【IT企業の聖地シリコンバレー滞在1日目】Uberの便利さに驚き

 

シリコンバレーに到着しました。

サンフランシスコ空港から、airbnb(民泊アプリ)で予約した民泊まで車で40分

これは、Uberを使うしか無い。

Uberとは、自動車配車アプリです。

以下の手順で、送ってもらう事ができます。

1.アプリを開き、目的地を入力
2.乗客とドライバーのマッチング
3.ドライバーの車に乗る
4.目的地まで送ってもらう
5.ドライバーと乗客はお互いを評価し、レビューを記録

クレジットカード決済なので、お金のやり取りをしなくていいことが嬉しいですね。

日本では使う機会が無かったのでワクワク。

実際に使ってみました。

すぐに、ドライバーが向かっているとの通知が来ました。

そして、乗車場所に来てくださいとのアナウンス。

これは凄い、さて乗車場所に行こう。

しかし、乗車場所にたどり着けませんでした。

地図で場所は分かっているはずなのに着けない。

結果、キャンセルになり、キャンセル料として5$が徴収されました。(つら)

ドライバーの人には申し訳ない。

自力で行ける気がしなかったので、空港の人に聞いてみる。

「あぁ、Uberなら上の階に来るよ」

まさかの二階だった。

一階でも車が盛んに乗り降りされていたのですが、まさかの二階。

これは聞かなかったらずっとわからなかった気がする。

そうこうして、二階の発着場で、無事に乗れました。

Uberには車のナンバーが表示されるので、それを探して声をかけました。

そして無事家に到着!

ホストの人の家の説明が、早すぎてあまり聞き取れなかったけど、いい家だった。

明日は外に出てみようと思います。

Uber無料乗車券

上の招待リンクからUberに登録すると、

1500円まで無料乗車出来るので是非。

外国行く人は、アプリ自体は日本で入れておくほうが良いですよ。

外国行ってwifi使えなかったらアプリ入れられないので。

 

ブロックプログラミングより、テキストプログラミングをする理由

 

 

初中等教育におけるオブジェクト指向プログラミングの実践と評価 

上記論文に、うまくまとめてあったので紹介。

一方で、ブロックプログラミングの利点は、

タイピングミスによるエラーが出ないこと。

タイピングミスが多すぎて、

プログラミングが嫌になる人もいると思います。

タイピングミスを頻繁にしてしまう初学者には、

ブロックプログラミングがオススメです。

ただ最近は、プロ向け製品にもブロック形式が増えています。

例えば、ゲームエンジンのUnrealEngine。

今後主流になっていくことは確実ですね。

ではプログラミングは学ばなくて良いのか。

まだそこまでは行っていません。

ただ将来的にはそうなる可能性はあります。

 

【最新版】梅雨前線による豪雨の広島の被害状況まとめ。支援情報や対処、救援情報。

(最終更新:2018/07/08 8:00)

こんにちは、広島大学所属の北村拓也です。

大雨の影響で、広島に甚大な被害が出ています。

亡くなられた方には、お悔やみの申し上げようもございません。

ご冥福をお祈りします。

 

私の住んでいる広島大学付近は大丈夫でした。

ただ近場のスーパーやコンビニから、パンや水を中心に売り切れが続いています。


近くのスーパーで撮った写真

大学に続く道が土砂崩れで封鎖されているので、入荷されるか不明です。

友達からは、一階が浸水したとの連絡も受けました。

一刻も早く平穏な生活に戻れますこと、そしてみなさんの笑顔が戻れますことを心より願っております。

今どのような状況なのか、支援はどうやったら出来るのか、そのような情報をこちらにまとめていきます。

梅雨前線による豪雨被害NEWSまとめ

07/07東広島市安芸津町:生き埋め24時間超、「3人とも意識あり」に歓声 広島

07/08 8時 広島 東広島 三津大川が氾濫危険水位超える

大雨に警戒が必要な時間帯、雨雲の様子:記録的大雨 8日にかけて土砂災害に最大級の警戒

梅雨前線による豪雨被害への支援方法:支援者用

大雨による被害への支援も集まっています。

私も少ないながら支援させていただきました。

1.平成30年7月梅雨前線等による大雨被害緊急災害支援募金

Yahoo! ネット基金

寄付金の使いみちは、被災都道府県もしくは被災市町村への義援金を予定している、とのこと。
また、被災地の復旧活動、被災者の生活再建を目的とした支援活動にも使用させていただく場合がある、とのこと。

2.家入さんによる【2018年7月豪雨被害】緊急災害支援金

 

 

集まった支援金は、CAMPFIREプロジェクトを通じて、自治体への義援金や、支援団体への支援金(ピースウィンズ・ジャパン)として被災地に届けます、とのこと

 

梅雨前線による豪雨への対処法、役立つ情報:被害にあった方用

広島、岡山全域で無料WIFI、00000JAPAN(ファイブゼロジャパン)が使える

災害時に全てのキャリアで使用できる無料Wi-Fiです。

ただ、自分が住んでいる東広島の西条では、SSID(Wi-Fiに接続する時に出てくる名前)一覧に、00000JAPANが出てきませんでした。

 

TwitterやSNSを使う場合の救助要請の方法(電話が使えない状態)

 ツイッター社ではツイッターで救助要請をする際の注意点として、以下の項目を呼びかけている、とのこと。

・ハッシュタグ「#救助」を使う
・住所を明記したり、写真や動画をつけて、情報の「確からしさ」を説明する
・GPSの位置情報をつける
・救助後は「助かりました」などと投稿をするか、元のツイートを削除する

救助要請の方法(電話が使える状態)

119番や地域の対策室などに電話する。

救助要請をSNSで見た場合

  • 被災者と連絡をとって状況を確認する
  • 代理で電話で119や、地域の対策室に救助要請をする

※むやみにリツイートせずに、119番や地域の対策室などに連絡。

119番がつながらなかった場合の番号リスト

自衛隊岡山本部 086 226 0361
消防総務課 086-426-1191
警防課 086-426-1192
指令室 086-426-1193
予防課 086-426-1194
危険物保安課 086-426-1195

浸水に備えるための対策:排水路の確保・土のうの準備

家庭で役立つ防災(国土交通省)

上記、家庭で役立つ防災から、重要な情報を抜粋します。

浸水直前の対策:玄関からの浸水を防ぐ方法

浸水直前の対策:家財の被害を防ぐ方法

浸水直前の対策:下水の逆流を防ぐ方法

震災がつなぐ全国ネットワーク(震つな) 作成資料「水害にあったときに」のまとめ

BuzzFeedが公開しています。水害にあったときに、のまとめ。

こちらは、安全を確保した後の情報になりそうです。

浸水時は無理な避難をしないこと、川などに近づかないことが大切です。

梅雨前線による豪雨被害、地域別の広島の被害状況

Twitterを元に、地域別に広島の状況をお伝えします。

 

広島県三原市の被害状況

 

 

 

広島県東広島市(広島大学、広島国際大学)の被害状況

広島大学付近の情報

広島国際大学付近の情報

 

広島県広島市安佐北区の被害状況

 

 

愛媛

交通情報

 

【サイバーセキュリティ】ハッキング技術コンテスト(CTF)に初挑戦

オンラインハッキング技術コンテストとは何か

先週末に、オンラインハッキング技術コンテストの 2016 RC3 Fall CTF に参加しました

文字通り、ハッキング技術を競うコンテストで、CTFと呼ばれる競技の一つです

CTFでは、パケット分析、プロトコル解析、システム管理、プログラミング、暗号解読などの広範囲の知識や技能が試されます

主に攻防戦形式とクイズ形式の2つの形式があり、今回はクイズ形式でした

それぞれの内容はこんな感じです

攻防戦形式:サーバーを渡されて、自分のサーバーを守ったり、相手のサーバーを攻撃したりする

クイズ形式:運営のサーバーやファイルなどから隠されたFlag(文字列)を探す

2016 RC3 Fall CTF

参加経緯

ハッキングコンテストはチーム単位が基本らしく、自分も参加したかったので知り合いのチームに入れてもらった

皆優しくて、良いチームに入れたのは幸運でした

慣れるために参加してみようということで、直近のRC3 Fall CTF に参加

暗号解読担当が足りていないということで、暗号解読を担当することに

暗号解読分野はCryptoと呼ばれ、5問ありました

それぞれ、Crypto 100,200,300,400,500とあり、解けると数値分のポイントがGETできる仕組みです

結論から言うと、100と200を解くことが出来ました

あとは考えたけど分かりませんでした

400,500は解けている人ほとんど居なかったので、最初にしては上出来かも?

自分が解けた問題について紹介します

Crypto 100 Salad

問題文

“The fault, dear Brutus, is not in our stars, but in ourselves.” (I.ii.141) Julius Caesar in William Shakespeare’s Julius Caesar Cipher Text: 7sj-ighm-742q3w4t

海外のコンテストなので、問題は全部英語です

けど最近Google翻訳の精度がかなり上がったので、問題無しですね!

7sj-ighm-742q3w4t これを解読しろ、という問題です

チームの人が、タイトルがSaladだから、Caesar salad(シーザーサラダ)関係で、Caesar暗号だろう、と

本文にもCaesar Cipherとあるので、どうやらシーザー暗号らしい

シーザー暗号とは、各文字を辞書順に何文字分かシフトして暗号文を作る暗号です

例えば、Helloを1文字シフトさせると、Ifmmpとなります

7sj-ighm-742q3w4t つまり、この文字列を何文字かずらせば、答えが出来るということです

色々試していて、ふと思ったのが

これ数字は変わらなくない?ということ

文字をいくらシフトさせても、数字は数字のままです

ということは、普通のアルファベットだけのシーザー暗号ではなく、数字も入ってることになる

というわけで、abc~xyz0123456789という配列で文字を置き換えていくプログラムを書きました

すると、16文字ずらしたところで、RC3-2016-ROMANGODというFlagっぽい文字をGET

Crypto 200 calculus

問題文

I hope you like calculus.

Make sure to put “RC3-2016-” in front of your result.

calculus-200

上記の問題がGoogleDocumentとして公開されました

簡単な微分積分問題ということでひとまず計算

a,n^2,t^3,i^4,2d^5,e^6,r^7+r^5+r^3+r+1,v^8+v^7+v^4+v^2+9v

計算結果を見ても良く分からない

けどなんか階乗が増えていってるなーということで答えを並べてみることに

a
n n
t  t  t
i  i   i  i
2d d d d d
e   e  e  e e  e
r    r  r  r  r  r  r
v  v  v  v  v  v  v  v

右端を取ると、antidervに、antiderivative(不定積分)に似てるな、これFlagじゃないのか?

提出すると正解!

これは酷い問題とチーム内でも言われてましたが、数式が実は暗号になっているというのは面白いなと思いました

他にも色々な分野の問題がありました

Web, Forensics, Crypto, Pwning, Reversing, and Trivia

今回はCryptoしか解けませんでしたが、他のも面白そうなので今後挑戦出来るようになりたいです

ちなみにCrypto300は「niatwoem」という文字列までは出せて、そこでリタイア

実はそれをひっくり返したらFlagでした、残念

一時はチーム順位が27/600位まで行っていたので、かなり強いチームみたい

貢献出来るように勉強しよう

興味がある人は是非参加してみて下さい!

結構簡単な登録で参加出来ます

 

最後に、面白かったこと

15055735_333666153680395_8558480712600533600_n

なんとスコアボードがクラッキングされて、不正なスコアが登録されてました(ピンクの奴)

けどそのピンクチームの名前が「このスコアボードには脆弱性がある、運営はこれを見たらここにメールしなさい」
というカッコイイ内容だった(まぁ普通に運営にメールしたら良いのではとも思うけど)

セキュリティコンテスト運営していて脆弱性あるのは恥ずかしいですね。

しかし、今回の参加で多くのことを学ぶことが出来ました、運営&チームの皆さんに感謝!

HTMLのhiddenパラメータは危険?

導入

Html要素の中で、hiddenパラメータという画面には現れない属性があることはご存知でしょうか。

WEBサービスを実装したことのある人なら使ったことのある人も多いと思います。

今回はそのhiddenパラメータが、実は簡単に書き換え可能であるということを練習したいと思います。

1.一般的な会員登録フォームに記入

まずは一般的な会員フォームに必要事項を記入します

2_%e3%83%95%e3%82%a9%e3%83%bc%e3%83%a0%e3%81%ab%e6%9b%b8%e3%81%8d%e8%be%bc%e3%82%93%e3%81%9f%e3%82%99

確認ボタンを押すと以下のような画面になりました

3_form%e8%a8%98%e5%85%a5%e5%be%8c

では、この画面のソースコードを見てみましょう

4_form%e3%81%ae%e3%82%bd%e3%83%bc%e3%82%b9

画面に表示されている情報とは別に、hiddenで登録情報が保管されています

2.Fiddler4でネットワークをキャプチャし、登録情報を改竄しよう

登録ボタンを押す前に、HTTPトラフィックに特化したネットワークキャプチャーツールFiddlerを使って、
登録の通信を一時遮断します(MenuのRules->Automatic Breakpoints->Before Requests)

5_fiddler%e3%81%a6%e3%82%99%e8%a1%a8%e7%a4%ba

画面右を見てみると、hiddenに入っていた情報が書いてあります

6_%e6%9b%b8%e3%81%8d%e6%8f%9b%e3%81%88%e5%be%8c

内容を書き換えて、[Run to Completion]ボタンを押して変更したリクエストをWEBサーバに送信

すると……

7_hp%e3%81%8b%e3%82%99%e6%9b%b8%e3%81%8d%e6%8f%9b%e3%81%88%e3%82%89%e3%82%8c%e3%81%9f

登録情報が改竄(かいざん)されてしまいました

フォームをもう一度見てみましょう

2_%e3%83%95%e3%82%a9%e3%83%bc%e3%83%a0%e3%81%ab%e6%9b%b8%e3%81%8d%e8%be%bc%e3%82%93%e3%81%9f%e3%82%99

性別は男と女しか選べないようになっていますが、それすらも自由に書き換え可能ということがわかります

hiddenは危険?

hiddenパラメータを処理する部分に脆弱性があった場合、簡単に改変できることがわかりました

ではhiddenを使わないほうが良いかというと、そうでもありません

hiddenパラメータのメリット

hiddenパラメータのメリットは、利用者自身からは書き換えできるものの、情報漏洩や第三者からの書き換えに関しては堅牢だということです

hiddenパラメータのデメリット

利用者自身によって書き換え可能なため、利用者によって書き換えられては困る認証や認可に関する情報はhiddenを使わずにセッション変数に保存するべきです

また、今回はネットワークキャプチャソフトを用いましたが、実はブラウザに導入されている開発者用ツールでも、簡単にhtmlは書き換えが可能です
webアプリを作る際には覚えておくとデバックが捗ると思います

参考書籍

洗脳的教育から解放し、すべてのヒトが人生目標に挑戦できる世界を作りたい

ツールバーへスキップ