？」という清濁併せ持つ社会人による至極まっとうなポジショニングとそれに沿った世の流れにつながっているのだという動かしようもない現実としてのバカの壁の前に立ちつくしたまま100%無駄に振り上げてしまった拳の下ろしどころに困っちゃったよとりあえずボク大学人だけどよくわかんなーいテヘでお茶を濁す正眼の構え（自称）こそが主観「だけ」で生きる残念な社会人の一つの生態と言えよう。そこ、リンク大杉とか野暮言うな。

しかしまあ札幌の人も学長就任を全力でドタキャンしてよかったね。もしかしたらいまごろ阿久根市の市長みたいなグチャグチャな展開になってたかもしれないと思う。 それからいちいちジョンアレン先生ジョンアレン先生言ってますが現実問題としてJohn.P.Allen氏の知名度は低いから一般ピープルには「パパがパパが」としか聞こえてないと思うんだ残念だけど。バイオスフィア2なら覚えてる人多いかもな。

大きく言えば公益通報者保護法、個別で言えば東京大学の通報窓口、こうしたいわゆる証人保護プログラムってものは、これだけ言われてもまだなお無関係な人にすら無意味な恫喝を繰り返すおかしな大学人のために存在するという現実とその本質にまるで気づいてない張本人が大学人ですとか口走っちゃってるのがちゃんちゃらおかしくってもうおなか痛い。そもそも誰もお前の経験なんて聞いてねえどころか2スレ781さんみたいな経験は誰もしたくはないけど誰かがやらなきゃならないからその制度と窓口ってものがあるんだと何度いえばわかるのかしらねぇ奥様。

てな感じでおおざっぱな下書きしたところで一夜明けたら、 ママさん物理学者に諭される還暦すぎの大学教授という実に心温まるアングルが新たに生まれているではないか。さすがに展開速すぎてついていけないのであとはもう2sure781 vs drkazuo Round 2を見てね。

see also:

• Togetter(トゥギャッター) - まとめ「セルカン追求の2スレ781 vs セルカンカレッジ大阪第６回ゲスト川崎先生」
• アニリール セルカンvsグッドデザイン賞審査委員長(元)の同門対決がｗｋｔｋ！
• 未確認宇宙飛行士セルカンの兄弟子が今すぐただちにツイッターするべきたった一言
• Togetter(トゥギャッター) - 2sure781 vs drkazuo Round 2

• ドコモ、パソコン向け「docomo ID」を他社サイトでも利用可能に - ケータイ Watch
• docomo IDについて | NTTドコモ
• サイト運営者様向け | NTTドコモ

ケータイに限らずネット全般におけるユーザー確認／ユーザー認証の基盤整備はいまはかなり脆弱なんだが、少しずつ前進と言えるようになったのだろうかとかいうややこしい話はまたこんど。

追記： 認証が成功した場合にCPサイトはiモードID（従来からあったやつ）を得られるようになってる。 これってどうなのよ？うーむ。

追記： あー、でも、「ユーザのOP-Local Identifierは単一ではなく、RP（realm）毎で異なったものが払い出されます、複数のRP間で共有することはできませんのでご注意ください。」ってことにちゃんとなっている（そりゃあたりまえっちゃ当たり前だが）。 iモードIDも取れるよ、というのは今までiモードIDに頼ってたWebサイトに対する救済策（言葉が適当かわからないけど）と言えるのだろうか。

さるさる日記 - Parrot Diary 2010-03-08

だって、こーんなに東京大学から発表があって、 　あれは間違ってるんだ！　嘘だよ！　ってたくさんの人が言ってて 　なのに会場に行ったら、セルカン氏は何も悪いことしてないのに、突然東大から呼び出されて、大したミスでもないことでツライ目にあわされてる、って「おとぎ話」を信じちゃってる人がいるし、川崎先生は全面的にセルカン氏を擁護して、彼は悪くない、知識がある、東大は匿名の人間の言葉なんか信じるな、みたいなお話されるんだもーん。

　目の前で起こってると、どーにも無力感に襲われちゃって。
（中略）
くわしくは今は書かないけど、聞いてたあたしは何度も 「かわいそうな被害者セルカンと、彼を励ます会」なの？　って感じました～。

予想通りというか予想に反してというか、やや暗い展開になったことがうかがえる。

注目の川崎教授のツイートはというと、セルカンに関する言及は少ないものの なんというか、相変わらずである。 まず、デザインとか建築とはまったく無関係（筆者もだが）の一般ピープルの方が、

Twitter / tatusi: セルカン事件、調べるば調べるほどおもろい。関係者には ...

セルカン事件、調べるば調べるほどおもろい。関係者には気の毒だが。 経歴業績詐欺は数あれどこれほど大掛かりな詐欺は聞いた事ない。 でも不謹慎ながら面白いわ。東大、JAXAもさることながら、セレブ達も滑稽。 坂本龍一、川崎和男、果ては、逢川七瀬まで巻き込んで、まるで吉本新喜劇みたいや！

と、一般ピープルとしては実に素直かつ平均的な感想をつぶやいた。 このツイートは特に@つき（つまり名指し）でのツイートでもなんでもない。 しかし察知した川崎教授は次のように@つきでツイート。

無意味かつズサンな恫喝がいわゆる厨の初期症状である。 本人も自覚症状を感じたのか1時間もたたずにあわてて削除。（なので上は画像キャプチャ） そしてその代わりにあがったツイートが、、、

Twitter / 川崎和男: @paf00703 　You are A+h=0. ... 2010-03-08

@paf00703 　You are A+h=0. maybe you can't solve this one.

「まるで吉本新喜劇みたいや！」っていうのにかけているのだろうか。 シュールさとしては削除したツイートとどっこいである。 いずれにせよ日本を代表する工業デザイナーさんであり還暦の大学教授であるところの 彼のハイセンスな喧嘩の美学は大いに参考にすべきであり、 これは池田信夫以来の逸材かもしれない。

さて、そろそろ本題に行こうか。毎度前置き長くてすまん。

川崎 和男 大阪大学大学院教授クンが今すぐただちにツイッターするべきたった一言。 それは、

「2スレ781君、教えてくれて、 ありがとう」

だよね。

もう少し補足しようか。

「2スレ781君、初めは暴言を浴びせるようなことをしてすまなかった。 そう昔でもない最近に一緒に仕事をした彼の正体がまさかそんなだとは思わなかったんだ。 君が精緻な証拠までそえて教えてくれなかったら、 広く報道された今でも自分は下らない風評とただ切り捨てていたかもしれない。 今後の彼と自分とのことはあくまで自分で考えるが、とにかく教えてくれて、ありがとう。」

こんな感じかな。140字（だっけ？）にまとめるのは自分でやるように。 おっと、公開ツイートなんてしたくない？ さんざんボロクソなツイートしといて今更それってどんな美学？

さて、これは誰かも似たようなことを言っていたのだが、 セルカンの疑惑を解明すべく手間ヒマをかけた人間の原動力が、 嫉妬だの野次馬だのなんだのといったネガティブな動機だと思ったら大間違いだ。

そして、これはすでに筆者が何度も繰り返したフレーズなのだが、 虚言癖またはそれが詐欺師化した人間の正体とそのヤバさを 知ってしまった人物（代表例：2スレ781氏）は、 次のような状況に置かれることがよくある。

「知らぬが仏、で済ませられる限度を残念ながら超えてしまった場合に 仕方なく真相を告げたときの彼らの落胆とむなしさと怒りの一次窓口を なんで俺がやらなあかんのかと。」 （筆者の過去記事より）

その一次窓口の現場の当事者にあってその相手の立場に対する共感能力も無く、 あとからでも感謝の気持ちを周囲も含めて示すことももちろん無いデザイナーさんは、 さぞかしハイセンスなデザインを見せてくれるのだろう。 喧嘩士というのはそういうことなのだろうしね。 俺はそんなデザインのモノ使いたくないけど。

http://science6.2ch.net/test/read.cgi/rikei/1267944784/112 112 ：Nanashi_et_al.：2010/03/08(月) 16:14:41
ようするに
「情が事実に、個人的主観が客観的事実に優先する」分野なんでしょ？
川崎和男氏のデザイン工学って分野は。
そんな分野の大物センセイが
「うーむコ奴はスゴイんじゃ！みなのもの、コヤツをワシと同列に敬え！」
と云っちゃったらもうそれで箔付けはおｋ
そんな分野には自浄作用はとても期待できないし、
今後も第２第３のセルカン事件が起きてしまうと思うんだけどなあ。
建築意匠系・デザイン系の内部からセルカンの「虚業」について告発が無かったことを、
もっと関係者は重く受け止めるべきだと思う。

俺もそう思うのだが、無理だと思う。 周囲をイエスマンで固めたバーチャルな環境で力強く生き抜いてほしいと思います。

see also:

• アニリール セルカン事件。ウソで塗り固めた人生はともかく個人的にはその周囲の善意の人のほうに同情する。(2009/10)
• アニリール セルカン氏 本人とその取り巻きによる想定どおりの反応。一方、日経は容赦なく発進。 (2009/11)
• 「未確認宇宙飛行士セルカン」映画化決定か？（sorae.jpの中の人、溜飲が下がって本当によかったね。） (2009/11)
• 類はカモを呼ぶ － セルカンカレッジ静岡に集まった人々とは (2009/11)
• 主観だけで生きる社会人による残念な発言 (2009/11)
• 建築ジャーナル 2010年2月号 東大建築学科は大丈夫か？―アカデミズム再考― 定価900円／No.1163 (2010/2)
• アニリール セルカンvsグッドデザイン賞審査委員長(元)の同門対決がｗｋｔｋ！ (2010/3)
• なんにもわかってないセルカンの兄弟子がもうどうにもとまらない (2010/3)

• 博士の学位授与の取消しについて(東京大学公式サイト 記者発表)

  東京大学は、アニリール・セルカン大学院工学系研究科建築学専攻助教に対し、平成１５年３月２８日付けで本学が授与した博士（工学）について、平成２２年３月２日に取消しを決定しました。

• 東大のトルコ人助教、論文盗用で博士号取り消し（読売） 2010/3/5
• トルコ人助教の博士号取り消し＝論文の４割に盗用－東大（時事通信） 2010/3/5
• 論文不正で博士号取り消し　東京大のトルコ人助教（４７NEWS） 2010/3/5
• 東大、創立以来初の博士号取り消し　助教の盗用で（朝日） (2010/3/5)
• 博士号剥奪、学位論文の４割盗用 : ニュース : 教育 : YOMIURI ONLINE（読売新聞）2010/3/6

どうやら、東京大学の工学研究科その他の大学も含めた種々の研究者向け（？）メーリングリスト経由で一斉に東大公式発表の情報がまわったらしく、まだ知らなかったらしい（？）学者さん＆学生さんから様々な反応が出ています。いろいろあるのですが一つだけ取り上げてみよう。

Twitter / Hiroko Terasawa: 特に外国人は文化が違うので、どこに注 ... (2010/3/6)

@kanaya 特に外国人は文化が違うので、どこに注意するかの重点が違う。Aで手を抜いてBに手をかける、それを反対の立場から眺めてBが出来てないからあいつはダメだ、という短絡的な結論になりやすい。私はセルカンさんの経歴を見て、指導さえあればちゃんと書けたはずの人だと感じます。

（この前後のツイートの文脈まで含めて考えても）真理を探究する学問の人としてはご立派な正論。しかしセルカンとはどういう次元の人物なのかを一目瞭然に示すこの画像を見たあとでもまだなお教官の指導の問題がどうとか言い続けられるのなら真正なお花畑である。 「主観「だけ」で生きる残念な社会人」になってしまう前に、オ・ト・ナとしてのもっと基本的な情報収集力と総合的な判断力を養うのもまた娑婆を生きぬくために必要なことなのだよ。

さて、個人的には、はじめから言っているようにセルカン本人についてはあまり興味がない。筆者はむしろその周囲にいた善意の人々に対して興味がある。

ではその「周囲の善意の人々」のなかから彗星のごとく登場したある人物を紹介しよう。

コトの発端は、セルカンカレッジの次回予告としてあげられたゲスト講演者に関する潜入捜査員からの報告であった。

さるさる日記 - Parrot Diary (2010/2/13)

セルカン・カレッジ最終回のお知らせきました～♪

　諸事情で、開催日が日曜から土曜日（３月６日）に変わるっていうのと、懇親会があるのと、もひとつは、ゲストの方が来てお話ししてくださるそーです。すごーい！

　も～、Ｔさんてばヒミツっぽく「プロダクト・デザインディレクターの川崎先生をゲストとしてお迎えし」って書かれてたけど、どんな人なんだろ～？　ってワクワクして調べちゃいました♪ 　だって、今、セルカン・カレッジに来られる先生って一体どんだけ良い人なの？って、興味湧かないほーが不思議だと思うな～。

　川崎和男先生　↓ブログ
　http://artgene.blog.ocn.ne.jp/kawasaki/
　「プロダクトデザインを中心とし、デザインディレクターとして…」って書かれてるし。たぶん、この先生なんじゃないかな～。

この情報に目がテンになった2スレ781氏によるツイートがこちら。

Twitter / 2スレ781: っていうか，この状況でセルカン・カレッジのゲストを引 ... 2010-02-13

っていうか，この状況でセルカン・カレッジのゲストを引き受けるとは，大阪大学大学院教授、名古屋市立大学大学院名誉教授、多摩美術大学客員教授、日本産業デザイン振興会グッドデザイン賞審議委員会委員の川崎和男先生，分かってやってるのだろうか？

なんとこの直後に川崎氏本人によるマジレス！

Twitter / 川崎和男: @2sure781 彼と私はジョン・アレン先生で繋が ... 2010-02-13

@2sure781 彼と私はジョン・アレン先生で繋がってます！風評には人間としての「慎重さ」が必要です。

セルカン氏の正体をまるで知らない状態での自称「喧嘩士」たる川崎氏によるマジレス！ いやあ、これこそが、筆者も過去体験したことのある、「知らぬが仏、で済ませられる限度を残念ながら超えてしまった場合に仕方なく真相を告げたときの彼らの落胆とむなしさと怒りの一次窓口をなんで俺がやらなあかんのかと。」っていうやつである。 まあそりゃあ、長い付き合いの同僚をウソつき呼ばわりされたら誰でも最初は怒って当然だけどさ。 このやりとりは Togetter(トゥギャッター) - まとめ「セルカン追求の2スレ781 vs セルカンカレッジ大阪第６回ゲスト川崎先生」 にまとめられているので必見！

さて、川崎氏がジョンアレン先生、ジョンアレン先生言うばかりなので一応説明しておかねばなるまい。 川崎氏は正真正銘の「工業デザイナー」。一部の作品はニューヨーク近代美術館に永久展示されているというその実力と業績はガチである。一方セルカンは建築系であと宇宙がどうとか。全部パクリとガセだけど。 その二人が同門の兄弟弟子であると？（トシは離れてる。セルカンは30代、川崎氏は還暦すぎ。） で、二人の師匠たるジョン アレン。。。って名前ではピンと来ませんよね。でも、10年くらい前に話題になった「バイオスフィア２」という単語なら思い出せる人もいるんじゃなかろうか。John Allenはその発案者である。なるほどその施設は建築といえば建築だし、その目的は生態系のデザインといえばデザインである。 結果としては失敗プロジェクトだったことは否めないわけだが、科学にチャレンジと失敗はつきものだ。科学なのかデザインなのか建築なのかなんだかよくわからんところがアレゲだが。

さて、セルカンカレッジ大阪とそのゲスト講演者川崎氏に話を戻そう。 激突もとい講演は3月6日、つまり今日。 そしてくしくも昨日（3月5日）が東大の公式発表そして6日づけの朝刊で各誌一斉報道という運命的過ぎるタイミング。

とにかく川崎氏がもうちょっと清濁併せ持ってまわりを見つつ行動する立派な黒い社会人なら予想はつきやすいのですが、なにしろ俺はケンカ士とか殴るぞコノとか平気でツイートしちゃう還暦の学者さんですので今後の展開はまったく予測できません。「俺と彼とのやるべきことは終わった！だから問題は解決した！」とか高らかに宣言しちゃうのでしょうか。 ボットに向かって外野はだまってろとか言ってるのがなかなかお茶目ですがそれってエリカ様？。 セルカン先生ありがとうとか言ってる子供とそのお母さんも外野扱いなのでしょうか。

個人的にはセルカンカレッジ潜入捜査員parrot diary氏の表現を借りるところの「トンデモ文化人頂上決戦」をさらに上回る超展開を期待してｗｋｔｋなのであります。 現場からの報告を待て。

see also:

• アニリール セルカン事件。ウソで塗り固めた人生はともかく個人的にはその周囲の善意の人のほうに同情する。(2009/10)
• アニリール セルカン氏 本人とその取り巻きによる想定どおりの反応。一方、日経は容赦なく発進。 (2009/11)
• 「未確認宇宙飛行士セルカン」映画化決定か？（sorae.jpの中の人、溜飲が下がって本当によかったね。） (2009/11)
• 類はカモを呼ぶ － セルカンカレッジ静岡に集まった人々とは (2009/11)
• 主観だけで生きる社会人による残念な発言 (2009/11)

新規登録の画面フローを一応なめてみたところ出来るようになったとは思えないっていうか絶対無理だとは思うのですが、なんとなく念のため情報求めてみるテスト。

追記： よくみたらちゃんと[mixi] ヘルプ > 登録 > iPhoneで新規登録できますか？に書いてあった。

see also:

• で、iPhoneって契約識別IDは出力されるの？(2008/7)
• iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲 (2008/7)
• iPhoneと契約者固有IDにからむ希望的観測などはこれっぽちも感じておりませんので。 (2008/7)
• ケータイ＆ネット業界 闇ナベ狂想曲第二楽章 － EMA、iモードブラウザ2.0、お名前.comの脅威のDNS、そしてジェダイ現る(2009/12)

• SennaのPostgreSQLバインディングであるところのLudiaは、PostgreSQL8.3.5(もしかして8.3.x全部？）あたりからもう動かない。8.4以降もダメで、サポートされる気配もない。
• そもそもPostgreSQL本体のほうで、GINインデックスと全文検索まわりの組み合わせ方に実装の変更（整理？吸収？統合？）があった。こんな言い方が適切かどうか自信はあまりないんだけど、ver8.3.?あたりから変わったんですよとにかく。
• そこで、最近のPostgreSQLの共通的な全文検索機構にあわせて作られたtextsearch_sennaがおすすめ。Ludia使いはそろそろこっちに乗り換えるべき。
• ぱっと試した感じではtextsearch_sennaはludiaよりさらにインストールや設定が簡単（ludiaも十分簡単だったが）であり、しかもSQL文的にはludiaでの検索演算子と同じにできるので、アプリ影響はほとんどないだろう。
• ところが筆者が試したところ、一つのテーブル上の4，5個のtext型＆varchar型のカラムにそれぞれsennaインデックスを張って、SQL文のwhere句で 「col_a %% 'ほげ' or col_b %% 'ほげ'... 」のようにor句でつなぎまくったら、数百回に1回くらいの確率でPostgreSQL自体がSegmentation Fault起こしてpostgresプロセスが全滅。postmasterは生きてるので接続しなおせばすぐ復活するのだが、これにはちょっと参った。 この原因がtextsearch_sennaのほうにあるのかPostgreSQLにあるのかSennaにあるのかはさっぱりわからん（苦笑）。 64bitのlinux（kernel 2.6.18-164.el5）なんだがこのへんも絡んでるのかねえ？ とりあえずスタックトレース取って調べてやろうかと思ったけど面倒なので挫折。
• 自分のアプリを直すほうが話が早くね？ってことで、 目的のテーブルにtext型カラムをひとつ追加して、そのカラムに、全文検索対象にしたい他の複数のカラムの情報を改行でつなぎ合わせてぶち込んでおくことにした。そのカラムだけにsennaインデックスを張り、検索するSQLでは「カラム名 %% 'ほげ'」 のようにするだけだ。よく考えるとこのほうがSQL文がすっきりするしインデックスの数も減ってメンテしやすそうだねということでこれでGO。快適に運用中。
• もしできましたら早いとこマルチカラムインデックス対応してください^^;) ＞ textsearch_sennaの中の人。
• なお、textsearch_sennaの場合、「カラム名 %% 'ほげ'」のように特別な演算子を使わなくても 「カラム名 like '%ほげ%'」のような普通のlikeであってもsennaインデックスが効いてくれる。 これ結構うれしい人多いんじゃなかろうか。

ちなみに筆者は形態素解析方式よりもN-Gram方式のほうが好みである。 検索結果に多少のノイズが入るデメリットよりも辞書をメンテしなくていいメリットのほうが大きいので。

see also:

• 全文検索、Ludia、PostgreSQL、senna、某巨大掲示板 (2006/10)
• PostgreSQLを高速化する16のポイント (2009/2)
• テキスト検索の方法とインデックス — Let's Postgres　(2009/7)

俺？もってたよ。典型的なやつを。でもそれは通算でひと月も着てなかったんじゃないかな。とにかく当時の自分ではうまく説明できないような違和感に襲われたから。 でも何かが気に入らないからといって、飲み屋で言やいいのにマイク握って「反省してまーす」とバカ正直に悪態ついてまだ競技で結果も出してない段階で無駄に自己プレッシャーかけるような浅はかな腰ばきパンツDQNではもちろんなかったし、かといって社会人的なスーツ選びのセンスなんてさっぱり。しょうがないからオフィスビル内のエレベータ前のコーヒー屋で小一時間ほど粘って自分と似た背格好と年齢層で社員証ぽいのを首にぶら下げてる人が着てるスーツとシャツの色を見て自分で気に入ったやつを何パターンかざっとメモってから改めてスーツ買いに走ったわけです。

さて、あれからもう何年もたったわけだが、いまはもう不況うんぬんじゃなくて学生が多すぎるという状況。 しょうがねえから学歴で絞って面接する側の人手とあわせてるわけだ。面接に借り出される現場の奴だって自分の仕事の納期とか打ち合わせ資料のチェックとかお偉いさんのための面倒な会議とかあるからそういつまでも時間とれない。

そんな状況じゃ（なくても）、なんだかんだで見た目も結構大きいことくらいうすうすわかってるだろ。かわいいかイケメンかってことじゃなく、面接する側の潜在意識の話。思い出せる奴かどうか、少しでも記憶にとっかかりを残してもらえるかどうか、だ。特に女性は服とメイクと髪型でどうにでも変化をつけられるはずなのに、なんでみんな服も髪型も上から下までおんなじ格好でおんなじような受け答えなの？ だったらもう履歴書の写真と学歴欄と成績表とTOEICのスコアだけ見てマルバツつけちゃうだろうよ忙しいのにめんどくせえ。

そもそも新卒の採用って、昨日面接したアイツが職場でたどたどしく客と話をしてる場面を想像したり、あるいはいま面接してるコイツが「ＸＸの○○ってどういうふうにやったらいいんですか？」って仕事の仕方をトンチンカンでもどうにか質問してくるようなケースに結びつけたりして考えてみてさてどうだろうっていうことだろ。もちろんそれだけじゃないけどさ。

なのになんだよそろいも揃ってその格好。おまえら忍者か。間違い探しゲームの駒か。それとも溶け込むような市街戦用迷彩服でサバゲーしにきたのか。さっき面接したキミを思い出してくれるのかなそれで。

今さら性格も成績も変えられないが、服とか髪型なら変えられる。 2月も半ば過ぎてからこんなこと言うのもナンだが、春夏物ならまだ買ってない人も多かろう。グッドラック。

\\資料サーバ\XXプロジェクト\xxの資料\ZZの報告.doc

Windows系のファイルサーバに資料を置いて「このファイルね。よろしく」みたいにメールで連絡するとき、MS-Outlookだと、届いたメールが上のように中途半端なリンク状態で表示されることがある。

下のようにメール本文を書けばOK。あくまでメールの送り手側が気を使ってメールを書く、ということなのだけれど。

1. メールを書く側（こっちはOutlookとは限らない）で、
   <\\資料サーバ\XXプロジェクト\資料あ\ZZとか>
   <\\資料サーバ\XXプロジェクト\資料あ\ZZとか\ほげほげ.xls>
   のように半角<>で囲うと、メールの受信者側のOutlookの画面上では適切な青いリンク表示になって、一発でフォルダまたはファイルが開く。こんな感じ↓
   <\\資料サーバ\XXプロジェクト\要件定義\ZZサブシステム>
   <\\資料サーバ\XXプロジェクト\要件定義\ZZサブシステム\ほげほげ.xls>
   
2. 資料のパスをエクスプローラのアドレスバーからコピペする方法だと当然ながらフォルダ名までしかコピペできません。が、ClipPathをインストールすると、ファイルを右クリックするとそのフルパスをコピペ可能なので便利。しかもOutlook向けに<>で囲ってくれるオプションつき。
3. なお、VistaとWindows7には（shiftキーを押しながらの）右クリックのコンテキストメニューに「パスとしてコピー」がもともとあるのでClipPathは必要ない。

Outlookが標準メーラーとなっているところでは有効な施策らしい。 知っている人は当然知っていたのだろうけど、いつもメーラーはThunderBirdとかBeckyとかそういうだったので知らんかった。

• iTunes Storeアカウントの不正利用の件　その後 - 続・怒涛のCDレビューマラソンのブログ(2009/9)
  （注：↑こちらの方には「「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々」をお読みいただければと切に願う。）
• iTunesアカウントが乗っ取られた！その２ - isi の日記 (2009/11)
• Twitter / Jeff Lebowski: 誰かがボクの Apple ID をリセットして乗っ取 ...
• asahi.com（朝日新聞社）：ｉＴｕｎｅｓで不正請求被害　アップル社、ＩＤ流出否定 - ネット・ウイルス - デジタル (2010/1/25)
• asahi.com（朝日新聞社）：ｉＴｕｎｅｓ、ＩＤなりすましの恐れ　アップル社調査 - ネット・ウイルス - デジタル (2010/1/29)

種々の情報に当たるといくつかヒントが得られる。たとえば上の朝日の記事では、引用すると、

一方、愛知県の男性は昨年末まで約２週間、ｉＴＳ上で、神奈川県の男性の利用画面に入ってしまった。
　神奈川の男性がＩＤとパスワードを登録する際、同じ名字の愛知の男性のメールアドレスを自らのＩＤとして誤入力した。そのＩＤがメールのあて先となったため、登録完了通知などのメールが愛知の男性に送信された。
　愛知の男性が受信メールを基にパスワードを変えると、神奈川の男性のクレジットカードで買い物ができる状態になった。ただ、愛知の男性が神奈川の男性に連絡をとり、ＩＤとパスワードを直した。
　いずれのケースも、悪意を持ってなりすますことができる状態だった。

とのこと。これもひとつのヒントだ。

では、いつもはツタヤでCD借りてくる派なのだが、久々にiTunesストアを覗いてみることにする。

まさにこれが、焦点となっているIDとパスワード。購入ボタンを押すと出るダイアログだ。
「あれ？俺のIDとパスワードってなんだったっけ．．．．？！？！」
と思ったので、とりあえず「パスワードを忘れた場合」のボタンを押してみたら、 ブラウザが立ち上がって次の画面が現れた。（赤線は筆者による）

パスワードを再発行します。あなたのApple IDを入力してください：
(ヒント: Apple ID はメールアドレスの形式である場合も、そうでない場合もあります。たとえば、「yourname」という Apple ID が「yourname@me.com」とは別に存在することがあります。 MobileMe のお客様は、MobileMe のメールアドレスを「membername@me.com」などの完全な形式で入力してください)

唐突ですが、筆者の知人に鈴木N君（あくまでも仮名）という奴がいる。 実験台になってもらおう。自分のAppleIDの欄に「suzukin」と入力してみると。。。

赤い矢印のところにご注目。どうやら鈴木君のメルアドはsuzukin[AT]mac.com のようだ。 そういえば、昨日の電車でしゃべってた外人達が「Hey! Haward...」と言っていた。ハワード君というらしい。そこで、AppleIDの欄に「haward」と入力してみよう。

haward君のメルアドはhaward[AT]gmail.comらしいということがわかった。もちろん本当にそれが鈴木君やハワード君のメルアドであるかどうかは問題ではない。

カンのいい人はこのへんで気づいただろうと思う。

1. もしも、鈴木君やハワード君は、もうそのメルアドは使ってなくて、失効していて、そして赤の他人が同じメールアドレスを取得できる状態としたら？（それが可能かどうかはメールサービス事業者による）
2. そして鈴木君やハワード君がiTunesストアで使ったクレジットカードはまだ有効期限内だとしたら？（一般に、クレジットカードの有効期限は3年とか5年とか、結構長い）
3. そのクレジットカード番号はPC内のiTunesソフト上ではなくiTunesストアのサーバ上に保存されているとしたら？（たぶんそうだと思うんだけど）
4. 赤の他人が例のメールアドレスを取得しなおして、iTunesストアで「パスワード忘れ」の手続きを踏んでメールを受け取り、パスワードを再設定したら？

しかしそれにしても、責任をもって対処すべき者は誰なのだろう？ ユーザー？いやあ、うーん。このケースではそうともいえるし、そうとも言えない。 少なくともいまのiTunesストアのIDとパスワードの管理画面の設計思想には問題を感じる。 大人の事情を重ねるうちに混乱してしまったID体系そのものについても、だ。

あと、購入ボタンを押したときにクレジットカード決済の場合はその都度下4ケタぐらいいちいち打たせる、っていう程度のハードルはつけたほうがいいんじゃないの？ それだとユーザビリティ下がるっていうんなら、せめて、クレジットカード（の下4桁）情報のサーバー上での保存を前回入力時から24時間とか48時間といった有効期間を設けて再入力欄出す出さないを制御するとか、方法はいろいろある。有効期間という概念の重要性と有用性については前回書いたさくらインターネットの例のとおりだ。

なお、以上の話はすべて、ほかにも沢山あるであろう仮説のうちのひとつに過ぎない。

see also:

• メールアドレスが漏洩してると決めつける迷惑な人々 (2006/7)
• 「おまえがパスワードを流出させたんだ」と決めつける迷惑な人々　(2008/9)
• 拝啓 消費者支援機構関西 様 (2008/9)

追記：

• 赤の他人が普通に銀行口座をつくったら、自分の成りすましだ！と大騒ぎするオトナが約一名の巻 (2010/3)

いまさら昔の話を蒸し返すようなことをするくらいなら、2007年当時に本編みたいな議論を続ければよかったじゃないか、と思う方がいらっしゃることかと思う。

ぶっちゃけ、こうなるとは思っていなかったのである。なんせ責任者（社長）が出てきてこと細かに説明し始めるという予想外の展開になったうえ、問題点がはっきりしたからにはなにかしら手をつけてくれるのだろうと思うじゃないですか。

そんなわけで、事後検証は数ヵ月後くらいにまたやろーと思ってほったらかしていたら、見事そのまんま（俺が）忘却の彼方。で、何年もたった最近になってMTのバージョンアップを試みているうちに（20分でめんどくさくなって挫折）、DBのなかをあれこれと覗いていて昔の件の自分のエントリを見かけて、「ハテ、そういえばあれはどうなったのだろう？」と思い出してもいっかい試してみたら、何ひとつ改善されていないことが判明して唖然とした次第。もうね、アホかと。

俺はセキュリティの専門家と呼べるほどの技量ではないしそっち系を目指してるわけでもないが、こんなのをほったらかすことがまずいことくらいはわかる。コンピュータセキュリティの世界で「フルディスクロージャ派」とそうでない派の議論があるのは知っていたが、なんでそんな議論になるものなのか？という理由の一端を身をもって感じることができた。

そこのお前、話が続編になってないぞとか言うな。

ことの発端は「さくらインターネットの会員メニュー画面のセッション情報はログアウトしても1年たっても消えない件」という、筆者が2007年に書いた記事にさかのぼる。そして詳細はその一週間後のさくらインターネットの社長自身のブログで実にこと細かにつづられることになった。

焦点となった認証用Cookieは、いわゆる一般的なWebアプリのセッション維持Cookieと比べると構造や設計が（悪い意味でなく）異なる、という点で恥ずかしながら筆者には誤解があった。 そして結局のところ、その認証用Cookieの値に含めた認証日時に対するサーバ側での有効期間をどの程度の長さにするかの問題である、という帰着点を得たはずだ。（※Set-CookieヘッダのExpire属性の話ではないので勘違いしないように） この点については社長ブログでは次の1行にまとめられている。

現在の有効期限を今より短くしないといけないページがあるのかもしれない（コンパネ等）

さて、このとき、当の社長が筆者へメールを寄せている。メールを公開してもよいとのことだったので、3年後のいま、その一部を公開しよう。

（中略）以上のとおり、相当に長い期間が経過した後にクッキーが利用できるのでは ないかという指摘については、クッキー自体に改ざん不可能な形で発行日が含まれており、そのチェックが行われているために、実際にはいつまでも利用できるわけではないということをご理解頂ければと思います。 もちろん、ページ毎に設定されている有効期限については、人によってさまざまな考えがあると思いますので、こちらについては熟慮を続けていければと思います。

そろそろツッコミを入れるべき時だろう。「いまより短く」？「熟慮を続けて」？ 「短く」とか「熟慮」とかじゃなくて、「有効期限なんてない／認証用Cookieにその認証時刻も暗号化されて格納されているけどそんなもの見てない／熟慮する気はまるでない」の間違いだったのではないでしょうか。

少なくとも、古い認証用Cookieを使って会員メニューに入ってから契約しているサーバーのコントロールパネルのファイルマネージャ（エクスプローラっぽいやつ）の画面にたどり着いてファイルを削除または編集するまでの一連の流れを見ると、そうとしか思えない。再現手順は3年前の記事と同じで、次のとおり。

1. さくらインターネットのユーザーの契約情報などを見る画面において、ログインする。
2. cookie情報を参照し、secure.sakura.ad.jpドメインで発行されている「SID」というCookieに格納されている値をメモ帳かなんかにコピペして保存しておく。
3. 画面右上の「ログアウト」ボタンを押す。念のためブラウザ内のすべてのCookie情報を削除し、さらにブラウザを閉じる。
4. 30分または24時間または3日または3年待つ。どれでも結果は同じ。
5. 待った後、再びメニューの画面にアクセスする。IDとパスワードの入力を促す画面が出ることを確認する。そこで、Cookie情報を手作業で追加、編集する。具体的に言うと、上でメモっておいた値をSIDというCookie名で保存する。ドメインはsecure.sakura.ad.jp、パスは/、secureフラグはオンにして、期限は適当に1年後くらいの日時にしておく。
6. その状態で改めてメニューの画面にアクセスする。IDやパスワードを入力してないにもかかわらずログインした状態での画面が現れる。
7. 「サーバーの解約」をしようとすると、パスワードの再入力画面が現れる。どうやらそういう画面では認証用Cookieの値に仕込まれた時刻情報をちゃんとチェックしているようだ。
8. しかし、「サーバー設定」を押すと、素直にサーバーコントロールパネルの画面に遷移する。 そして「ファイルマネージャ」にアクセスすれば、エクスプローラーライクな管理画面に遷移する。ファイルの表示も削除も編集も自由自在。

なお、「会員情報」のページからパスワードを変更しても、同じ手順が可能だ。つまり、認証用Cookie（値はまとめて暗号化されている）の中には、パスワードそのものの情報は含まれておらず「ID（会員番号？）とその認証が成功した日時」の情報が入っており、それだけで判断されるようになっているわけだ。

それから、「Cookieの中身をコピペして保存するような手法まで気にしろというのか」という話をする者は、問題点をまるで理解していない。

少し話を変えて、わかりやすい事例を挙げよう。最近、ガンプラーというコンピュータウィルスが猛威を振るっているそうだ。 その亜種は、「「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生 (Internet Watch 2010/1)」 といった悪さをする。 なんにせよ、特定のFTPソフトがOSのレジストリに書き込んでいる情報を狙ってパスワードを盗み取るくらいだ。 特定のレンタルサーバ会社を狙ってブラウザのCookie情報を盗み取るようなことが、より難しいとも突飛なアイデアだとも思えないし、そういう亜種の出現もそう遠い未来ではなかろう。

一般論としては、WebサイトのCookieを盗まれることはめちゃくちゃに危機的と言えるほどの脅威ではない。Cookieの情報というものはあくまでも「一時的」な意味合いのものがほとんどだからだ。

ただしそれは、Cookieの値としてのセッションIDないしはそれに類する認証情報の、「いつ発行したか」の値をちゃんとチェックしかつ古い認証情報をはじくという仕様がWebサイト側に実装されていれば、の話である。

また、例えばFTPのパスワードであれば、盗まれたと気づいた段階で慌てて別の安全なPCからパスワードを変更にかかればよいかもしれないが、前述のとおり、さくらインターネットの認証用Cookieは、パスワードを変更した後でもそれ以前に発行されたCookieさえ手元にあれば認証を通過できてしまう。少なくともサーバーのコントロールパネルやファイルマネージャ画面までは。 これをどう救えというのだろう。

認証結果の有効期限といったものは、未知の脅威にもなんとか耐えうるための概念であり設計思想だ。 しかし、現状のさくらインターネットのサーバーコントロールパネル機能（にたどり着くまでの認証機能）を見る限り、そういった基本的な設計思想というものが完全に無視されている。 レンタルサーバ会社の社長自身が実に細かく問題点を把握しかつそれを自分のブログで公開し、おっ、社長すげえ、とか一見そう思えたのだが、現状を見るに、実は根本レベルでの理解がまるで欠けていると感じざるを得ない。

有効期限なし（無期限）という実装の問題はもちろん、それをはっきり認識し、かつ、責任者としての自分のブログで問題点を広く公開しつつも、結局はさらに数年も放置するという行動は、ユーザーの利便性のためとかいうトンチンカンな言い訳で済むような次元をはるかに超えている。

なんでもかんでもダブルクリックするユーザーというのは驚くほど多くて、そうした人々はデスクトップ上のアイコンとWebページ上のsubmitボタンとを区別しない。 あるいはsubmitボタンを押したあとで十数秒たっても反応が無い＝ネットワーク遅延とかサーバがのろいとか＝の場合にも、もう一度ボタンを押したくなるのは当然の心理だろう。

二度押しの結果として同じ商品が2個届いてしまうような事態は避けたい。だからこそ、Web業界ではいろいろと対策が練られてきた。input type=hiddenのタグとサーバ側セッション情報とに同じトークン文字列を持たせて云々、というのがサーバ側での定番の手法。そして、クライアント側ではJavaScriptを使った手法が様々に考えられている。 サーバ側での対応は、アプリの誤作動や、それこそ注文伝票が2枚発生してしまうのを防ぐためだ。一方クライアント側での対応はユーザビリティ向上の側面が大きい。どっちの対応も正しく、そして必ず両方とも実装する必要がある。

ここではクライアントサイドでJavaScriptを使う手法の話をする。何年も前に議論がなされていて、すでに枯れた話題ではあるのだが、ブラウザは多様化（特に携帯とか）し、JavaScript開発での汎用ライブラリの活用は当たり前になってきたこの時代、どんな方法がシンプルかつベターなのかという観点で、あらためて手法の一つを紹介したい。

数ある方法論のなかで、最近気に入っているのが、これ。

jQuery Disable On Submit Plugin | EvanBot
/*
 * jQuery Disable On Submit Plugin
 * http://www.evanbot.com/article/jquery-disable-on-submit-plugin/13
 *
 * Copyright (c) 2009 Evan Byrne (http://www.evanbot.com)     
 */
$.fn.disableOnSubmit = function(disableList){
	
	if(disableList == null){var $list = 'input[type=submit],input[type=button],input[type=reset],button';}
	else{var $list = disableList;}
	
	// Makes sure button is enabled at start
	$(this).find($list).removeAttr('disabled');
	
	$(this).submit(function(){$(this).find($list).attr('disabled','disabled');});
	return this;
};

使い方↓(head内のscriptタグで）
$(function(){
  $('form').disableOnSubmit(); // 全てのformに作用させる場合
  $('#hoge').disableOnSubmit(); // 特定のid属性をセットしたformタグに作用させる場合
  $('.hoge').disableOnSubmit(); // 特定のclass属性をセットしたformタグに作用させる場合
});

submitボタンを押した瞬間にそれをdisabled（グレイアウト）にすることで二度押ししようにもできなくする、jQueryを使ったスクリプトである。おすすめする理由は次のとおり。

1. jQueryだから。どうせ他の部分でもjQuery使っていることがあるので、そのついででシンプルなスクリプトで済むのなら、気分的にもラクだ。
2. オリジナルにスクリプトを書こうとして素直に disabled=true とやるだけだと、次にいったページから「戻る」ボタンで戻られるとdisabledになったまま（Firefoxの場合）というワナがあるのだが、こいつはその点も考慮されている。
3. どのformに作用させるかを、html側のデザイン次第でどうにでもできる。ページ内の全てのformではなく特定のformにだけ使いたいという場合もあるだろう。
   • 例えばform id="foo"とform id="bar"の二か所だけに絞りたければ、
     $('#foo').disableOnSubmit();
     $('#bar').disableOnSubmit();
     と2行書けばいい。
   • HTMLでは、id属性はwebページ内での重複が許されない。同一ページ内に複数のformがあって、それらにいちいち違うid属性を与えるのが面倒だというのであれば、class属性を使うのがいいだろう。form class="foo" というclass属性を与えたformタグすべてに対して作用させたければ
     $('.foo').disableOnSubmit();
     の1行で済む。また、cssではclass属性はタグに複数個設定できる。つまり form class="aaa bbb" みたいにできるのだから、なんだったらデザイン(見栄え)制御用のclass属性とは別にdisableOnSubmit()専用のclass属性を追加してしまえばいい。
4. form onSubmit="hogefunction()" のようにonSubmit属性でJavascriptを呼び出す手法をよく見かける。しかしこれはちょっと危険で、ブラウザの種類によってはJavaScript関数どころかform全体が動かなくなるケースがあるらしい。少し古いケータイ向けフルブラウザに多い。これはinput type="submit" value="hoge" onClick="hogefunction()" のようにonSubmitではなくonClickでやっても似たような危険が伴う。ケースバイケースなのでなんとも言えないが、少なくとも formタグにはid属性やclass属性を指定するだけという手法ならその部分は普通のHTMLに過ぎない。よって、特殊なブラウザであっても動作不良を起こす可能性が低くなるんじゃなかろうかと。
5. すぐにやめられる(笑)。「やってみたけど気にいらなかった」というときは、headタグ内のJavaScriptを消すだけだ。使わないid属性やclass属性をformタグに残したところで、どんなブラウザであれ動きにも見栄えにもまったく影響は残らない。

なお、クリックしたときにsubmitボタンをdisabledにしてしまう、という手法それ自体に、 「submit ボタン disable 技の罠 - naoyaのはてなダイアリー」という問題があることは一応頭にいれておいたほうがいい。 しかし、submitボタンのvalue値でサーバ側の動作が変わるような設計は意外と見かけない。つまり、submitボタンのvalue値は「ボタン上に表示される文字」としてしか使ってないケースのほうが多いのではないだろうか。だとすると、そう深く心配するほどでもないだろう。

さらに、これはもはや蛇足だろう（であってほしい）が、下のような書き方をしているformでは、この方法は動作しない。

<table>
<form action="...">
<tr>
......

HTMLとしてありえない位置にformタグがある。 Transitionalならいいのかもしれないけど、strictなdoctypeだとするとおかしい。 そしてjQueryはstrictな方針でDOM要素をたどっていく（らしい）ので、こういう非準拠な書き方をされるとdocumentの中のform要素をうまく捕捉できないことがある。結果、このformではdisableOnSubmit()が動かない。 「formタグの上下に空白ができてしまうんだ、どうしたらいい？」という相談に対する答えとして、ひと昔、いやふた昔前くらいにごく一部のWeb屋の間で流行ってしまった手法だ。 CSSくらい使えよと。（正解は、form style="margin:0;" でいい） 古いページ/デザインだといまだにこういうのが残っていたりすることも頭の隅にいれておこう。