VMware Playerの商用利用について

8/23にVMware Fusion 5とVMware Workstation 9がリリースされた。そのときに前者であるVMware FusionにProfessional Editionである『VMware Fusion Professional』が出来たらしい。*1
VMware Playerを会社で使っている人もいるだろうが、『個人利用もしくは非商用利用であれば無償で利用可能』とされており、企業内で使う場合はライセンスをどうすれば良いかが分からなかった、というか「Workstationを買って下さい」というスタンスで棚上げ状態だった様な気がする。
または、
コスミー報告書[社外秘] - VMware Player のライセンス(商用利用について)
という話もあり、「製品やサービスに組み込まなければOKだぜぇ!ヒャッハー!!」と喜んでいた人もいるだろう。


そこで『VMware Fusion Professional』の登場である。
VMware Workstation Player | VMware
の下部に

VMware Player の商用利用
VMware Fusion Professional には、VMware Player (Windows および Linux) の商用ライセンスが含まれています。 詳細情報 / VMware ストアで購入

と書かれている。
更には
VMware Workstation Player | VMware

価格について教えてください
VMware Player は、個人利用、および非商用利用の場合は無償で提供されます。商用利用版は、VMware Fusion Professional に含まれています。 VMware Fusion Professional では、Mac 上で稼動する VMware Fusion か、または WindowsLinux 上の VMware Player で利用可能な商用ライセンスが提供されます。 VMware Fusion Professional では、VMware のサポート(英語)およびサブスクリプション契約が利用可能です。

VMware Player の入手方法を教えてください
VMware Player は、個人利用の場合、 無償でダウンロードできます。

と書かれているため、企業内で使用するためのライセンスポリシーが変更された可能性がある。*2
EULA(End User License Agreement)がVMware Player4.0から更新されていないため、5.0でどういう扱いになっているかは分からないけれど、企業内で使用している人は気をつける必要があると思う。


そして、密かな希望として誰かVMware社に問い合わせるパスのある人は問い合わせて欲しい。*3

*1:これよりも前にこの手のライセンスがリリースされていたら、誰か教えてm(__)m

*2:未確認のため、あくまでも可能性の域をでないが

*3:企業内での使用がどこまで許諾されるのか気になる

めんどうくさい

上野宣さんにきく、こんなにもめんどうくさいWebセキュリティの世界:EnterpriseZine(エンタープライズジン)
また上野宣か!」という声が聞こえてきそうな、7月2日の記事。
誤字や日本語的に表現がおかしいといろんなところから聞こえてきているけど、まだ買ってから読んでない。
こちらも読まないとなぁ(;゚ロ゚)

BackTrack5R3が8月13日(米国時間)にリリースか?

というわけで、今度は一年空きませんでしたが、あけましておめでとうございますw
二日前に
http://www.backtrack-linux.org/backtrack/backtrack-5-r3-release-aug-13th-2012/
なBlogを見ました。
皆さん大好きBackTrackですね、はい。

今年の3月1日にR2が公開され、その次のReleaseとなるR3が8月13日に出る予定ってアナウンスです。
バグフィクスとツールの追加がメインらしいけど、既存ユーザは簡単にアップデートするコマンドが提供されるので安心ですね。
今からリリースが待ち遠しいです。
Black Hat/DEFCONに出ている方々は既に入手しているのかも知れませんが、早くさわってみたいものです。<-新しいもの好き

自転車関連買うならWiggleがオススメ

一年以上放置してたから忘れそうになっていました。
とりあえず、あけましておめでとうございます(ぉぃ


最近自転車にはまりかけているんですが、パーツや服を買うのはリアル店舗ではなくイギリスのWiggleというサイト。
何故利用するかというと円高に後押しされてっていうのが、7割。
残りはWiggleが7000円以上の金額で海外からの送料がタダになり、更に定常的に割引キャンペーンを行っているから。
例えば、今なら1万円以上で2000円引きになるクーポン「2000YEN-OFF」がある。
いつもは「20%オフ」とかで、既にそれ以上の割引がされている商品は元の割引率が適用されるんだけど、今回のクーポンは50%オフであっても、更にそこから2000円引かれるらしい。
お得ですね。
1万円から2000円引かれても7000円以上ですから、送料も無料です。
しかも、日本で買ったら1万円を超えるOrtliebのメッセンジャーバッグなどの海外製品も半額近い値段で購入が可能。
というわけで、またもや食指が動いてポチっとしてしまいそうなヴァルカンです。


Wiggleは友人から教えて貰ったけど、他にも海外通販サイトは色々あって、下記のサイトに色々とまとめられているのでご参考まで。
自転車パーツの海外通販情報局|WiggleやChain Reaction Cyclesの購入方法、クーポン&バウチャー情報、個人輸入の激安情報サイト

Webアプリ脆弱性スキャナ「Whitetip」無償公開

DLは、

から。

BitArts,Inc.というのは従業員一人のSOHOの様ですな。
今月で設立してから12年になる様です。おめでとうございます。

対応プラットフォーム

Windows系で.NET Framework 3.5を入れていれば動作するらしい。

制限事項

診断対象は、ローカルエリアネットワークとなっているが、プライベートアドレス(クラスA〜C)に限定されているって表現の方が適切。

診断項目

ツールによる診断項目は下記16項目。
入力パラメータに対して挿入するのか、Cookieなどのヘッダーにも挿入するのかは不明。

  1. クロスサイトスクリプティングXSS
  2. SQLインジェクション
  3. OSコマンドインジェクション
  4. Webサーバのデフォルトファイル
  5. HTTPレスポンス分割
  6. ディレクトブラウジング
  7. リソース位置の推測
  8. バッファオーバーフロー
  9. フレームハイジャック
  10. LDAPインジェクション
  11. パストラバーサル
  12. SSIインジェクション
  13. 無効なcharset指定
  14. ローカルIPアドレスディスクロージャ
  15. パスディスクロージャ
  16. エラーハンドリングの不備

探査方法

基本的には以下の二通りみたい。

  1. 自動探査(デフォルト)*1
  2. 手動探査*2

ちょっと珍しいと思ったのは、手動探査の方法。
今までの診断ツールでは内部ブラウザを使うか外部ブラウザを使うかの差はあれど、大体自身をプロキシとしてリクエストを記録していくものが殆どの様に思える。
それがWhitetipの場合は、ログファイルを指定して、最初に出てきたドメインを検査対象として認識し、記録された内容をベースに診断を行うと言う。

改修後に同じフローで診断をかけたいという場合には、実に合理的な気がする。

検知方法

さっくり試した感じでは、

  • エラーベース
  • 正常時とのレスポンス比較

がメインかなぁという感じ。
過剰検知気味で且つ未検知も多い。セッション周りも弱そうな印象を受けたな。


つか、エラーページに飛ばしたらOSコマンドインジェクションってどないなっとんのかと小一時間(ry

*1:javascriptエンジンやFlashなどに対応しているかは不明

*2:Burp SuiteとLive HTTP Headersのログを指定する事で対応

iPhone 4と3GSの比較記事

RetinaとかiOSとか一部界隈ではツッコミどころが多い気もするiPhone 4ですが、
早速比較記事↓が出てました。
iPhone 4 対 iPhone 3GS 詳細比較チャート - Engadget 日本版


魅力的だと思ったのが液晶画面の解像度アップとカメラ機能の向上。
カメラが500万画素になったのは別にどうでも良いが、裏面照射型センサになったのは大きい。
暗闇に強いと言われているから。
おまけにLEDフラッシュまで付いているので、ユーザの不満をちゃんと解消した機能に仕上がっている様だ。


あとは、3軸ジャイロスコープかな。
逆立ちして使う様な事がない限りは寝転がって使用している際に、縦横が切り替わって首が痛くなる状況は解消されるのじゃないかと思う。


たしかに魅力的な製品に仕上がっている様にも思えるけど、縛りがあと一年残っているので、3GSからの機種変更はしないかな。
あと、iOS 4へのアップグレードも重くなりそうなのでしないかも。
テザリングが出来るんなら考えるけどねw

WIVET

ふとしたことで見つけたアプリですが、日本語記事がないので書いてみる。
WIVETは要はCrawlerの性能を測定するためのアプリ。
Web Güvenlik Topluluğu » WIVET
からアクセスすれば入手可能です。


テストサイトがhttp://www.webguvenligi.org/wivetにありますが、
クリックした後に表示されるリンクだったり、javascriptでマウスアクションによってページ遷移したり、HTMLのコメント内のリンクを辿ったりといった様々なWebページのリンクに関するベンチマーク用のアプリです。
PHPで動作するので大概の環境で動きます。


ちなみに、javascriptが動かなければ50%未満の結果になります。


localhost以外で試す場合は、wivet_3.rarを解凍した直下にある『genclude.php』ファイル内の

$_SESSION['baseaddr'] = "http://127.0.0.1/";

の行を変更する必要があります。


お手持ちのWebAssessmentツールのCrawler能力がどれほどか試すのにはもってこいのツールなので、興味がある方は利用してみると良いと思います。