ぽ、ぽきた……
これも早起きの一種ってことで何卒……
らりお・ザ・何らかの🈗然㊌ソムリエ(@lo48576@mastodon.cardina1.red)の投稿 
このアカウントは、notestockで公開設定になっていません。
パーサとか書くときはネストの深さを数えたりしないと、開括弧を連打するだけでスタックオーバーフローさせてクラッシュとかできちゃうから……
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
Password Maximum Length Error message shows wrong length · Issue #87 · bitwarden/server · GitHub
https://github.com/bitwarden/server/issues/87
これ最初は「そんなクソ長いパスワードを使う現実的な例があるかよ」みたいな雰囲気だったのが、 PGP の鍵を突っ込んでるとか k8s のトークンがクソ長いとかの話が出てきて結局対処することになっており、セキュリティ文脈で根拠なくジョーシキを想定をするのは危険なんだなぁと改めて思った
このイスューそのものは単なるエラーメッセージの問題だったので現実的なリスクではなかったかもしれないけど、これが「そんなクソ長いパスワード使うやついねーだろ (だから暗黙にサーバサイドで truncate します)」とかだったらヤバかったわけで。
データを弄るなら絶対に暗黙にしてはいけない、それからサーバとクライアント両方で検査しないといけない
そういえば直近24時間で水と歯磨き粉しか口にしていなかったらしい
このアカウントは、notestockで公開設定になっていません。
この白い告知帯、魔神任務やってたら突然現れて、初めて見たものだからテキストが右から流れてくるまでは描画バグでも踏んだのかとばかり #原神
https://twitter.com/t_nihonmatsu/status/1691470927719235584
パスワードを unsalted MD5 とかいうクソザコハッシュで保存しているらしい “オタク向け” の舐め腐ったサービスが盛大にお漏らししたらしい……
こういうのは氷山の一角で世の中にはパスワードをハッシュ化すらしてないサービスも漏洩に最後まで気付かないサービスも山ほどあるのだろうと思うと、本当にユーザの自衛は大事
まずパスワードの使いまわしとかいう擁護しようのない愚行をやめろ、「夜の住宅街で無灯火チャリ爆走させてたら人轢いた」くらいバカだぞ (まあ現実に住宅街無灯火爆走チャリは多数いるんだが……)
このアカウントは、notestockで公開設定になっていません。
まあ一般市民が E2E を当たり前とするほど意識高くなるとは信じられないので、どこかに SPoF 的なものは置かざるを得ないだろうけど、それもある種の自業自得なので頑張ってねとしか
べつに手元に置いたところでトロイの木馬含めマルウェアとの戦いが待っているわけで、安寧の地なんてどこにもないが……
まあ原則として「ここまでやったから安心」というメンタルそのものがある種の脆弱性なので、安心することをやめろという……
終わらない戦いであることを受け入れたうえで、どこまで効果的に省力化した防衛ができるか、という話
人生だって同じよな。「このくらい運動すれば残りの人生1秒も運動せず健康にいられる!」とか宣うアホは見たことがないし「このサプリを接種しておけばあとは栄養を気にせず一生好きなもの食えます!」を信じる間抜けもほとんどいないはず。
ところが、これがセキュリティになるとなぜか「この対策をしておけば残りの人生何もしなくても安全です!」を信じてしまうんだなぁ。何故なのか
そういえば、ファイルの重複を検出する用途とかにも、セキュリティ的に弱いハッシュ関数って使っちゃ駄目なのか謎><
(外に出さない自分用アプリでそういう用途にはMD5とサイズの組み合わせ使ったりしてる><(なんか計算が軽いのかなって><;))
べつに使ってもいいけど、それは信頼できないデータを食わない前提での話。意図してハッシュ衝突を起こすことで「大事なデータと同じであると誤認させるゴミデータを注入されて、ハッシュが衝突したせいで大事な方が消えた」とかのリスクを考慮するなら衝突耐性の弱いハッシュ関数は避けるのが良い
まあ普通は、ハッシュと各種日時とデータサイズが一致したくらいで自動削除はしないと思うが……とはいえ重複が沢山あると人間のほうがちゃんと確認できなくなるから「自動ではないから問題なし!」とはいかないのが現実
md5 だけなら、化石システムの更改を怠ったのかな……くらいの感想だけど、 unsalted という辺りでセキュリティ何もわかってない素人がググって Qiita とか見ながらコピペで作ったシステム感が出てくるので擁護の余地 ZERO になる
Qiita と SO 見てる素人でももうちょっとマシな作り方すると思うけど……
まあ md5 に salt 付けたところで実効性は如何ほど? というアレもあるので焼け石に水かもわからんがw
標的型の攻撃に耐えられないとしても遅滞戦闘としてのコスパはこれ以上ないので、 salted にしない理由はない
ハッシュ関数、並列計算で高速化可能だと GPU とか使って猛烈な勢いで攻撃されてしまうので、近年は並列化耐性とかいろいろ要件が増えているという話
でも結局計算早いほうが嬉しいからストレッチングとかで引き伸ばす方向になってるのか? 近年の事情はわからん
ECB モードやめろみたいなのもそうだけど、ハッシュ関数は高速でいいから利用側で工夫しろみたいなのが最近の定石なのかな (知らんので適当言ってる)
言うて ECB やめろとか何十年前から言われてるよという話はある
暗号まわりなぁ、ぼちぼち知識をアップデートしたいが SHA-2 が強すぎてモッダーンなハッシュ関数をオタクしか使っていないとか、 RSA-{2048,4096} が強すぎて EdDSA/ECDSA の普及が遅いとかいろいろ市井が追いついてない雰囲気も感じており
EdDSA が使われてるの、 SSH の鍵対とオタクの PGP 鍵くらいでしょw
規格としては TLS も ed25519 使えそうな話は見たけど、で、誰が使ってます? という……
Argon2 とか BLAKE2 とかオタクが関心を寄せているのは見るけど、実際どのくらい使われているものやら
argon2 - Why does the GPU get a comparatively bigger advantage to the CPU when using higher parallelism in Argon2id? - Cryptography Stack Exchange https://crypto.stackexchange.com/questions/90036/why-does-the-gpu-get-a-comparatively-bigger-advantage-to-the-cpu-when-using-high
> The reason memory-hard KDFs use a large amount of memory is not to slow down computations by making memory bus bandwidth a bottleneck, but to make the computations impossible to perform on hardware that doesn't have sufficient memory.
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
男女比といえば、男保育士色眼鏡で見られがち問題とかは近年どうなっているのだろう
まあ概念の名前が過激派に専有されていく (あるいは穏健派が離れていく) のは世の常なので、そこは定義次第かなという感じがある
「もともとの正当な理念はこうだった!」というのも一理あるにはあるけど、それは戦いや防衛にはあまり役に立たないことが多いというか、実情と名目は離れてしまっているというか……
「過激派と一緒だと思われたくない」みたいな心理が働いて穏健派が離脱していくと残された人々はどんどん過激になるし、あとはそもそも言葉が過激派へのレッテルに変貌したらもう自分から名乗りたいものではなくなってしまうし
真面目に正確に論ずるつもりがあるなら言葉の定義から始めましょうという話やね。
あとは短文 SNS でそれは無理があるだろというのも……
主観とかいうやつ、えてして合理性への抵抗として雑に使われてしまうので勘弁してほしさはある。論理的に正しいことと主観的であることは両立するだろ
公理系のすり合わせをサボって「間違いかどうかは人それぞれ!」って、片腹痛いわとなる
リベラル云々も、オレンジは、カテゴリ上リベラルだと自分で思ってるけど、アメリカ西海岸北部系のリベラルに近いと思ってるんであって、日本でリベラルを自称してる人々とは考えがわりと思いっきり違う事が多いので、
「リベラルは!」みたいに日本で言われる批判的な話だとわりと「オレンジは違うのにまとめて言われてる気がする><;」ってなる事多い><
逆に(?)アメリカの現地報道とかの話題での「リベラルは」みたいなのは、全部じゃないけど「まあうん><」ってそれなりになる><
こういうことがあるので、 “hoge” とか †hoge† とかいろいろな装飾によって contextual で注釈付きの名前あるいはレッテルなのだということを明示しようとするが、もちろん伝わるとは限らないわけでまあまあ難しい
このアカウントは、notestockで公開設定になっていません。
なんというか、前提条件セットの違いと推論規則の違いを混同して区別できない人が多いという感じがして、どうしたものかという
「人間は死ぬ、ソクラテスは人間、だからソクラテスは死ぬ」に対して「ソクラテスが人間だとは限らないから死ぬとは限らないだろ」は理解できるけど、「その理屈はお前にとっては正しいのかもしれないが、真の客観性なんてものはない。俺はソクラテスは不死であると確信している」は意味がわからん。前提を否定するか論法を否定するかしろよ……
インターネッツまじでこのレベルのアホな言説に満ち溢れているので、有象無象を相手にするのって本当に命の無駄使いなんだなと思った
結局「お前の言うことは聞かない。バ〜リアww」ってやりたいだけで、そのために都合よく客観性とか論理を否定できるらしいと聞いたおまじないを唱えてるだけなんでしょと
「論理と感情」みたいなクソ雑な二項対立とかも、目にするたびそもそも本当に二項対立になっているのか考えたことないんか??? という気持ちがムクムクと
このアカウントは、notestockで公開設定になっていません。
あああああああああああああああああああああああああああああああ!!!! !!!!!!!(ブリブリブリブリュリュリュリュリュリュ!!!!!!ブツチチブブブチチチチブリリイリブブブブゥゥゥゥッッッ!!!!!!! )
じゃん
まあ前提のすり合わせのコストがデカいし場合によってはイデオロギーに踏み込むことになるのでダルいというのもわかるんですけどね、それならそれですり合わせをサボった部分に何かあるのかもなと思ってほしいんですよね。論理は絶対じゃないとかほざくのではなく。
論理というシステムそのものを論じられるステージにいないだろという
「事実」と「事実の記述」と「事実の主張」の区別とかも……
「何らかの事実を私が観測したと私が信じているという主張」を否定するとき「真実は人それぞれ」とかでそれ以上踏み込まないの、「バーリアwww お前の主張は聞きませーんwww」以外の何物でもないし、もっと言葉と論理に誠実に向き合ってほしい
主張そのものに何らかの意図による嘘があるのか、信じているという部分に意識状態や精神的なものによる誤認があるのか、観測したという部分で感覚器官の誤作動による誤認があるのか、あるいは何らかの事実という部分に先入観や偏見による感覚の誤解釈があるのか……そういういろいろ突っ込めるポイントが沢山あるはずなのに、そこを見なかったフリしてるのか本当に見えていないのか、「真実は人の数だけあるので “事実” が本当だったかは人それぞれ」みたいな滅茶苦茶なことを真顔で言ってしまうのよ
単なる対話拒否以外の何物でもないじゃん。
いやもちろんどうでもいい相手に向き合う義理はないので対話したくないならしたくないでいいんだが、それならそれで真実は人それぞれ(ヘラヘラ)みたいなスタイリッシュ曖昧模糊で不誠実に振る舞わず対話する気ありませんと言えよという
プレデターは強そうでよくないから「ブロンズジャーナル」と呼ぼう (そういうことではない)
このアカウントは、notestockで公開設定になっていません。
全部相対化してみたうえでそれでも自分が良いと思うコア価値観を選択する、それがイデオロギーってやつなんでしょうね
優れた指導者による独裁国家に生まれてそれなりに幸福に生きる人生もあったかもしれないし、そういう人々にとって西側諸国は政治的混乱をインストールしようとしてくる脅威かもしれないけど、その視点や可能性を理解してなお民主主義を支持すると決めた、それが価値観ってやつで
ハゲタカ、種類の名前ではなく腐肉食の猛禽類を指す言葉なので比喩表現を抜きにしてもそれ自体が人々からの印象が悪い by definitionになっている
Hi-NRG - Wikipedia
https://ja.wikipedia.org/wiki/Hi-NRG
そういうものもあるのか
> 日本や一部のヨーロッパの国ではユーロビートという用語が使用されるようになったが、アメリカではその後も「ハイ・エナジー」という用語が使用され続けた。
このアカウントは、notestockで公開設定になっていません。
宗教を見ていると価値観の外注ってめちゃくちゃ効率良いのだろうなというのはわかる。真似したいかは全く別の話だけど
まあ下手に自分で考えてしょーもない陰謀論にハマるくらいなら……という感じがするけど、それだって結局外注して大した検証もしないなら「遭遇して初手で相性が良さそうだった価値観セットが本当にマトモかどうかガチャ」でしかないし、結局他人任せにするだけなら内容が何であれ本質的な差はそんなにないじゃんという感じもする。
自分で深く考えてドツボに嵌った陰謀論者ととことん流されてドツボに嵌った陰謀論者のどちらがマシかは私にはわからないけど。下手の考え休むに似たりってやつかな。
結局のところ最初の段階として自覚するかどうかの線引きがあって、離脱を選ぶか貢献を選ぶかはその先の話なんだよな
このアカウントは、notestockで公開設定になっていません。
それこそ何百年とか何千年かけて粗探しされてるんだから、強度があって当然なんだよな……
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
レイヤーの数の違いの非対称性みたいなのはある。政治的に無関心であることはそれ以上の情報を持っていないことが多いが関心がある場合はその対象や方向性が分岐しやすいとか、不可知論や無神論に比べて神を信仰することはその対象や方向性で多様性があるとか
だから何なのかというと、レイヤーの数や多様性の比較をもって概念の議論の強度の指標とするのは適切でない場合が結構ありそうだなという話
「hogehoge の影響を一切受けたくない」みたいな潔癖症は、まあなんというかある種の逆張りというか天邪鬼みたいなものよね
べつに反面教師にしたっていいじゃんという。もちろん反面教師行動を利用して都合よく誘導されるリスクもあるから、そこは注意しましょうというか定期的に自分を観察しましょうという話にはなるんだけど
「hoge に (反面教師としてさえ) 価値を与えたくない」という攻撃的な意思からそういう潔癖逆張りが発生するのかなと思うけど、構ってあげる価値がないものにリソースを消費するのは無駄なのでもっと内向的になった方がいい
気候の話をして日本にいないことがバレた回があったので普段は気候の話をしないようにしているんですが、流石に暑い
BLAKE2b は Gentoo Linux のパッケージマネージャであるところの Portage でチェックサムに使われている
BLAKE2b 以外のアルゴリズムも同時に使われている
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
強衝突耐性を破る具体的なアルゴリズムを知らないけど、 prefix を指定できたりするのかね (それだとあまりに悪用しやすいから可能だとしても PoC として具体的に提示はしないか……)
弱衝突耐性ではないけど、なんか SHA だか MD5 だかを破りつつ PDF として妥当なファイルを……みたいなのがあったような。あれはべつにデータ全体をどうにかしてるわけではなく自由記述部分を弄って誤魔化してるんだっけ?
日常においてはサスペンド中に勝手にアップデートされる場合が多いので回線の遅さが気になることは滅多にない
タイミングの問題で稀にアップデートされていないことがあったり、大作を買ってすぐ遊びたくなることはあり、そのときは今か今かと待ち侘びることに……
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
まあ近年の CPU は暗号化とかハッシュ化とかに特化した高速な命令を持っていたり、 SIMD による計算の高速化がしやすかったりとか、一部アルゴリズムのコストは爆下がりしているからね……
知識がないならとりあえず雑に bcrypt とか scrypt とか使っとけという話なんだけど、知識がないから bcrypt に辿りつけないんだよな……
このアカウントは、notestockで公開設定になっていません。
パスワードリスト攻撃、まず登録時にパスワードの最少文字数を64文字、連続した文字 (aaaaa...., qwerty..., abcdefg...) 禁止、とかにして情弱を蹴落す作戦でどうか (世の中それが認められることは少なく……)
エントロピーが一定以下のものを弾きたい気持ちは結構あるね (それはそれで「基準が不透明だ!(プンスコ)」みたいな苦情が発生するのだろうけど)
Remove my password from lists so hackers won't be able to hack me by assafnativ · Pull Request #155 · danielmiessler/SecLists
https://github.com/danielmiessler/SecLists/pull/155
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
古のUNIXにはパスワードの文字数に制限があったんだよね。どうしてだっけかな…
8 文字を超えるパスワードおよび Loadable Password Algorithm - IBM Documentation https://www.ibm.com/docs/ja/aix/7.2?topic=passwords-support-more-than-8-characters-loadable-password-algorithm
https://mastodon.cardina1.red/@lo48576/110884895426548140
ついこのまえ読んだコレじゃんwww
https://max.levch.in/post/724289457144070144/shamir-secret-sharing-its-3am-paul-the-head-of
> the manual pages were identical, except Solaris had a “special feature”: any passphrase entered that was longer than 8 characters long was automatically reduced to that length anyway. (Who needs long passwords, amiright?!)
パスワードみたいなのはともかく、復元可能な secret credential を保存しなきゃいけない場合って何で暗号化かけたりするのがいいんだろう
tooling の視点で言うなら、とりあえず GnuPG で暗号化するのが鉄板よね
Pass: The Standard Unix Password Manager
https://www.passwordstore.org/
CLI パスフレーズマネージャであるところの password-store とかも GPG でやってるっぽい
https://mastodon.cardina1.red/@lo48576/110896830102881635
ちなみにこれはまさにその機微情報を暗号化して保存したら大惨事になりかけた話で、めちゃくちゃ面白いので未読なら是非読んで
設定とかならまだしも、 DB に多数保存する系のものは encryption at rest 程度で諦めて、あとは認証・認可とかネットワーク隔離とかをしっかりやるくらいになるんじゃないですかね (知らんので適当)
SimpleLogin が送信もできる (ここ重要!) エイリアスを簡単に作れるのでこの用途で使い勝手が良くて、まあまあおすすめ
おすすめできないポイントとしては、 Proton Mail のサーバは「スパムが多い」との理由で拒絶していたり discard しやがるサーバが稀にあるっぽくて、そこだけはたまに面倒。
でも百数十のサービスのうちそういう問題が発覚したのは2つだけだし (ひとつはアカウントのアドレス変更が「不正なメールアドレス」として拒否された、もうひとつはオプトアウト式メルマガ購読解除の空メールが無視された)、レートとしては概ね問題ない (問題があってから個別で対処しても困らないくらい) かなと
でもcustom domainでエイリアス作るとめっちゃ身元辿られそうなので、どっかの企業がやってることに意味がある
その場合は尚更 SimpleLogin は目的に適している、複数の共用ドメインでエイリアスを作ることもできるので (そのドメインが web サービスで拒否されないとは言ってない)
iCloudのやつは全世界的に受け入れざるを得ない規模で普及している @icloud.com で disposable address が作れるのがいいんですよね
gmail なんかまあまあ迷惑メール発射してくるのに結局もう誰もドメイン単位で拒否できないし、数は力よな……
大昔は迷惑メールフィルタを強くしたらフリーメールは届かないとかの時代だったのに (老人)
名寄せの方は結局諦めた、どうせ個別にアドレス作っていても情報が漏洩してしまえばアドレス以外の部分から名寄せされるケースが多そうなので (通販は言わずもがなだが、それ以外にもいろいろ)
disposable address 専門、例えば m.kuku.lu のドメインはちゃんとしたところだとだいたい弾かれる
C Logo is a Lie - YouTube
https://www.youtube.com/watch?v=wzU9VatPIUU
これすきだし、
> That's what the compiler does. Takes c file and turns it into o file.
このコメントもめちゃくちゃ笑える
カスタムドメインのメールアドレスは怖い件です。SPoFが増えそうに見えちゃう。
https://medium.com/@N/how-i-lost-my-50-000-twitter-username-24eb09e026dd
SPoF については警戒していたので、最近レジストラとメールサービスを2組 (ドメインとメールサーバでいえば3組) 用意した
どの場所が駄目になっても DNS やエイリアスサービスの切り替え等によって無事な方にフォールバックさせられるようにしてある
銀行口座は既に複数持っているので、あとはクレカを多重化すれば完璧
現状だと定期決済はひとつのカードにまとめてあって、日常においては便利だが何かあったとき多少の不便がある (たとえば実際にあった例としては、カード番号がどこかの店から漏洩して交換対応になったりなど)
このアカウントは、notestockで公開設定になっていません。
PS5 それできない気がする…… (少なくとも方法がわからない)
gmail の + みたいなやつ自前メールサーバでもできるんだけど、機械的に消すのが簡単すぎて予測困難性とスパム阻止 (あるいは漏洩元特定) にはほとんど全く貢献しないので、それもあって SimpleLogin をわざわざ契約することにしたという事情がある
+ とかでローカルなエイリアスを作ったり catch-all で受け取り専用にするだけなら既に運用歴のある自前サーバで十分だったんだけど、送信を (アカウントをわざわざ作らず簡単に) 好きなエイリアスからできるようにするというところの要件が満たせなかったので
ろうそく立てから“火が飛ぶ”…火災原因を10年かけて解明 停電で利用の際も注意を(テレビ朝日系(ANN)) - Yahoo!ニュース
https://news.yahoo.co.jp/articles/6f3dc588ce2d21008ce20a60a59251230c3b343d
こんな生き物みたいな飛ぶんだ…
skebもfantiaもパスワード見直せよって言ってきたけど、わざわざ他社の名前とサービス名まで出して注意喚起してるんだな。普段、あちこちで漏れててもあんまり名指しで案内されることない気がするけど。
ユーザ層が猛烈に被っているというのと、 Twitter 連携でしょうね
原神の潜水時操作、キーボードだと下移動に左Ctrlが割り当てられてるのか。自分はコントローラー派なのでキーボード操作が全くやれないんだけどさ。
標準的な crouch 仕草だ (Shift と混同してめちゃくちゃになりがちなので苦手)
このアカウントは、notestockで公開設定になっていません。
「X Pro」(旧TweetDeck)が有料化、サブスクサービスへの登録が必須に https://k-tai.watch.impress.co.jp/docs/news/1524093.html
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
このアカウントは、notestockで公開設定になっていません。
空き家でキノコ栽培なら・・・。
「きくらげ栽培」で空き家問題を解決へ 南浦和のタクシー会社の挑戦:ひとまち結び
https://project.nikkeibp.co.jp/hitomachi/atcl/study/00133/
適当な空き家、効率的な温湿度管理に向いていると思えないとかエアフロー管理も難しそうとかいろいろ怪しさがある。まあカネかければどうにかなる範疇ではあるのかもわからんが
植物はそれ自体が熱源にならないから保温の方向性でいけるのか (光源は熱源だろうけど)。データセンターは主目的の機器自体が強めの熱源だから常に冷却を考える必要があって大変そう
「お客様に設定いただきました数字4桁の暗証番号は、 SHA-512 でハッシュ化して保管しておりますのでご安心ください」
水中、元素スキルとか使えるわけでもないしキャラの差はないかも?あ、フォンテーヌのキャラの特殊仕様はなんかあったかも。
水中、せっかく回復キャラをパーティーに入れてるのに元素スキル発動できないから魚探すか飯食うしかなくて、原始人生活……となっている #原神
指キー2本勢だけど、そろそろ違うベンダーの3本目がほしいなとなっている (Nitrokey は有力)
