ソフトハウスなんか、雇用助成金で休業して、その間社員は勉強とかアリだよあ

ここのニュース
雇用助成金、申請１００倍…１１月８８００人→１月８８万人
http://headlines.yahoo.co.jp/hl?a=20090227-00001142-yom-soci
によると（以下斜体は上記サイトより引用）


　減産などで余剰人員を抱えた企業に対し、解雇ではなく休業などで雇用維持を図ってもらおうと、国が休業手当などを助成する「雇用調整助成金」の利用申請が急増している


　そうな。

　この雇用調整助成金、使える施策だよねえ！！

　ソフトハウスでも、業種を問わないので、利用できそうだよねえ。。
　そして、教育訓練した場合は、その分のお金も出る。
　この間に社員に情報処理試験の勉強をしてもらって、社員のＩＴＳＳのレベルを上げたり、新規ビジネスのための勉強（仮想化とか、共有とか）とかもできるわけだもんねえ・・

ソフトハウスなんか、雇用助成金で休業して、その間社員は勉強とかアリだよあ

ＣＳＫって、いつの間に（＞＿＜！）

ここの記事
1年で株価が14分の1……ベンチャー企業の雄「CSK」に何が起きているのか？
http://bizmakoto.jp/makoto/articles/0902/27/news090.html
によると（以下斜体は上記サイトより引用）


　東証1部上場の情報サービス大手、CSKホールディングス（東京）に金融市場から厳しい視線が注がれている。2009年3月期に巨額の連結営業赤字を計上する見込みで、株価は1年余りで約14分の1、社債の価格は額面（100円）の4分の1ほどと散々な状況になっている。業界の風雲児と呼ばれたベンチャー企業の雄に、一体何が起きているのか――。


まー、株価は、こーいうご時世だから・・。
でも、社債は（＾＾；）


　CSKは2月に入り、2009年3月期の連結営業損益の見通しを、従来予想の150億円の赤字から1020億円の赤字に大幅に下方修正した。2008年3月期が192億円の黒字だったことを考えると雲泥の差だ。

ひ、ひえー（＠＿＠！）１０２０億円の赤字って、すごすぎだろう・・・
ＣＳＫって、いつの間にこんなんなっちゃったわけえ？？（＞＿＜！）

「本業のシステム開発とは無関係な不動産金融に手を出し、不動産市況悪化の影響をモロにかぶった」


そうな・・・ソフト関係会社のほかの決算も、こわいものあるよねえ・・・

ＤＩやstrutsのメリットの１つは、定義ファイルを見れば、システム全体がわかるということ？

　ＤＩやStrutsなどのメリットは、定義ファイル（Strutsだとstruts-config.xml)を見れば、だいたい、どんな風な感じかというのが、つかめるところのような気がしてきた。

　たとえばＪＳＰだけで書いてしまうと、どういう画面遷移になるかは、ファイルの中を見ないとわからない。
　一方Ｓｔｒｕｔｓは、ソースファイルの中を見なくても、struts-config.xmlのActionと、その中のForward,FormBeanから、画面の動きが大体想像つく（きれいになってれば）。

　そーいった、ソースをいろいろみなくても、大体把握できるところが、いいところなんじゃないかと・・・

仮想空間も、サブプライム問題なの？。。。

ここの記事
三重県いなべ市がセカンドライフ内に開設した支所が突然閉鎖、委託業者と連絡取れず
http://slashdot.jp/it/09/02/27/0121229.shtml
（以下斜体は上記サイトより引用）

伊勢新聞の報ずるところによれば、昨年1月に三重県いなべ市がセカンドライフ内に開設した支所が、同年末に突然閉鎖されていたことが明らかとなりました。

市では、「昨年末、運営委託先の業者から突然サービスを打ち切られた。業者とは連絡が取れておらず、打ち切りの経緯については全く分からない。今後、セカンドライフに参加している他の自治体に連絡を取り、情報収集に努めたい」(担当部長)と説明していますが、支所の開設に反対していた市民は市監査委員に対し、既に住民監査請求を行っている模様です。


委託業者が。。。という話らしいけど、
こんなところにも、サブプライムの影響？？

これだけじゃなく、Ｗｅｂ制作やデータ管理を他社に任せていた場合、その会社がおかしくなると・・・
っていう話は、今後も増えそうですよね。

UNIXの権限とパーミション（の脆弱性）

きのう、Ｃ／Ｃ＋＋セキュアコーディング　ハーフデイキャンプPart2 File I/Oに行ってきたので、その内容について。

　３部構成にわかれていて

１、UNIXの権限とパーミション
２、ファイルシステムの脆弱性
３．ファイル入出力と競合状態

　となっていました。ここではまず、「１、UNIXの権限とパーミション」について、ポイントをメモメモ

---

■脆弱性対策の原則

・最小権限の原則
　必要なくなったら、権限を落とす

・権限を分離

---

■パーミッションについて
大きく２つの話題
・プロセス権限
・ファイル管理

●プロセス権限
・プロセスＩＤには、
　　「実ユーザーＩＤ］，
　　「実行ユーザーＩＤ］，
　　「ＳＳＵＩＤ」（いったん保持用）
　の３つがある

・権限を変えたいときはsetresuid()で、３つを
　明示的に変えたほうがいい
　　→理由説明すると長くなるので省略
・ただ、solarisでは、それができないので、
　その場合、seteuidを使うのがいい

・適切なsetuid
　→必要なくうなったら、権限を落とす

●ファイル管理
・セキュアなディレクトリ
　所有者＆管理者以外は、ファイル作成、リネーム、削除
　できないようにしておく

・ファイル名でアクセスするより、fdやFILE構造体など
　実体を使うほうがいい
　　→ファイル名は悪意あるユーザーに書き換えられる危険性アリ

・fopenする「前に」umaskを使う
　→ファイル作成後、chmodすると、ファイル作成後、
　　悪意あるユーザーにファイル名を書き換えられる危険性アリ

---

■そのた

・ステッキービットＯＮ
　ファイル所有者のみ削除可能

・wall　端末に書き込めるプログラム
　　→readは、覗き見されないように権限を落としてる

・postfixのソースを見ると、参考になる。

「竹島の日」に関連？島根県ＨＰにアクセス６５０万回、韓国ＩＰアドレス

ここのニュース
島根県ＨＰにアクセス６５０万回　韓国ＩＰアドレス
http://www.asahi.com/national/update/0226/OSK200902260069.html
（以下斜体は上記サイトより引用）

　島根県は２６日、県のホームページ（ＨＰ）が同日午後２時ごろから約２０分間にわたり約６５０万回のアクセスが集中し、閲覧しにくい状態になったと発表した。

　県情報政策課によると、韓国のプロバイダーに割り当てられた１０個のＩＰアドレスからのアクセスで、これらの通信を遮断して復旧した。


なんという分かりやすい攻撃（＾＾；）


今月２２日には県などが主催する「竹島の日」の記念式典があった。同課の担当者は「ＩＰアドレスは偽装できるので、現時点で竹島問題との関連は分からない」と話している。


こんなに分かりやすいと、逆に、ほんとに韓国から？って疑っちゃうよね。
「竹島の日」の抗議のように見せて、実は・・みたいな・・・

WAFをリバースプロキシでやった場合、リバースプロキシが倒れたら？

今日、Ｃ／Ｃ＋＋のセキュアコーディングの話を聞いてきて
（今度、レポートします。その内容）

そこで、ファイルアクセスにおけるぜい弱性の話を聞いてきた。

つまり、ファイル名をユーザーにいれてもらうと、ふつうは
foo.xml
のように、素直に、ファイル名をいれると想定しちゃうけど、ここに

../../../../../etc/passwd

とかかいて、思いもよらないところにアクセスして、ファイルを書きだしてしまう
危険があるというはなし。

これを防ぐには、ファイルのパスを正規化(canonicalization)する、
具体的にはrealpath()をつかうそうな・・・

って、それ、ＣやＣ＋＋ですよねえ・・・

ＪＡＶＡは？File#getCanonicalPath()なのかしら？？

---

うん、でも、ひょっとして、それって、ＷＡＦでやってくんない？

とおもったら、

第3回 WAFはどのように脆弱性を防御するのか
http://www.atmarkit.co.jp/fsecurity/rensai/waf03/waf03.html
に、そんなのありました（以下斜体は上記サイトより引用）


　強制ブラウジングを防ぐためには、オブジェクトタイプのチェックによる意図しないファイルタイプへのアクセスからの防御と、正規表現を使用したネガティブセキュリティモデルによるディレクトリトラバーサルからの防御を行う。ディレクトリトラバーサルとは、パスをさかのぼることによって、本来、管理者がユーザーに見せるつもりのないファイルやディレクトリを閲覧したり実行したりする攻撃である。「../」という文字列などをリクエストパスの中に入れる手法がよく使われる。


おお、じゃあ、ＷＡＦにすれば、ばっちり・・・なの？？

---

でも、ふとおもったんだけど、ＷＡＦって、リバースプロキシ＊使うよねえ。。

（使わない方法もあるらしい）

じゃあ、このリバースプロキシが倒れたら、どーなるの？？

---

そんなくだらないこと考えてないで、getCanonicalPath()使えって（＾＾；）
（まだ、こいつ使ったことない、今度試してみるね）


＊リバースプロキシ：外から、中のあるサーバーに対する通信を行う際、かならず、このサーバーは通ってね！っていうプロキシ、ふつうのプロキシは、中の人→外に行く時に使うのに、こいつは、外→中にいくときにおもに活躍するので、ふつうの逆＝リバース

管理機能におけるWindowsとLinux対応

ＯＳＣのWindowsサーバー２コマ目、運用系のお話。

講師の人のブログの

[セッション資料公開] オープンソースカンファレンス 2009 Tokyo/Spring「Linux、Windows 混在環境に効く Windows Server のポイント (Part II) 」
http://blogs.technet.com/stanabe/archive/2009/02/25/osc-2009-spring-tokyo-session-material.aspx

資料が公開されているので、詳しくはそちらをみてもらうとして、かんたんに、おはなしを・・・

---

■Linuxの・・・は、Windowsだと、なに？

●/var/log
→イベントビューワーを使ってみる
　むかしはあまりログに書かなかったが、いまいろいろログに書き出してる

●/proc　（設定）
→WMIでいろいろわかる、リモートにも対応

●cron,atは？
→タスクスケジューラー

●ps,なんとかstat
→リソースモニタ、パフォーマンスモニタ
　玄人好みななあなたには、sysinternals

●rsh,ssh
→Windows Power Shell
　管理ツールの「別のコンピューターへ接続」

---

■他のお役立ちコマンド
●cmdkey
　資格情報がみれる

●shutdown /s /h 0
　すぐおちる

●start .
　エクスプローラー立ち上がる

●Windows Power Shellで
　Linuxのコマンドをたたくと、似たようなものが・・・
　（同じではない）
　MSIにも、アクセスできる

---

こんなかんじっす。
（聞き間違えてるところあるかも。。あったらごめん ^^;）

クライアント：NetBook、サーバー：ブレードを考えたほうがいいかも。。。

ジャストシステム、39,800円のオリジナルネットブックを100台限定で販売
http://pc.watch.impress.co.jp/docs/2009/0224/just2.htm
のニュースにかぎらず、NetBookは、結構安いよねー

将来的には、クライアントをNetBookにして、
サーバーをブレードサーバーにして、
サーバー側でアプリを動かして（仮想化もいれて）

っていう、むかしのダム端末みたいな使い方をかんがえたほうがいいかもねえ。。
新入社員が１０人入ったとして、１人１０万のパソコンを買えば、１００万、
一方４万円のNetBookだと、４０万、のこりをサーバーに使っても・・・

安上がりのような気が・・・

ActiveDirectoryも、LDAPなので、OpenLDAPと統合できるという話

ＯＳＣの話であとのこってるのはWindowsのセッション。
２つのセッション（認証系と運用系）があって、まず、認証系の話。

話の内容は、

ActiveDirectoryも、LDAPなので、OpenLDAPと統合できるという話

というもの。

つまり、ActiveDirectoryは、いまは、
ユーザー情報にＬＤＡＰ，認証にKerberos
を使ってる。

なので、OpenLDAPなど、Linuxで、LDAPを使っているものと統合できる
（Windowsで追加したら、すぐにLinuxに反映できる。逆も）
というお話＆デモでした。

もちょっと詳しい内容は、
【オープンソースカンファレンス】LinuxクライアントをActive なんとかのKerberosで統合認証する
http://blogs.technet.com/junichia/archive/2009/02/19/3204510.aspx

くわしい環境設定などは、この発表者のブログ
フィールドSEあがりの安納です
http://blogs.technet.com/junichia/
に載るらしい

Ext.js

OSCのExt.jsアプリケーション開発の基礎からのメモメモ
なお、Ext.jsってのは、prototype.jsみたいに、ＷｅｂのJavascriptでいろんなことをやるための便利スクリプト集。
現在Ver2.2.1

---

■Ext.jsは
・リッチユーザーインターフェースの提供
　ＵＩのサンプルページ
http://extjs.com/deploy/dev/examples/samples.html

・ＤＯＭ操作
　JQueryよりElementの操作が簡単に！（代用可能、併用可能）
　ext-core.sとして、コアクラス～切り離して提供

・カスタムイベント管理
　　イベントは３つ
　　　　・Extイベント
　　　　・Ｄｏｍイベント
　　　　・カスタムイベント

・コンポーネント・コンテナ構造
　　・明示的な初期化
　　・明示的なレンダリング、遅延レンダリング
　　・明示的な破壊
　　・状態管理

・Adobe Airとの連携
　　・Airに対する操作のＡＰＩがある

---

■必要となる前提知識
・ＣＳＳとＣＳＳセレクタ
・JavascriptとOOPプログラミング
・デザインパターン
　　　observable
　　　Flyweight
　　　Signleton
　　　Composite

　　イベントを発行→Extファイヤーイベント
　　大体のイベントはアプリケーションオブジェクトに
　　通知するように作るほうがいい

---

■そのた
・xFrameworkExExt.jsのフレームワーク

・Ext.jsトレーニング
　　第三水曜日に勉強会

WebサービスのＩＰＶ６化をめぐる問題点

というＯＳＣの話のまとめ
（ただし、あまりに分かりきったＩＰアドレスの話とかは省略）

---

■IP枯渇問題に対する対策
・不使用アドレス返却
　　　→でも、一時的に増えるだけで、数年後また枯渇するだろう

・キャリアグレードＮＡＴ（ＣＧ－ＮＡＴ）
　　　→コンシューマーすべてをプライベート空間へ
　　　→Ｐ２Ｐ的なアプリは動作に問題あるかも？
　　　→だいたい１０世帯を１つに出来る程度で、つなぎの技術

・ＩＰＶ６対応
　　　→究極的対応

---

■ＩＰＶ６対応は進んでいるの？
　（１）ＩＳＰ，iDC,バックボーン
　　　→対応済み、ＮＧＮ，フレッツ網など実運用レベル

（２）コンシューマー、エンドユーザー
　　　→オプション扱い

（３）各種サービス
　（３）－１．ホスティングサービス
　　　iDCのメニューにＩＰＶ６があるかどうか
　（３）－２．webアプリサービス
　　　顧客がいないから進まない

---

■枯渇→ＩＰＶ６環境

●枯渇後、ＩＰをとろうとすると、
　　・ＣＧ－ＮＡＴでＩＰＶ４
　　・ＩＰＶ６
の２つのアドレスを渡すのでは
　→デュアルスタック運用

●現在の対応
・IPV4枯渇対策タスクフォース設立
http://www.kokatsu.jp/
・EDGE.JP
　　→fixdapがIPv6に対応参照

---

■ＩＰＶ６対応
・対応済み、そうでないものを切り分けて考える

●対応済み
　ＯＳ，Webサーバー、プログラム言語

●対応しないといけない
・アドレス解析ライブラリ
・ＤＢのカラム：固定サイズの文字列になっていない？
・OracleのINET型は便利（Ｖ４，Ｖ６共存できる）
・ＷＡＦ(Web Application FireWall)
・監視ツール
・冗長性ツール、ロードバランサ、アクセスコントロール

---

■その他＆しつもん

・IPv6対応Webサービス構築ワークショップ
　　2009年2月28日(土)～3月1日(日)　鳥取環境大学で


しつもん１：ＩＰＶ４で実現している技術（サブネットマスクなど）を
　　　　　　ＩＰＶ６対応にするには、どーやったらいいか、
　　　　　　まとまっているサイトは？

あんさー：kokatsu.jpもそうだけど、ＩＰＶ６推進協議会の
IPV6移行ガイドラインについて（ＰＤＦ）が参考になる

しつもん２：IPV6における127.0.0.1は？

あんさー：
・ＩＰＶ６は、１つのインターフェースに複数のＩＰが割り当てられるのが前提なので
という答えをしているところに

「ユニークローカルで確認できる」

という答えをした人がいたけど・・・？？
ユニークローカルって、プライベート（192.168.XXX.XXXとか）と同じなのであって、
127.0.0.1（自分自身）のことではないのでは？どーなのどーなの？？

・ＩＰアドレスの移転
　アドレス売買ができそう。

---

こんなかんじっすかね

人間関係を電卓で計算！？ 「人間関係計算機」登場

ここの記事
人間関係を電卓で計算！？ 「人間関係計算機」登場
http://headlines.yahoo.co.jp/hl?a=20090224-00000010-oric-ent

え、どうやって計算するの？と思ったら
（以下斜体は上記サイトより引用）

見た目は、普通の電卓なのに、数字ではなく人間関係を計算するという『人間関係計算機』がバンダイより3月28日（土）に発売される。同商品は誕生日を入力することで人間関係が占える電卓となっており


あ、誕生日で計算するのね（＾＾；）
とおもったら・・・

、“友達とはタスけ合う”と友情関係を「＋」、好きな人や恋人との“恋のカケ引き”を「×」など、自分と相手の誕生日の間に記号を入力することで様々な人間関係を算出するという、ユニークな計算機となっている。

もっと奥が深そうだ・・・

moodleは難しい。。。

ＯＳＣで、moodleの話がありました。
moodle研究会（仮）の不破さんと、創立メンバーの岡田さんのお話。

なんか、簡単そうな雰囲気を出してます（＾＾；）
いれてみましょうか、moodle
－この考えが甘かった、今まで入れた中で、一番インストール難しい気がする。
　MySQLやPostgreSQLなんかより、ずっと難しかった・・・

---

で、まず、

ここ http://moodle.org/downloads/
に行って、「Standard Moodle packages」をダウンロード、Moodle 1.9.4
をダウンロードして、インストール

　あれ、きのうかいた、ＯＳＣのお昼のセッションでは、不破さん、五十何メガかあるって言ってた気がするけど、14.7Mしかありませんが。。。
　ま、いいか。

　これ、ダウンロード、インストール。
　インストールのはじめのほうで、日本語が選べるので、選びます。
　言語パッケージのところ、気にしないで先に進んだら・・・
　うん、英語？あの言語パッケージのボタンで、日本語パッケージのボタンを押さないといけないのか？

　と思ってやり直し、日本語パッケージのボタンをクリックしたら・・・画面真っ白（＞＿＜！）
　えー、わけわかんねー。

---

　とおもい、「Moodle for Windows」をダウンロードしてインストールしてみる。
　Moodle 1.9.4+、57.5Mbyte、こっちのほうを不破氏は言っていたんだろうか？
　でもだとすると、言語ファイルがおおきいんじゃなくって、moodle以外のＰＨＰとか、ＤＢとか、そーいう部分が大きいことになるんだけど・・（言語ファイルは、Standardにも入ってて、それは、14.7Mしかないので）

　ま、そんなことはさておき、ダウンロード。
　MoodleWindowsInstaller-latest-19.zipのＺＩＰを解凍して、出てきたStart Moodle.exeを起動すると・・・
　Apacheとか、MySQLが起動してるよみたいなエラー
　README.txtを読んだら、Stop Moodle.exeでとめてね！みたいに書いてあったので、
　Stop Moodle.exeを起動したら・・・
　MySQLをとめられない。そーだよねー、mysqlのパスワードとか、入れてないもん（＾＾；）

　ってことで、MySQLを手動でとめる。(mysqladmin -u root -p shutdownで）
　（念のために言っておくが、パスワードがshutdownなのではない ^^;）

　再度、start Moodle.exe
　うん、うごいているの？？どーなの？？
　よくわかんないけど、うまくいかない。

　きのう、ここまで。。。

---

　ってことで、今日。

　「Standard Moodle packages」、英語でもいいや、ということで、言語パックをやんないで、強行突破！
　どんどん先にやると、インストールは出来た。
　ログインしなおしてみると、日本語は選択できるんだけど、ところどころ日本語、多くは英語の変な風に・・・
　うーん・・・

　ま、それはいいとして、操作しようとしているんだけど・・・
　まったくわからない。

　いつもみる、フォーラムって、どーやるんだろう・・・

で、操作方法を追い求めていったら、
三重大の
http://oku.edu.mie-u.ac.jp/~okumura/moodledoc/teachers.html
に。なんとなく分かった気が・・・

でも、まだわかんない。
やっぱ、本買わないとわかんないのかなあ・・・

←いまここ

---

moodleは難しい・・・

仮想化を開発方法論に組み込むと、外部設計は論理プール、詳細設計で、物理化？

ＯＳＣの仮想化の話で、仮想化の設計フェーズとして、

（以下斜体は、ＯＳＣの
「仮想化環境の設計手法～プロのテクニック教えます～」
　講師：日本仮想化技術株式会社　代表取締役兼ＣＥＯ　宮原氏
　の発表資料から引用）


論理設計
　　・要求仕様を論理システムでマッピング
　　・システムを機能単位で捉える

仮想化設計
　　・論理システムを仮想化にマッピング
　　・システムを仮想マシン単位で捉える

物理設計
　　・仮想システムを物理Ｈ／Ｗにマッピング
　　・システムのサイジングや冗長化など


とあって、とくに、目標は見える化して、１つないし２つ
（いっぱいあると、その目標間でトレードオフが起こり、
　矛盾してくる）
っていう話だったけど、仮想化も、システム開発のはじめから考えると、
以下のようになってくるんだろうか・・・

---

■開発手法に仮想化も混ぜると・・・

（１）要求仕様
　まず、機能要件を決める。
　そして、非機能要件を決める際、
　「機能要件のこの機能は、仮想化」という感じで、非機能要件に仮想化関連項目も設ける


（２）外部設計／構造設計
　画面上の外部設計を行い、ＤＢ設計に入るが、まず、このとき、ＤＢの配置などは、
　論理的に捉えておく。
　また、画面設計から、サービス設計ができ、構造設計にはいっていくが、
　そのサービスは、仮想的にどこにあるかをわりふる。

　こうすると、サービスが、仮想マシン単位で捉えられる

（３）詳細設計
　その仮想マシン単位で捉えたものを、実際、どのマシンで行うかというのをきめる。
　この時点で、外部設計と要求設計から、どのくらいの量、どのＤＢにアクセスするかという
　トランザクション量はわかることになる。
　それをもとに、マシンスペック、使用量が決められることになる。

　また、ＤＢの分散化についても、ここで考え、実施していくことになる。

---

　つまり、外部設計フェーズでは、論理的に、論理プールの状態で考え、
　詳細で物理に落とすというかんじかなあ

　論理プールの大きさ、つまり、論理的にどれくらいのデータ量、トランザクションがあるのか？という部分が決まらないと、物理的に、どんなマシンをどのように割り振るかきまらない。

　この「プール」→具体化というのが、今後の開発で、大きな役割を占めてくると思う

　トランザクションプール→ロードバランシング
　セッションプール
　データベースプール

などなど。。