はじめてのにき

_ uutils

https://github.com/uutils/coreutils

Rust で coreutils 作ってるやつ、試しに普段使いにしてみてバグってたら修正してみたりしてるんだけど、正直クォリティ低いなぁこれは

(13:03)

_ 筒井

そもそもtwitterやってたことすら知らなかったレベル

まあなんか、そういう芸風という話もあるけど…断筆の時もまぁ賛否あるんだろうけど、それともちょっと違うんでないか

断筆の時のあれは文学として発表してるんだよね…twitterのはまぁ呑み屋の放言レベルてのと、まあるけど。

というかやっぱ気になるのは、国内的な問題なら多少タブーとか踏みにじった上でおちょくる、ってのはアリだと思うんですよね。仮に相手が天皇でも。少なくとも批判者はそれ による影響とかだいたい想像できてるというか、まあわかった上でオチョくってるんだろって感はある

でもなんか国際的なセンシティブな問題だと。というあたりで書く気が失せてきたので終わる

(23:08)

_ false positive

むつかしいのでまとめた

http://shinh.skr.jp/h/?FalsePositive

(20:41)

_ Thue

だいぶ雰囲気はわかってきた。でもこれでなんかまともなもの作るてのは相当つらいなあ

(13:34)

_ ゴルフ場

apt-get で libc がアップデートできなくなってて困る。 Xen の kernel ごとアップデートしなきゃいけないのだよなぁ、めんどくさい。

今時ならコンテナとかで作りなおしたい気しかしないけど、どう考えてもめんどくさいんだよな…

(04:34)

_ drdr

前作ったタスクランナー普通に便利に使えてて、今後あまりシェルスクリプトで消耗せずにすみそうな予感

http://shinh.hatenablog.com/entry/2017/02/19/230821

(11:15)

_ 認知症

http://nekomemo.com/archives/50736876.html

そういえば前の前に住んでた家、隣の家に大屋さんが住んでたんだけど、あれは認知症だったのかもなぁとか思った。

なにか最初の数年は普通だったのだけど、最後の方は家賃払ってないと怒鳴り込んできて(実際払い忘れてたこともあったから文句は言えない)、払ってますよと言うとあらそう、と。で数日後にまた怒鳴り込んでくる、みたいなことがあった。ここの途中で語られてる症状に似ているように思える

微妙な感じになってから半年だか1年だったかで引越したわけだけど、引越した時に引越し屋さんに、「ちょっと○○さん大屋業もう無理かもですねえ」とか言っておいたけど、どうなったんだろうなぁ

(03:40)

_ 受け入れ保留アルゴリズム

http://www.c.u-tokyo.ac.jp/zenki/news/kyoumu/2016guidance_algorithm.pdf

一瞬これ止まるのかなと思ったけど、まあ普通に止まるのか。カップリングのバージョンは昔見たことがあるような気がした

(00:15)

_ ASLRがJSから破られたという話

うーん割と大事ふうに言われているような気がする(たまたま3個所から同じ話を聞いたので……単にたまたまかもしれない)正直どうでもいい話に見える、という意味で気に喰わないのでなんか書く。あと知ってると思いますがセキュリティに関してはド素人なので間違ってたらすまんす

英語: https://www.vusec.net/projects/anc/

日本語: http://pc.watch.impress.co.jp/docs/news/1044822.html

もう大元の ASLR についての説明からして気に喰わなくて、

Address space layout randomization or ASLR in short is
a first line of defense against attackers targeting Internet users.

ていきなりあって。あと FAQ の

I am a {processor, browser, OS} vendor. How can I protect my users against AnC?

も気に喰わないったらありゃしない。たぶん {processor, browser, OS} vendor は ASLR なんて無いものとして扱ってると(思う|信じたい)

さてマジメに元の話を考えると。要はユーザプロセスから見えるアドレスが kernel によってどう割りふられてるか…ていう、いわゆる ASLR が破られると言うのです。 chrome に一瞬かかわった僕の感覚で言うと、まあそんなもん普通に考えて当然破られてるわけです。 ASLR なんていうのは 32bit だったらなんだ 500 回もやれば特に賢いことしなくれも突破できて、 64bit だったら…たぶん 2^35 回とかやれば運よく突破できるんじゃないすかね、たぶん。いや 2^35 実際試せるかとか言われると知らんけど、 SHA1 は危ないなぜなら 80bit くらいしか…みたいな話に比べると、圧倒的に怖い数字であるように思う。

つーわけで、 ASLR なんかには頼らず、 ASLR が仮に破られてたとしても安全なシステムを作る、てのは完全に正しいアプローチだと思う。つうか実際 chrome の rendering process ていうやつは、 HTML だの JS だの、とにかくバグりやすい部品がユーザから供給されたデータを読む…て理由から、まあたいして悪いことのできない権限のプロセスとして動いてるわけである。

とかなんとか。とにかく ASLR を破ったとか今さら言われてもねえ……んなもんは破られる前提で5-10年くらい前から考えてるわけで。そもそも mitigation てのは気休めなんです。たしかに ASLR は気休め業界では最強ではあるが……宇宙人が攻めてきた地球で北朝鮮の驚異を語っている的な謎さがある

あとなんか ASLR なんかより rowhammer の方がはるかにやばいと思うでな。気が向いたら後で書く

(19:41)

_ モザンビーク

https://finolab.jp/interview/africa-mozambique-mobilebank-nbf/

ふえーすごい話すぎる。バイオ燃料ベンチャーがモザンビークにコンビニ作って電子マネー導入して銀行を作ろうとしてるという話

(21:48)