イベントの最近のブログ記事

昨日、リクルートのメディアテクノロジーラボで開かれたFlex勉強会に行ってきましたー。

今年２月に参加した、第２回iKnow! Developers ConferenceでのLTが、

技術評論社の記事になってたみたい。


レポート：第2回　iKnow!デベロッパーカンファレンス開催―将来は自分の知能をすべて管理するためのサービスに／iKnow! API KICK OFF結果発表｜gihyo.jp ... 技術評論社




半年間も気づかなかったよ！！！笑




[イベント] 第二回 iKnow! Developers ConferenceでLTしてきました。 - いそっちノート

[イベント] 続・第二回 iKnow! Developers ConferenceでLTしてきました。 - いそっちノート

若者に一度だけ与えられる出会いの場、セキュリティ＆プログラミングキャンプ - IT戦記
でおなじみの(?)セキュリティ＆プログラミングキャンプが今年も開催されます。


公式ホームページ：セキュリティ＆プログラミングキャンプ2009


参加条件：22歳以下の学生・生徒


日程：8/12〜8/16


費用：無料
 （授業料や教材費だけでなく、宿泊費や食費、交通費もぜんぶ国負担！！いや、国民負担！！！）


コース：セキュリティコース と プログラミングコースの２種類から応募時に選択。


詳しいシラバスは、公式ホームページで
講義内容 | セキュリティ＆プログラミングキャンプ2009




ぱっと見た感じ、プログラミングコースが去年に比べ、かなり強化されてる！！
去年のだと、大学でコンピュータサイエンスを専攻していたら、
大学の専門科目とかなり似てるなぁーって感じだったけど、

「講師と環境は世界最高を用意した」----吉岡弘隆氏に聞く − ＠IT自分戦略研究所

によると、講師陣がパネェwwww

「OSを作ろう組」は『30日でできる！ OS自作入門』がテキスト。著者である川合秀実氏自身や、サイボウズ・ラボの竹迫良範氏と天野仁史氏、セキュリティコースと兼任となるはせがわようすけ氏が講師という豪華な布陣である。

「プログラミング言語組」はRuby処理系「YARV」の開発者である笹田耕一氏と、サイボウズ・ラボの西尾泰和氏が担当。

「Linuxカーネル組」は、IPv6プロトコルスタック「USAGI」を開発した吉藤英明氏、＠ITで「Linux Kernel Watch」を連載する富士通の小崎資広氏、そしてVA Linux Systems Japanの山幡為佐久氏と、名うてのLinuxカーネルハッカーがそろった。

さらに、

「Linuxカーネル組で見込みのある学生がいたら、リーナス・トーバルズ氏が今年10月に来日するとき、会えるように調整を頑張ります！」

セキュリティ・コースには去年参加したけど、あれはお金払ってでも行く価値あるレベル！！

いろいろRIA勉強会＠早稲田 でなんかしゃべってと言われたのでなんかしゃべってみた。

前回のFlex3勉強会でネタをだいぶ出してしまったので、今回は、CHIに関するムービーを流しました。

そのムービーのリンクを貼ります。
順番は適当

途中まで書いて放置してましたすみませんm(_ _)m




Flex3勉強会第71回＠東京でしゃべってきた内容についてまとめ。



ustされてたっぽいけど、あんま見ないでいいよっ！！


他の人の発表については、偽TAKESAKOメソッドの発動により、全然見れてないので、
id:acehikaruさんのブログを見ると良いよ！！


いそっちの発表の内容は、

Flexというフレームワークにとらわれず、
3Dとか機械学習とか物理エンジン（力学）とか画像処理に関する基礎知識を身につけておくと、
FlexでもSilverLightでも、それ以外でも役に立つよ！！
みたいな話で、


3Dに関しては、Flexデベロッパーが取っ付きやすいように、
Matrix3DとかZソートも絡めた内容。




【3Dについて】
・3Dオブジェクトが表示されるまで(座標変換編)

3Dのオブジェクトを描画するには、すっごい計算が必要！！


基本的な座標変換（アフィン変換）
　　平行移動：x, y, zに対し、移動したい値を足し算
　　回転：x, y, zに対し、回転したい角度の回転行列を掛ける。
　　拡大：x, y, zに対し、拡大（縮小）したい倍率を掛け算

実際の行列の計算については、↓にちょっと書いてあるのでこっち見てね
[3D][Astro] 3Dの移動／回転を行列(Matrix3D)を使ってやる - いそっちノート


なんで、このsinθとかcosθの行列を回転出来るかについては、ここを見てね


モデル変換
　　オブジェクトに指定されたxとかyとかrotationXをオブジェクトのすべての頂点に適用させる

ビュー変換
　　カメラの位置や向きで描画が変わるように、カメラのxとかyとかrotationXをオブジェクトのすべての頂点に適用させます。


投影変換
　　3D(x, y, z)から2D(x, y)に変換する為に、投影変換ってのをやります。
　　詳しくは、このPDFに書いてあるけど、ようは投影変換用の行列をすべての頂点に適用させます。



ここで言いたい事
・3Dを表示する為には、ものすごい量のベクトル演算が必要！！


・３Dが表示される仕組みを知っていて、それを意識しながらアプリを作ると、高速化出来るかもしれない（その時、必要のない計算を排除するなど）




ここで疑問。

Q. PCゲームとかで3Dとか使いまくってるやつでサクサク動いているのがあるのに、
Flashの3D(Papervisionとか)は重すぎじゃない？？

A. PCゲームとかは、GPUを使っているから軽い。



Q. GPU？なにそれ美味しいの？？

A. GPUは、ベクトル演算に特化した演算ユニットで、最近のだと200コアくらい。



Q. FlashPlayerは、GPU使ってないの？？FlashPlayer10から対応したんじゃないの？？

A. GPUで処理出来るのはおそらく、H.264の動画の処理やPixelBenderで作ったエフェクトのみ




と、いうことで、FlashPlayerでOpenGLが使えるようになる日を待ちつつ、
その日が訪れたときの為に、そういう勉強をしておく！！



Zソート編と機械学習編につづく ・ ・ ・ かなぁ？?

現在、熱海で行われているjava-ja温泉に参加中





宿にLANがあるから無線LANルータ持参で、みんなで無限インターネット♪





その時に、無線LANの周波数が混線して輻輳しないように、それぞれのチャンネルを調べたい！！


んで、そのコマンド

$ cd /System/Library/PrivateFrameworks/Apple80211.framework/Versions/A/Resources/
$ ./airport -s

↓結果

            SSID BSSID             RSSI CHANNEL SECURITY (auth/unicast/group)
     java-ja-spa 00:19:e3:32:6a:3c -53  7       WPA(PSK/TKIP/TKIP) WPA2(PSK/AES,TKIP/TKIP) 
          FON_AP 00:18:84:21:bd:f9 -52  2       NONE
    java-ja-spa2 00:18:84:21:bd:fa -52  2       WPA(PSK/TKIP/TKIP) WPA2(PSK/TKIP/TKIP) 
    java-ja-spa4 00:90:cc:f6:34:a9 -57  13      WEP

うん、いい感じにかぶってないね！！



↓チャンネルと周波数の関係

もう一週間たっちゃったけど、Seasar Conference White 2009に行ってきたよ！！


年末に読み直した時に、「あぁ、こんなの参加したなぁー」って振り返れるように、
ノートに書いとくよ！！





○Wicketとシステム開発の現場（矢野 勉）
・Wicketとは

・Flex Frameworkでもサポートされてる以下の機能を持つ
　デフォルトのコンポーネントの充実
　Componentのカプセル化
　Event/EventLister
　CreationCopleteなどのイベント

それに、データベース連携を追加

#サーバーサイドで、addEventListenerとか書くと、そういうJavaScriptに変換してくれるのかな？？



○最新のDI & AOP（ひがやすを）
歴史
EJP：特定のクラスやインターフェースを継承したりしなければならない縛り
↓
POJO：特定の環境に依存しない。特定のClassを継承しなくていい
↓
DIコンテナ：POJOを組み合わせる

DIって？？
・インターフェースと実装の分離
・機能を使う側はインターフェースだけ知っていればよい
・設定ダイルから、オブジェクトの生成と代入を行う。

・オープンクローズ原則
　拡張に対して開いていて、変更に対して閉じている（拡張や、メソッド内のアルゴリズムを変更しても利用側のコードを変更する必要はない）

デメリット
・コンポーネント間の依存関係が減ると作業分担は可能だが、生産性が下がる
・ソースコードを減らし、設定ファイルに書き出すと、設定ファイルのコンパイルチェックができない
・設定ファイルで実装クラスを簡単に差し替えられるけど、実際問題そんなに変更しない。
・依存コンポーネントの完成を待たずに並行開発が可能だけど、結合テストで結局待たなければ成らないかも（ただ、単体テストは楽）
・コンポーネントが簡単になる(POJO)ので、学習コスト少ないと思うけど、DIを理解しなければ成らない。

XML地獄を脱する為に、
・Convention Over Configuration
・XMLではなく、アノテーションでJava内に書く

Hot Deploy
・修正後、tomcatを再起動しなくても反映。スクリプト言語のようにサクサク開発
デメリット（Slim3では解消）
・Hot Deploy（開発時）とCool Deploy（本番時）で動作が違った
・Request毎に、Classをロードするので、前のページでロードしたものと別クラスとして認識（ClassCastException）


AOP
・ログ。どのメソッドがいつ呼ばれて、処理にどの時間かかったかなど


○DBFlute ライトニング ConditionBean（久保 雅彦）
ずっとデモのターンで、見入っててメモとってなかった汗
とりあえず、eclipseのショートカットすごいよ！！！
DBFluteは、次DB使うサーバーサイド書く時絶対使う！！



○差のつく勉強法 35歳定年説を乗り越えるために何をすればいいか（きしだ なおき）
めっちゃ面白かった！！
35歳くらいになると、ひと通りやった感が出て、プログラミングに飽きちゃうけど、
コンピュータ・サイエンスの分野はもっともっと広いんだぜ！！まだまだ、やったことない分野いっぱいあるよ！！
って感じで、その年になると、業務で必要な知識は当然として要求されるから、
その上を行く為にも、低レイヤーのこととか、コンピュータの仕組みとかも勉強してみるといいんでない？？って感じ



５０人くらいで懇親会いったんだけど、学生ひとりっぽかった笑
和田さん（？）とかと一緒のテーブルだった！！
1０年前のJavaの話やオープンソースのライセンスの話など面白かった！！

ハチロク ウーロン茶部もそろそろ活動しなければならないので、はるばるつくばまで行ってきたよ！！


Tsukuba.R#4

【Rで学ぶ遺伝子多型解析】id:wakuteka


【項目応答理論】id:hiratake55
問題に対する採点で、

・aパラメータ　問題の識別力（信頼度）
・bパラメータ　問題の難易度
・cパラメータ　勘で正答する確率

を用いる。


この値は、事前にパイロットテストで、こいつらを決めておく

・コンピュータ適応型テスト
問題を回答中に、それまでの結果から、受験者の特性を解析して
次に出す問題を変更

少ない問題で正確に受験者の特性を取得出来る。
（全パターンの問題を解かせなくてもいいから）

正解したら、より難しい問題を、不正解だったら易しい問題を
・視力検査みたいな

・識別力がいい問題は、回答後の変動が大きい。信頼性があるから

情報技術者試験とか、適性検査・性格判断、TOEFLのパソコンでうけるやつは、これを使ってるのかな

TOEFLのやつは、
出題される問題が、それまでの結果に依存するので、最初の方に簡単な問題でミスると、
以降難しい問題が出題されにくくなって、高得点はとれなくなるらいしので注意！！



【Rを高速化するための１０の方法】id:syou6162
・Rレベルでの高速化（50倍とか1000倍速い）
・Cレベルでの高速化（50倍とか1000倍速い）
・並列化を使った高速化（コアの数だけ速い）

・Rでは、intとかなくてベクトル可
・Rでは、配列とベクトルは違う
・Rでは、行列専用のデータ型Matrix
・for文でまわすより、ベクトル化された関数で必要個数を与えて一気に計算


・Cで書いた関数をRから呼ぶ
JavaでいうJNIみたいな感じ

「? 関数名」「example 関数名」とかでヘルプが見れる

総称関数：パラメータの型によって処理を変える。オーバーロード？

・並列化
お互いに依存しない処理を、別スレッドで処理



【Ｒとtwitterとわたし】id:y_benjo
twitterのfav機能で、ユーザを分類する
結果 -> 変態クラスタ、ITっぽいクラスタ、ハチロククラスタ

【テキストマイニングとDNA配列解析】id:bonohu

【乱数と行列計算の言語としてRを使う(PageRank、NNなど) 】id:flashingwind
磁性体のスピンのモデル。
実際のものにいかに近づけるかじゃなくて、いかに性能のいいものを作るか

【CRANの歩き方】id:gfx

【Rで学ぶ力学系】id:tkf

【Perlも便利だよー】id:riywo

【Rで学ぶBrainf*ck】id:mickey24



懇親会（←ここから本番）

とりあえず、飲み物はウーロン茶！！！心が未成年なので！！

心理学とか遺伝子とかの話を聞けた！！

心理学めっちゃ面白そう！！！

１回生の時、本キャンの心理学の授業で、
オペランド反応とか、レスポンデンド反応とか習ってて興味あったからいろいろ教えてもらえた！！

あと、サブリミナルとかも昔、図書館で本借りて読んだりしてて、下条先生の本が良いということを聞いた！！



遺伝子とかの話しで、
種っていうのは、「夜の営みで子孫を残せる」と同じ種族とかそんなので、
子供が生まれても、その先が生まれない場合もあるんだって！！

んで、アフリカ系は、赤血球の形が違って、それはDNAが違うからとか、

DNAは基本的にうまれてから死ぬまで、不変で、
それを変えてしまうのが癌！！


あと、DNA鑑定のこととか（警察が実際にどの方法でやってるかはわかんないけど）


勉強会の時は、？？？って感じだったけど、

帰国時のつくばエクスプレスの中で教えてもらったら超理解出来た！！



勉強会は、懇親会が本番だね！！！



なんか、

次回は、


いそっちも発表するらしいよ？？


でも、




Rは、




まだインストールしかしてない＞＜



勉強するぜ！！SVM頑張るぜ！！！

ここ↓
http://www.slideshare.net/event/developers-summit-2009/slideshows



参加者にメールが流れてるみたいなんだけど、

「Developers Summit 2009 slide」でググったら一番上にHITしたから、ブログに買いても大丈夫っしょ！！



公開期間は、
2009年3月2日（月）〜2009年5月29日（金）
らしいです。

１３日の金曜日に、翔泳社主催のDevelopers Summit 2009に行ってきたよ！！


○とったセッション
・Programming the Cloud / クラウドをプログラミングする
・「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
・RIA開発をとりまく技術の進化と環境の変化
・Java VM への処方箋 〜先進のメモリ管理技術とは〜
・アーキテクトって何ですか？ 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
・ひよこクラブ ver.Engineer
・Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」



○Programming the Cloud / クラウドをプログラミングする

行ってから気づいた！！Googleの中の人のセッションだった！！！

英語なので通訳さんがいるんだけど、AdobeMAXのような"同時"通訳じゃなくて、
Speakerが英語でしゃべって、それを通訳さんが日本語でしゃべって、って感じだから、
Listeningの勉強にもなる！！！


んで、肝心の内容は、

・クラウドのACIDについて
原子性（Atomicity）、一貫性(Consistency)、独立性(Isolation)、永続性(Durability)ではなく、
Associative, 可換性(Commutative), 等冪性(Idempotent), Distributedって意味のACID

Associative -> (A+B)+C と A+(B+C) は同じ結果になる
Commutative -> A+B と B+A は同じ結果になる
Idempotent -> 2回やれば2回とも同じ結果になる


・GFS(Google File System)による障害対策
Googleほど大規模になると、HDDも何万台ってあるから、障害は必ず起こるって考えて、
障害にも対応したファイルシステムを独自に構築しなきゃみたいなことを言ってたような・・・


・Map Reduce
よくわかんないけど、クラウドでプログラムを書く時にインターフェース？かな
スライドに載ってたサンプルが↓

map(in_key, line) :
  words = split(line):
  for each word in words:
    Output(word, 1)

reduce(key, values):
  print(key + ":" + sum(values))

mapが、検索エンジンがhtmlにどの単語がいくつ含まれているか解析する時に、
１行ずつ順番に解析するんじゃなくて、複数のマシンで並列的に処理する関数で、
なんか単語を登録して数を1にしてる

reduceが、いろんなとこから解析されたデータを合計する関数？

よくわからんから次www


その他、ノートにメモってあるキーワード
　Hadoop, Sawzall



○「Delphi for PHPのエバンジェリストが、日本のPHPエバンジェリストと、PHPとIDEの今と未来を語る」
ペチパーでもないし、Delphiとか先輩の課題を代わりにやったときにちょっとやったかなって感じだけど、IDEを作る人の話ってことでとってみた。

Delphi for PHPは、FlexBuilderのデザインモードみたいな感じで、コンポーネントをぺたぺた貼っていくことによって、Viewを作って、そいつらのイベントをすぐにphpで書けるようにする機能をもったIDEらしい。

html+javascriptでコンポーネントを作って、それをカプセル化する。
そしてそういうコンポーネントをたくさん用意して配置するだけって発想はいい感じ。

でも、Flexフレームワークって実はそれなんよね・・・

FlexBuilder, FlashCatalystと比較しながら聞いてたら、なんか残念な気持ちになった。


Delphi for PHPの課題をちょっと考えてみたんだけど、
・チームで制作する際に、マージがうまく出来ないといけない
　　-> FlexBuilderだとEclipseで既に出来てるし、mxmlはxmlだから問題なし

・デザイナーが簡単にこったものを作れる。
  -> FlashCatalystが神。イラレ＆フォトショからViewに変換出来て、さらにStateとかEffectとかもFlashIDEっぽく作れるし、右クリック->テキストインプットとかで選んだものがテキストインプットになったりする。

・コンポーネントの拡張性。カプセル化されたコンポーネントを独自に増やしたり、拡張したり
  -> UIComponentを継承すれば、全く新しいコンポーネントを作ることが出来るし、既存のコンポーネントも継承して関数をオーバーライドできる。

・IDEの拡張性
  -> FlexBuilderもFlashCatalystもEclipseベースなのでプラグインを後から追加出来る


こう思うと、Flexスゲー！！！！！FlexBuilderスゲー！！！FlashCatalystスゲー！！！

そして、このDelphi for PHPは、FlexやSilverLightと同じ道を歩んでいくんじゃないかな？？

IDEとしての完成度は、これら2社のものに比べるとまだまだかもしれないけど、
そもそも言語が違うから、まぁありなんじゃね？


○RIA開発をとりまく技術の進化と環境の変化
お昼ご飯食べた後で眠くてあんま覚えてない＞＜
てか、こういうイベントとかでFlexとかのセッションを取るのはやめよう。
すでに聞いたことある話が多い・・・


○Java VM への処方箋 〜先進のメモリ管理技術とは〜
ガーベッジコレクションの話だったんだけど、メモリを意識したプログラミング手法みたいなのとは全然違った。
大規模案件になるとVMって自分で作るのかな？？
HITACHIが改良したGCの仕組みについて説明してた。内容的には、ゼンゼンいいんだけど、
その製品、オレ使わないしwww独自に実装とかもやらないしwww
でっていうって感じ


○アーキテクトって何ですか？ 〜普段の仕事と、マイクロソフト認定アーキテクト取得で学んだこと〜
結論、
アーキテクトって役職は会社によってあったりなかったりだし、あっても、会社によって全然違う！！


○ひよこクラブ ver.Engineer
プログラマーの勉強について

・ver.Java（Yoshioriさん）
Yoshioriさん！！この人すごい人！！！ブログで彼女を募集しちゃうすごい人！！！
みんなブログで、Yoshioriの彼女になりたい！って書くといいよ！！！

真っ赤な髪だから桜木花道みたいなイメージだったけど、ゼンゼン違った！！！

内容は、
Output < Input

OutputよりInputをしなさいって意味じゃなくて、Outputをすると以上にInputが得られるよ！！！ってこと

□ブログに書く
　間違えても誰かが指摘してくれるし、間違えることよりも間違えて覚えている方が恥ずかしい！！
　コメントとかフィードバックもらえると嬉しい
　ブログに書いておくと、後で忘れてもググれる！！外部記憶装置最高！！！

□人に聞く
　聞いた方が早いじゃん！！
　聞く時も１人に聞くよりも複数人に聞いた方が、いろんな見方があるってわかる！！
　みんな優しいから、意外と「ググれカス！」なんて言われないよ！！

□コードを書く
　サンプルとかで勉強する時も、コピペじゃなくて、自分で打つ！！
　ある言語で書かれたものを他の言語に移植とかすると結構勉強になる！！

□コードを読む
　他人のコードを読む！！
　GoogleCodeSearchとかCodeReposとかどう書く.orgとか

□RSSで読む
　ブログを読む！！
　はてなアイデアの新着RSSとか、ユーザが求めているものが分かるから、はてなだけに使わせるのはもったいない！！　
　はてなキーワードで、例えばJavaとかでアンテナはっておく！！


・ver.JavaScript（堀さん）
Yahoo!の中の人！！

・情報収集
□Webサイト
　はてぶ、deliciausのタグで絞り込んで新着フィードを読む！！
　JavaScriptは人のサイトで、「ソースを見る」とコードが見れる！！
　言語の仕様書を読む！！

□ブログ
　id:amachangやid:javascripterやJohnResig(JQueryの作者)のブログとか！！

□勉強会
　Shibuya.JS、若手IT勉強会、Kanasan.JS


・実践
□サンプル見て自分でも書く
□トライ＆エラー
□アウトプット



・ver.PHP（市井さん）
Greeの中の人！！

1. 形から入る。とりあえず、elePHPantぬいぐるみ買っとくwww
2. 身時かな存在に
3. 慣れてきて
4. マニアックな方向に


「これ（例えば特定のフレームワーク）には詳しい」ってのをとりあえず１個つくる！！
ひとつでも強いものが出来れば自信がつく！！


phshっていうのがちょっとしたコードを検証するのに便利！！
Javaでいう、Dr.Javaみたいなの！！
#ASってこういうのないのかな？？


・ver.Perl（谷口さん）
ライブドアの中の人

自己紹介が、
「嫌いなものは、チョコレート」

「なので・・・」

「いりません！！」

ここから内容w
ブログに書くってのは、みんなと一緒で、
カンファレンスや勉強会でしゃべる、雑誌や書籍で書くなどすると、
そこには責任が生じるから深く調べたり、何度も検証したり、めっちゃ理解が深まる！！！


まとめると
とにかくアウトプットしろ！！
とりあえず、ブログ書け！！！



○Webセキュリティ攻守攻防パネルディスカッション 「Webアプリケーション / Ajaxセキュリティ徹底バトル」

はまちちゃん！！！こんにちは！こんにちは！！

初めて生のはまちちゃん見た！！


このセッションは、参加するとウィルス感染の恐れがある危険なセッション！！！

はまちちゃんが、ウィルスバスターやノートンでは駆除できないウィルスを・・・

ウィルス名は、


インフルエンザウィルスwwww




パネルディスカッションのテーマは、

(1) XSSってなに？食べれるの？どう危ないの？
(2) えがちゃんもXSSを直さないといけないの？
(3) イントラだから関係ないよね？
(4) JSONによる秘密情報の漏洩
(5) オープンな脆弱性の指摘は犯罪なの？
(6) オープンソースWebアプリの脆弱性は？
(7) IPAさん曰く、たとえばPHPを避ける？
(8) ブラウザのバグと仕様の境界について
(9) UTF-7ご認識を利用したXRRってまだ有効？
(10) WAFってどうよ？


-------------この辺から追記-------------

(1) XSSってなに？食べれるの？どう危ないの？
つ XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん！(Hatena)

(2) えがちゃんもXSSを直さないといけないの？
えがちゃんを知らない人は、この辺みるといいよ！！！
これはえがい人の脆弱性
エガミくんの脆弱性のやつ

(3) イントラだから関係ないよね？
言い換えると、「社内でしか使わないシステムだと脆弱性あってもカンケーないよね？」ってこと
でも、会社で何か攻撃されたら、笑えない損害が発生しちゃう！！
「何で悪い大人の人はXSSの脆弱性を突いてきて悪い事をするんですかー？？」とか言ってる場合じゃないよ！！攻撃する人は、盗んだ内部資料とかを売ればお金になるもんね！！

(4) JSONによる秘密情報の漏洩
メールのタイトルとかに、JavaScriptを書いておいて、
Gmailで、<script src="JSONへのURL">とかがあると、文字列のはずのJavaScriptが実行されちゃうとかそんな感じ。（メモがちょっとしか残ってない＞＜）

Googleは、ここで返すメール情報のJSONの先頭にwhile(1)をつけて"javascriptとして"読み込まれても大丈夫なようにしてるけど、根本的に脆弱性を修正してる訳じゃないから、
「Googleがやってるからこのやり方が正しい」とかそういうのはダメ！！！！！

(5) オープンな脆弱性の指摘は犯罪なの？
例えば、SNSサイトに脆弱性が見つかって、
強制的に「こんにちは！こんにちは！！」って日記を書かかせたとしても、それは犯罪なの？？

そういう時の為にIPAが間に入って報告するようになってるんだって！！
ただ、IPAに脆弱性を報告する時はちゃんと本名で報告してね！！

はじめてのほうこく - ぼくはまちちゃん！(Hatena)
IPAたんからの返事 - ぼくはまちちゃん！(Hatena)
IPAたんからへんじこない - ぼくはまちちゃん！(Hatena)
IPAたんからお礼が！ - ぼくはまちちゃん！(Hatena)


(6) オープンソースWebアプリの脆弱性は？
「オープンソースだと多くの人がレビューしているから、その分脆弱性も修正されていて安全」とか言われちゃってるけど、全部のオープンソースがそういう風に修正されてるわけじゃない！！

だから、オープンソースだから大丈夫なんてのは幻想だよ！！

(7) IPAさん曰く、例えば、PHPを避ける？
IPAのサイトのより良いWebアプリケーション設計のヒントに、
「例えば、PHPを避ける」とかかかれちゃってるけど、PHPは辞めた方がいいの？？

でもね、でもね！！
site:ipa.go.jp filetype:phpで検索すると47,300件もHITするんだよ！！！

自分だってつかってるじゃん！！

でも、phpは、マルチバイトにちゃんと対応してなかったり、言語仕様のドキュメントがちゃんと整備されてなかったり、実行環境のサポートのライフサイクルが短いから、そういうのはあんまよくないみたいだよ？？

(8) ブラウザのバグと仕様の境界について
ブラウザ作ってるとこに、「こういう脆弱性あるよ！！」って言っても、「それは仕様です。」とか返されちゃって、
いんたーねっと えくすなんちゃらってアプリの脆弱性がなかなか改善されなかったんだ！！
でも、id:hasegawayosukeさんが頑張って言い続けたら、次に出るIE8からはだいぶ改善されてるらしいよ！！
んで、そういうの見つけたら、公式サイト（？）のお問い合わせとかちゃんとした窓口から送ると
対応してくれやすいんだって。中の人も、そういうので報告があったら無視は出来ないから

(9) UTF-7ご認識を利用したXRRってまだ有効？
ふつー、ASCII文字は8bitなんだけど、7bitずつで区切ってみると、
攻撃コードになるようなのを仕込んで、charsetをutf-7にすると発動するっていう攻撃があるんだけど、それってどうなの？？ってお話

攻撃としては、まだ成り立つんだけど、

なんか、日本のはLACっていう宇宙戦艦ヤマトみたいな"地球防衛軍"が監視してるから、
すぐばれるらしいよwwww

(10) WAFってどうよ？
WAFっていうのを使うと、そういう脆弱性をあるていど防いでくれるんだって！！



ごめんもう疲れた。

明日とかにこっそり追記しますwww

頑張って書き足したよ！！