「鏡花と能楽」 後期展

「鏡花と能楽」 金沢能楽美術館
泉鏡花記念館と金沢能楽美術館で開催中の「鏡花と能楽」ですが、昨日より後期展が始まったので、両館見てきました。後期展では「照葉狂言」と金谷御殿を中心に展示されていました。

すべてのWEBサイトがSSL化される時代は近い?

ベリサインと契約している会社に不定期に送信されてくる「VeriSign Letter」、その7月号に気になることが書かれていました。


Googleのhttps化がおよぼす影響とは?
ウェブサイト運営者の多くはアクセスログ解析ツールを使って訪問者がどのサイトから来るのか、どんなキーワードで検索してくるのかを日々確認されていると思います。そこで本日はGoogle社が新しく開始したSSL暗号化対応の検索サイトの登場によって、これまでのログ解析結果にどのような影響が出てくるのか少し触れてみたいと思います。
5月21日よりGoogle社はエンドユーザのプライバシーを保護するため、SSL暗号化対応のベータ版検索サービスを立ち上げました。エンドユーザの検索キーワードと検索結果はSSL暗号化によって通信経路上の第三者から守られます。その一方で、非SSL(URLがhttp://から始まる)のサイト運営者には、このサイトからの訪問者がどこから来たのか、どんなキーワードを検索したのかが分からなくなってしまい、ウェブマーケティング活動に支障をきたす恐れがあります。
通常Internet ExplorerやFirefoxなどのブラウザは、サイト訪問者が直前に訪問していたURLをリファラと呼ばれる情報としてウェブサーバに送信します。ところが直前のURLがhttpsから始まるSSLサイトの場合、非SSLサイトへ遷移してもリファラを送信しない仕様となっています。これはブラウザのセキュリティ仕様による動作です。例えばプログラムが稼動しているサイト上ではURLにセッションIDなどプライバシー情報につながりやすいパラメータを含むことがしばしばあります。そのような場合でも、前出の仕様によってSSL暗号化されたサイトのセッションIDなどが通信経路上の第三者に渡ってしまう事を防げます。
しかし、サイト運営者にとってリファラはSEOやレコメンド機能などウェブマーケティング活動の重要な基礎データとなります。そこでこれまで通りリファラを取得するためにはサイト全体をSSL化するがひとつの解決手段となります。
Google社のSSL検索サイトの利用者の数はまだまだ多いわけではないと思いますので対応を急ぐ必要はなさそうですがプライバシー意識の高まりによって今後SSLがどのように利用されてゆくようになるのか、気に留めてみるのも良いかもしれません。
–>> Google社のSSL検索サイトを試してみる
   http://vmail.verisign.co.jp/c?c=9229&m=37718&v=a8328336


SSL証明書購入しないといけないのか?お金かかるな。
というぐらいにしか思わないかもしれませんが、SSL導入するときは、
・SSL証明書をドメイン1つにつき、1つ購入する
・ドメイン1つにつき、1つのグローバルIPアドレスを取得する
という2つの難関を突破しないといけません。
マルチドメイン対応のSSL証明書があるではないか?
と思う方もいると思いますが、マルチドメイン対応証明書は携帯電話には対応しません。今時、モバイル対応できない証明書に意味があるとは思えません。
もっと深刻なのは、グローパルIPの問題です。現在IPv4のIPアドレス枯渇問題が間近に迫る中で、すべてのWEBサイトにグローバルIPアドレスを準備することは到底無理です。
この問題に対応しないデメリットは・・・
リファラが取得できないことにより、アクセス解析ができなくなることです。Google Analyticsではサイトに来た経緯として。「検索エンジン」があり、さらにどのような「キーワード」で検索されて訪問したのかが分かります。
しかし、SSL対応のGoogleから来たユーザーは「https」から「http」にリファラ情報を引き継げないことにより、直接訪れたユーザーのように見えるということです。検索された「キーワード」もわからないので、どうページを変更していくか方針が立てづらくなります。
そもそもGoogleの意図はどこにあるのか?
建前は「エンドユーザのプライバシーを保護するため」となっていますが、途中で解読できなくなるため「自社検索サイトで入力された単語も含めた情報の独占」なのか、それとも自社広告を介しての「Google CAの販売」なのか、後者は話が飛躍しすぎですが、かなり影響は大きいでしょうね。
いずれにしてもプライバシー保護の流れは止まらないでしょうから、近い将来すべてのWEBサイトはSSL化することになりそう!?です。
それともうひとつ、


携帯電話でSSL通信ができないと何が起こるのか?
~ケータイSSL接続検証サービスを開始しました~

携帯電話端末からインターネットアクセスをする際に、SSLで通信を暗号化する場面は多々あります。しかし、携帯電話端末に組み込まれた“ルート証明書”によってはSSLサーバ証明書との暗号化通信ができず、携帯電話端末の画面にエラーが表示されます。エラーの内容は各携帯電話端末の通信方式や機種によって異なり、接続を終了してしまう機種もあります。また、SSLサーバ証明書や中間証明書のサーバ設定を間違った場合にもエラーが表示されます。
弊社では各種携帯電話端末からお客様指定の携帯電話向けサイトにアクセスをして、SSL暗号化通信が正しく行えることを検証するサービスを開始しました。接続検証に関しては、多数の携帯電話端末機種を保有する必要があり検証を正確に実施するための専門的な知識が必要になります。携帯電話向けサイトオープン前の実機検証、お客様からの問い合わせに即時回答するために対応機種を特定しておきたいなどのニーズに応えるサービスです。詳しは以下をご覧ください。
–>> 日本ベリサインの「ケータイSSL接続検証サービス」の詳細はこちら
   http://vmail.verisign.co.jp/c?c=9230&m=37718&v=c6af2618


なんかおかしな気分です。証明書の携帯端末への対応度調査は日本ベリサイン社自身が実施して発表するべき作業です。
自社サイトの証明書がベリサインであれば、サイトのコンテンツにより証明書が影響を受けるわけではないでしょう。
と思っていたら、ベリサイン以外のSSL証明書を使用していても申し込みはできようです。ということは、結果が悪いから自分ところの証明書に替えましょう!と営業かけられるためにお金払う人はいるでしょうか?

SSL証明書 ベリサインの2048bitへの移行日が決まりました

日本のSSL証明書として最も影響のある、日本ベリサイン社の公開鍵長2048bitへの仕様変更日が決まりました。
2010年10月11日(月)
祝日を選んだのは企業の移行に一番支障を来たさないようにという配慮でしょうが、思っていたよりも早いですね。営業情報としては少し前に10月の早い時期という話は聞いていましたが・・・
ベリサイン サーバIDおよびコードサイニング証明書製品における公開鍵長などの仕様変更について(続報)https://www.verisign.co.jp/ssl/about/20100128b.html
それにしても、今回気になるのは、
「5. 旧来仕様のサーバIDの発行継続について」
の内容についてです。
「米国NISTでは1024bit RSAの公開鍵暗号方式の利用を、一定の条件下において2013年末までこれを延長して利用を認めるガイドラインのドラフトを発表しており、現時点では(2010年7月15日時点)パブリックコメントが受け付けられております。この結果が反映された新しいガイドラインは、近い将来に発表される見込みです(詳細時期は現時点では未定)。
弊社では引続き、お客様のセキュリティへのご要望にお応えするために、2048bitRSAへの移行を、上記の通り進めさせていただきますが、同時に、上記のNISTガイドラインのアップデートを踏まえ、「1024bitRSAのCSRの受付期間の延長」および「旧来仕様のサーバIDの受付・発行期間」を延長し、お客様のセキュリティポリシーおよびニーズによっていずれかを選択いただける様にすることを検討しております。」
どういうこと!?でしょうか。
今までは2048bitに完全移行するようなアナウンスでしたが、従来の1024bitも選択できるように検討中に変更されています。ということは、結局しばらくは両方購入できるということのようです。
サイバートラスト社はこの件について、話し合いで1024bitの延長をしたいようなアナウンスを流していますが、ベリサイン社も近い話になってきました。
日本で最も早く2048bitへ仕様変更を表明していたジオトラスト社(販売は日本ベリサイン社)は先週21日と予告された切替日が23日に直前に変更されました。
http://www.geotrust.co.jp/news/2010/20100129.html
今日確認して更新されていないところを見ると、完全に2048bitへ切替が終了したようです。

夏期特別展「トキ舞う空へ」 石川県立歴史博物館

暑い日が続きますね。今日は博物館めぐりをしてきました。
「軽井沢の日々」 室生犀星記念館
始めは室生犀星記念館で開催中の「軽井沢の日々」です。犀星の第二の故郷であり、夏の避暑地として別荘を建てた軽井沢に関係する作品や遺品が展示されています。
夏期特別展「トキ舞う空へ」 石川県立歴史博物館
続いて石川県立歴史博物館で開催中の「トキ舞う空へ 鳥と人の文化史」です。石川県は本州最後のトキの生息地であり、現在分散飼育地として8羽のヒナが誕生しています。
トキの剥製や資料だけではなく、藩政期の鷹狩りの資料などが展示されていました。鷹狩りには「ハヤブサ」や「オオタカ」が使用されていたそうですが、最上級の獲物が「ツル」だったそうです。獲物にはランクがあり、筆頭の「ツル」から雁、鴨となっていたそうです。
剥製もいくつか展示されており、「クマタカ」や「イヌワシ」の大きさには圧倒されますね。
「前田土佐守家の子女たち」 前田土佐守家資料館
次に前田土佐守家資料館で「前田土佐守家の子女たち」を見ました。今はⅠ期「子女たちのつとめ」が始まったばかりです。藩政期の子女たちの役目は第一に家の存続でした。
「蓮田修吾郎の生涯」 金沢ふるさと偉人館
次に金沢ふるさと偉人館で開催中の「蓮田修吾郎の生涯」を見てきました。蓮田修吾郎氏は金沢市野田町生まれの金属造形の第一人者らしいです。「金属造形」という聞きなれない言葉ですが、県内には金沢駅西口や北國新聞ビル前などになるステンレス製のモニュメントなどが代表作です。
石川県立博物館前の金属造形
石川県立博物館前の広場にあるこのモニュメントも蓮田氏の代表作だそうです。普段よく目にするものだったんですね。
「大樋長左衛門展」 中村記念美術館
次に中村記念美術館で「大樋長左衛門展」を見ました。今年10代大樋長左衛門氏から同館に自作の茶碗34点を寄贈したことを記念して開催されている特別展です。同館所蔵の作品と借用作品を合わせて60点の作品を一堂に展示しています。
中でも黒の茶碗が魅力的で、「内不二絵黒茶碗」という黒の茶碗の内側に富士山が浮かび上がっているような作品でした。
「鏡花と能楽」 金沢能楽美術館
最後に金沢能楽美術館で「鏡花と能楽」を見ました。先日見た泉鏡花記念館が第一会場で、こちら能楽美術館が第二会場となっています。鏡花が生きた時代の能楽の状況を紹介するような内容で、金沢城二の丸や金谷御殿の絵図(能舞台が描かれている)も展示されていました。

アジア恐竜時代の幕開け 福井県立恐竜博物館

今日北陸は梅雨明けしました。いきなりの今年一番の夏日でした。
福井県立恐竜博物館
銀色の卵でおなじみの福井県勝山にあるアジア最大の恐竜博物館です。
アジアの恐竜 福井県立恐竜博物館
夏休み直前、親子連れがたくさん遊びに来ていました。地元ではレジャー施設としてすっかり定着しましたね。
アジアの恐竜 福井県立恐竜博物館
今年は開館10周年も迎えて、今年も夏休みの特別展が開催されていますが、今日は関連行事として、中国科学院古脊椎動物古人類研究所の董枝明(ドン チミン)教授による「アジアの恐竜」が開催されました。
アジアの恐竜 福井県立恐竜博物館
中国を含めたアジアはここ数年で恐竜研究が飛躍的に盛んになりました。そのアジアの恐竜発掘の現状をお話いただきました。
アジアの恐竜 福井県立恐竜博物館
中国には6つの恐竜博物館と4つの恐竜公園があるそうです。うらやましいですね。
アジア恐竜時代の幕開け 福井県立恐竜博物館
講演会後には特別展「アジア恐竜時代の幕開け」を見てきました。
アジア恐竜時代の幕開け 福井県立恐竜博物館
今回は中国で発掘された骨格標本を中心に展示されています。巨大恐竜がテーマのひとつでありますので、人の背丈もあるような竜脚類の大腿骨なんかも展示されていました。
アジア恐竜時代の幕開け 福井県立恐竜博物館
自分の子供の頃の竜脚類と言えば、「ブロントサウルス」や「ブラキオサウルス」ぐらいでしかが、その後種類が増えてよくわからない状態です。今回は中国で発見された「ルーフェンゴサウルス」がメインです。
アジア恐竜時代の幕開け 福井県立恐竜博物館
竜脚類のほかに獣脚類の骨格標本もありますよ。
アジア恐竜時代の幕開け 福井県立恐竜博物館
新聞報道もされた勝山の3つ目の恐竜で、日本で始めて竜脚類として名前のついた「フクイティタン」の化石も展示されていました。
アジア恐竜時代の幕開け 福井県立恐竜博物館
卵の化石などもあり、今回は10周年という記念すべき特別展だけあって展示も充実していますね。

Apache アクセスログを目的別に分けて出力する方法

携帯サイトで、「Flash待ち受け」「画像待ち受け」「デコメテンプレート」の3種類のダウンロード回数をカウントするサイトを作成したときの話。
それぞれのダウンロード回数をアクセスログの行数(つまり画面に表示した時点でダウンロード)で判断することになった。
その適用方法を紹介します。
# vi /etc/httpd/conf/httpd.conf


#
# For a single logfile with access, agent, and referer information
# (Combined Logfile Format), use the following directive:
#
SetEnvIf Request_URI “decome\.dmt” decome
SetEnvIf Request_URI “decome\.hmt” decome
SetEnvIf Request_URI “decome\.khm” decome
SetEnvIf Request_URI “flash0\.swf” flash
SetEnvIf Request_URI “waiting0\.gif” waiting
CustomLog logs/decome1_log combined env=decome
CustomLog logs/flash_log combined env=flash
CustomLog logs/waiting_log combined env=waiting
CustomLog logs/access_log combined             
→mod_setenvif を使用して該当のファイル名がアクセスログに記録されるタイミングに、各個別ファイルと「access_log」に記録されるようにします。一番後ろにつけた名前(env)によって振分をおこないます。

・・・
CustomLog “| /usr/sbin/rotatelogs /home/fs/www/accesslog/access_log.%Y%m%d 86400 540” combined
CustomLog “| /usr/sbin/rotatelogs /home/fs/www/accesslog/decome0_log.%Y%m%d 86400 540” combined env=decome
CustomLog “| /usr/sbin/rotatelogs /home/fs/www/accesslog/flash_log.%Y%m%d 86400 540” combined env=flash
CustomLog “| /usr/sbin/rotatelogs /home/fs/www/accesslog/waiting_log.%Y%m%d 86400 540” combined env=waiting

→バーチャルホストを使用している場合は、ここにも「CustomLog 」を追加します。最後に「env」を忘れると、うまく振分られないことがありますので、忘れずにつけましょう。


後はできたファイルの行数を数えれば各ダウンロード回数となります。
(注)Basic認証をかけた場合は1回のアクセスで2行追加される場合があります。

米マイクロソフトがWindows XPの販売可能期間をまた延長

米マイクロソフトは2010年7月12日(米国時間)、OEM版Windows 7に付随する「ダウングレード権」の提供期限を延長する方針を明らかにした。
ダウングレード権とは、最新OSのライセンスによって、過去のOSを利用する権利のこと。パソコンにプリインストールされるOEM版Windows 7の場合、Professional以上のエディションでダウングレード権が付与され、Windows Vista BusinessやWindows XP Professionalなどへのダウングレードが可能になる。
現在もなお、メーカーから「Windows XP Professional搭載パソコン」の販売が続いているのは、このダウングレード権を行使しているためだ。こうしたWindows XP搭載パソコンの販売期間が、大幅に延長されることになる。


原因は今に至っても企業のWindowsXPの利用率が80%を越えることがあるようだ。しかし、また延長してマイクロソフトはどうしたいのでしょうね?

CakePHP 1.3.2 接続できるデータベースの種類のはなし

CakePHP バージョン1.3.2をインストールしてみました。
データベース設定ファイルのテンプレート(config/database.php.default)には、バージョン1.2.Xと同様のデータベースが記載されています。


* Database configuration class.
* You can specify multiple configurations for production, development and testing.
*
* driver => The name of a supported driver; valid options are as follows:
* mysql – MySQL 4 & 5,
* mysqli – MySQL 4 & 5 Improved Interface (PHP5 only),
* sqlite – SQLite (PHP5 only),
* postgres – PostgreSQL 7 and higher,
* mssql – Microsoft SQL Server 2000 and higher,
* db2 – IBM DB2, Cloudscape, and Apache Derby (http://php.net/ibm-db2)
* oracle – Oracle 8 and higher
* firebird – Firebird/Interbase
* sybase – Sybase ASE
* adodb-[drivername] – ADOdb interface wrapper (see below),
* odbc – ODBC DBO driver


MySQL、SQLite、PostgreSQL、SQL Server、DB2、Oracle、Firebird、Sybase、ADODB接続、ODBC接続
さてさて、実際にデータソースを覗いてみましょうか。
cake/libs/model/datasources/dbo/
接続できるデータベースの種類のはなし
SQL Server、MySQL、Oracle、PostgreSQL、SQLite ・・・・・・・
・・・・・・・
なんか少なくなったぞ??
調べてみると、他のデータソースはインターネットからダウンロードして入れるようです。
接続できるデータベースの種類のはなし
http://github.com/cakephp/datasources/tree/master/models/datasources/dbo/
ADODB接続、DB2、Firebird、ODBC接続、SQLite3、SQL Server、Sybase ・・・ と。
SQL Serverは「dbo_mssql.php」のほかに「dbo_sqlsvr.php」が新しく用意されたようですね。
全部入れると、かなりにぎやかな状態になりました。
接続できるデータベースの種類のはなし
しかし、標準でインストールされていないデータソースについては、今後データソースがバージョンアップされてもCakePHP本体に入っていないということになりますので、自分で時々のぞきに来る必要がありそうですね。
今回は、CentOS上のCakePHPからWindowsServer上のSQL Serverにネイティブ接続してみたかったのですが、新しいデータソースが出たのも役立たず・・・、結局LinuxにはSQL Serverに接続するネイティブドライバが容易されていませんから。
そう考えると、「SQL Server (dbo_mssql.php)」「SQL Server (dbo_sqlsvr.php)」「ADODB接続」については、Windows専用ということですね。まぎらわしいなあ・・・もう。

NTPサーバの設定

RTX1100の設定不足でNTP同期できなかった問題が解決したところで、NTPサーバの設定をまとめておきます。
OS:CentOS 5.5 最小インストール
NTPサーバ:ビジネスぷらら
プライマリ:ntp2.plala.or.jp
セカンダリ:ntp1.plala.or.jp
NTPをインストールします。
# yum install ntp
今日現在インストールされるバージョンは「4.2.2p1-9.el5.centos.2.1」となります。
設定ファイルを編集します。
# vi /etc/ntp.conf
既存のIPv4、IPv6用の問い合わせをコメントアウトし、すべての外部からの問い合わせの拒否を追加します。
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
#restrict default kod nomodify notrap nopeer noquery
#restrict -6 default kod nomodify notrap nopeer noquery
restrict default ignore

IPv6用のループバックアクセスをコメントアウトします。
# Permit all access over the loopback interface. This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
#restrict -6 ::1

今回使用するビジネスぷららのNTPサーバを追加します。
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
restrict 219.164.211.137 mask 255.255.255.255 nomodify notrap noquery
restrict 219.164.211.129 mask 255.255.255.255 nomodify notrap noquery

既存のNTPサーバをコメントアウトし、ビジネスぷららのNTPサーバを追加します。
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
#server 0.centos.pool.ntp.org
#server 1.centos.pool.ntp.org
#server 2.centos.pool.ntp.org
server ntp2.plala.or.jp
server ntp1.plala.or.jp

最後にローカルで同期するのを停止します。
# Undisciplined Local Clock. This is a fake driver intended for backup
# and when no outside source of synchronized time is available.
#server 127.127.1.0 # local clock
#fudge 127.127.1.0 stratum 10

自動起動するようにデーモンを設定します。
# chkconfig –level 3 ntpd on
デーモンを起動する
# service ntpd start
10分後ぐらいに同期を確認します。
# ntpq -p
remote refid st t when poll reach delay offset jitter
=============================================================
+ntp2.plala.or.j 202.234.233.109 4 u 30 64 377 14.117 23.350 7.381
*ntp1.plala.or.j 202.234.233.109 4 u 33 64 377 13.983 29.240 3.461
先頭に「*」が付いたNTPが現在の同期サーバーとして、「+」が付いたNTPが予備サーバーとして正常に同期したことを示しています。
現在の時刻を確認して終了です。
# date