2011年3月17日

jQuery UIのダイアログで特定のボタンをデフォルトにする方法

======================================================
漢(オトコ)のコンピュータ道: 地震による災害復旧に対して今我々が出来ること。
======================================================


jQuery UIのダイアログを使って見て、デフォルトボタンの指定をするオプションが見当たらなかったので、調査した結果をメモ。

今回の情報元:
javascript - jquery-ui Dialog: Make a button in the dialog the default action (Enter key) - Stack Overflow

javascript - Submit jQuery UI dialog on <Enter> - Stack Overflow

調べた結果によると、
$("#myDialog").dialog({
    open: function() {
        $(this).parents('.ui-dialog-buttonpane button:eq(0)').focus(); 
    }
});

という感じで、ダイアログを開いた時の処理でボタンにフォーカスを当ててあげれば良いとの事。このボタンの指定方法を自分で調べるのが面倒だったので時間の節約になった。

2番目のボタンをデフォルトにしたい場合は、eq(0)の所をeq(1)にすればOK。

同じ考え方で下の様にすればボタンのテキストの色を変える事も出来た。

$(this).parents('.ui-dialog-buttonpane button:eq(0)').css('color', '#F00');


なるほど!




======================================================
漢(オトコ)のコンピュータ道: 地震による災害復旧に対して今我々が出来ること。
======================================================



.

2011年3月9日

パスワードのクラッキングを難しくする「ソルト」と「ストレッチング」とは

今日下の記事を読んだ。
HBGary事件の顛末
セキュリティベンダーの HBGaryが先日 Anonymousによってハックされ話題になった。HBGaryはセキュリティ研究者である Greg Hoglundがファウンダーである。彼は長年 rootkit.comを運営しているほか、Exploiting Softwareや rootkitsなどのすばらしい書籍も書いており、この業界ではかなりの有名人だ。
この事件は一体どのようにして起きたのか。きっかけは、HBGary Federalという会社が Anonymousについて調査した結果を公表しようとしたことに対する、Anonymousの報復攻撃ということのようだ。(続き...)
SQL Injectionの脆弱性から、ソーシャルエンジニアリングも絡めて芋づる式にメールアカウントやサーバーのログインパスワードなどが取得されて行く過程が大変興味深い。

ここで言及されていた、パスワードハッシュを作成する際の「ソルト」と「ストレッチング」について、初耳だったのでメモ。

ソルトについては以下のエントリが詳しい。
塩加減は重要? - JULYの日記
(...)非可逆処理を行う際に、ランダムなデータをパスワードに付け加えてから処理を行うと、同じパスワードであっても、処理結果は違ったものになります。この付加されるデータを「ソルト」と言います。
パスワード情報を保存する時は、このソルトの値と処理結果の値を保存しておきます。検証する時には、入力されたパスワードと保存されているソルトの値を組み合わせて非可逆処理を行い、その結果と保存されている値を比較します。(...)

パスワードクラック - Wikipedia
レインボーテーブル - Wikipedia
という事で、ソルトを付加して非可逆処理を行うと「レインボーテーブル」を使ったクラッキングがやりにくくなるとの事。ただしこれだけだとブルートフォースアタックにはあまり効果が無い。

ストレッチングについては以下を参照。
Key stretching - Wikipedia, the free encyclopedia
(...)key stretching refers to techniques used to make a possibly weak key, typically a password or passphrase, more secure against a brute force attack by increasing the time it takes to test each possible key. (...)
Key stretching techniques generally work as follows. The initial key is fed into an algorithm that, running on a given speed of processor, takes a known constant time to apply. The algorithm is constructed so that the delay introduced is acceptable to most users, say one second on a typical personal computer. The output is the enhanced key. The enhanced key should be of sufficient size to make it unfeasible to break by brute force (e.g. at least 128 bits). The overall algorithm used should be secure in the sense that there should be no known way of taking a shortcut that would make it possible to calculate the enhanced key in less time (less processor work) than by using the key stretching algorithm itself.
要するに、最初のキーに対して何万回(上のページの例では65000回)も(ハッシュ関数などで)計算して求めたキー(enhanced key)を使ってパスワードを非可逆処理しておく。そうするとユーザーが入力したパスワードをチェックする時にも同じ回数の計算処理を行うので1秒程度の時間がかかってしまうが、利便性が損なわれる程ではない。
ところが悪意を持ったクラッカーがブルートフォースでパスワードを取得しようとした場合にも1回の試行につき1秒程度(コンピュータの性能にもよるが)の時間がかかり、合計すると通常のブルートフォースよりも桁違いに長い時間となってしまい現実的ではなくなる、という事らしい。

なるほど、勉強になりました。^^

ついでに検索にヒットした下の記事も読んで改めて参考になった。
Rg00dP@55Wrd53z―奥深きパスワードの世界 - 世界のセキュリティ・ラボから:ITpro

人の造りしもの――“パスワード”の破られ方と守り方 - @IT
くれぐれも簡単なパスワードの使用には注意したい。





2011/04/22 追記:
パスワードについて非常に分りやすい説明を見つけたので、リンクを。
パスワードの話


2011/05/10 追記:
こちらも必見。
これからの「パスワード」の話をしよう
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う


2011/10/10 追記:
また新しい記事が出たのでリンクを追加。
本当は怖いパスワードの話(1/4) - @IT 









.

2011年3月1日

auからHTC Evoが発売へ。でも電池の持ちにはご注意を。

日本でauからHTC Evoが発売されるとの事。
asahi.com(朝日新聞社):KDDI田中社長「もう戻れない感覚」、WiMAX搭載「htc EVO WiMAX ISW11HT」に自信

+525円でWiMAXつなぎ放題、Wi-Fiルータにも:auがスマホのテザリング解禁――WiMAX対応Android端末「htc EVO WiMAX ISW11HT」

WiMAXで快適テザリングできるAndroidスマホ『htc EVO WiMAX ISW11HT』
追加料金がたったの525円で下り最大40MbpsというWiMaxが利用出来るとは、全く羨ましい限りだ。

米国ではWiMaxを使ったかどうかに関わらず(例え対象エリア外であっても)、HTC Evoを持っているというだけでSprintから月10ドルの追加料金を請求される。しかも標準のテザリング機能は4G接続でしか使えず、使う場合は別途月29.99ドルのオプション契約が必要になる。

しかもこの4G(WiMax)というのがそんなに速くない。去年の6月にEvoを買った時は喜び勇んでスピードテストをやったものだが、結果は散々だった。場合によっては3Gよりも遅かったので、ハードウェアの故障を疑ったくらいだった。
ハワイのWiMax
ところが、今日数カ月ぶりに4G接続をオンにして今測ってみたら、この通り8Mbps弱のスピードが出ている。Sprintの通信設備も徐々に良くなって来ているみたいだ。

auの通信事情がどうなのかは分からないが、きっとハワイとは比べ物にならないぐらいに整備されているだろうから、最大40Mbpsという速度も誇大広告ではないのかも知れない。もし本当に20Mbpsとか30Mbpsとかという速度が出るのであれば素晴らしい。

ただ、一つ見落としては行けない点がある。これは4月にauから発売されるEvoも(バッテリー容量が変更されていない限り)多分同じだろう。

それはWiMaxを使った場合の極端なバッテリーの持ちの悪さだ。正確に測った訳ではないが、体感的には3G接続で使用している時の10倍ぐらいの早さでバッテリー残量が減って行く感じだ。実際、今4G接続している10分ほどの間に、バッテリー残量が10%も減った。その間にやった事といえば、メールのチェックと3回ほどのスピードテストだけだ。

つまり、ずっとWiMaxで接続してアクティブにネットを使っていたら、大体100分ほどでバッテリーが無くなる。

購入した時にはデフォルトで4G接続がONになっていて、使ってもいないのに数時間で電池が切れるのでびっくりしてショップに交換しに行こうかと思ったほどだった。

これが理由で、僕は購入以来ずっとEvoでの4G接続を実用的に使った事がない。今回の様にたまに実験的にスピードテストをやってみるだけだ。

Evoでバッテリーを長持ちさせる秘訣は、4Gに限らず3GもWifiもGPSも、使わない機能はとにかくオフにしておいて、必要な時にだけオンにする事だ。僕の場合はこれで50時間は充電せずに使えている。月曜の朝に充電しておけば水曜の朝まで持つという感じなので、これならまあ問題ない。

という事で、auのHTC Evoを購入予定の方はWiMax使用時のバッテリーの持ちの悪さについてはご覚悟を。

しかしテザリング機能が標準なのは、羨ましいなぁ。。。






.