確か小学生の頃だっただろうか。 ペーパークラフトが好きな私の為に親が買ってくれた紙時計。
当時の自分には難しすぎたのか、焦りすぎたのか、作るのに失敗した。

今となってはいい思い出だと、気にも留めていなかったのだが
久しぶりに実家でその部品だと思われる残骸を見つけたとき
何故か、このままでは終われないという想いが沸き立った。

それから 3 ヶ月。

四方八方手を尽くして、やっと同じ製品を見つけることができた。
この商品は遥か昔に製造中止になっているので、もう次はない。
今度こそは絶対に仕上げてみせる。

……ゆっくり、慎重にやろっと。

新規契約なら、ね。

さくらインターネットは、既存の VPS 利用者に対して乗り換え優遇施策を発表した。
http://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=628

が、結論から言うと移行期間を十分に欲しい人以外には
特にメリットがないように見えるのだが。

■攻撃パスワード TOP 5

1. 123456
2. changeme
3. password
4. 1234
5. mixmixtalentat

言うまでもなくユーザーは root が狙われてるが
root ログイン狙いは全体の攻撃の 56% 程度。
最近は PermitRootLogin no も考慮してるのかも。

■攻撃国 TOP 5

総物理打鍵数: 3,110,842

被害キートップ 3 は Down, Up, Right で
それぞれ 14.7%, 7.9%, 6.5%。
Down キーは 4 ヶ月で 456,642 回しばかれたらしい。

コーディングはプラットフォームへの実行指示書の作成に過ぎない。
実際に実行するのはプラットフォームであることを忘れてはいけない。

プラットフォームに適切な指示を与えなければ
性能なんて出るわけがないのだ。

• 実際の実行時間を測定せずに遅いと決めるな
• 他の言語のプラクティスが通用するとは限らない
• 微細な最適化はコンパイラ/JIT コンパイラに任せた方が効率が良い
• 実装の力技で何とかする前に設計が悪くないか考えよ

FTP や SCP で Web サーバーのディレクトリにアップロードし
セットアップ用のURL をブラウザで開いて初期設定を行い
インストールを完了とするタイプのシステム全てに言えることだが
ディレクトリにアップロードした「直後」が一番危ないわけだ。

phpMyAdmin 系のパスへのアクセスが未だに多いのは
今も昔も良く使われている（もしくは脆弱？）という証拠なんだろな。

実は、自身の管理する Web サーバーは、予期しないアクセスがあった場合
アクセス元のリモートホストに 303 でリダイレクトするように設定している。

これは、主にロボット等で不正アクセスを行う者に対する
ちょっとしたいたずらなんだが、忘れていて自分が引っかかってしまったようだ。

正規の利用者にしかその URL を知る方法がないため 他者には「事実上アクセスできない」という事なんだろう。

ユーザー名やパスワードを知られるとダメなのは、まあ当然として Web システムの仕組み上 Cookie を盗まれたらダメ セッション ID を知られたらダメってのも、ある意味仕方ないと思う。

でも、URL を知られてはダメってのはちょっとねぇ。

出尽くした感は常に付きまとう。
実際、大半は既存のもので代用が効いてしまう。

でも既存のものから余計なものを削ぎ落として使うより
必要なものだけを選び抜き、新しく創造するほうが良い。
汎用的なものなんていらない。そう強く思う。

でも、結局中央集権型になるってのは負けたみたいで嫌だなぁ。
頑張って何か考えよう。