「テスト」についての学習
今週のブログ担当の鈴木です。
業務で「テスト」を行うことがたびたびあるのため、その手法等について学習したいと思っております。
「テスト」は要求仕様通りの振る舞いをしているかの確認のために行われるものです。
その「テスト」の精度を上げることで、抜け漏れや見落としが減ることでより、品質は上がるでしょう。
何から手を付けるか
私が特に身につけたい点は2つございます。
①. テストケースの作成
②. 報告書の作成方法
上記2つを上げた理由としましては、大きくは抜け漏れの阻止のためです。
①のテストケース検討の時点で抜け漏れがあれば、それがそのまま不十分なテストになってしまうのは当然です。
②の報告書の作成も意図としては同じです。優れたテストを行っても、それを説明できるドキュメントがなければ絵に描いた餅と変わりません。また、理解しやすい資料を作ることは、テストケースの抜け漏れ防止にもつながると思います。
今後
今私の業務の現場では基本的には、指示されたテストを・指示された道具で行っておりますが
テストに用いるツール・環境についてもお客様にご提案できるように精進したいと思っております。
学習に用いているサイト
下記のサイト等を拝読いたしました。
この他にもテストや試験の手法ついては多くの書籍やwebサイトがあるため今後も継続して学習を続けていきたいと思っております。
ガウスの消去法をCで作ろう
今週のブログ担当のシロハと申します。
今回はいたって普通に"C言語”で”ガウスの消去法”のプログラムを作ろうと思います。
ガウスの消去法というと何?と思う方もいるかもしれませんが、
中身は「中学や高校で習う連立方程式を解くこと」と同じです。
ガウスの消去法よりも掃き出し法といったほうがなじみがあるかもしれませんね。
実際に計算してみる
ではプログラムを作る前に、簡単にガウスの消去法の計算プロセスについてのお話をします。
ガウスの消去法は2つのプロセスに分かれており、
1:前進消去
2:後退代入
と呼ばれる計算プロセスとなります。
ただし、先ほども述べたよう中・高で習う程度の計算であり内容はそんなに難しくありません。
ではプログラムを作る前に、まずは以下の例題を実際に計算してみます。
例:3x+6y+2z=32
x+2y+8z=40
7x+3y+3z=35
また後でコード化することも考えて、計算手順も示します。
今回の説明では、それぞれの要素を以下のように記述します
ではまず前進消去から始めます。
以上が前進消去の計算です。
このように、前進消去では左下部分を全て0にします。
また、前進消去では行の入れ替えが必要な場合もあります。
では次は後退代入です。
これで連立方程式の解を求めることが出来ました。
Cコードを書いてみる
計算の手順は分かったのでCコードを書いてみます。
#include <stdio.h> #include <math.h> #define N 4 void main(void) { int i=1,j=1,k=1,l=0,m=0; int end=0; //解がない時のフラグとして使用 double X[N][N],Y[N][N];//配列(Xは係数、Yは前進消去計算で行を入れ替えるときに使う) double sabun=0; //式の入力 X[0][0]=3;X[0][1]=6;X[0][2]=2;X[0][3]=32; X[1][0]=1;X[1][1]=2;X[1][2]=8;X[1][3]=40; X[2][0]=7;X[2][1]=3;X[2][2]=3;X[2][3]=35; for(i=0;i<N-1;i++) { for(j=0;j<N;j++) Y[i][j]=0; //配列Yの初期化 } //ここまで式入力 //前進消去 for(i=0;i<N-2;i++) { if(X[i][i]==0) //対角要素が0(前進消去③の入れ替えを行う判定) { for(l=i+1;l<N;l++) //入れ替え先を探す { if(X[l][l]!=0) //0ではない場所を見つけた { for(m=0;m<N;m++) //行の入れ替え { Y[i][m]=X[i][m];//入れ替え元を保存 X[i][m]=X[l][m]; X[l][m]=Y[i][m]; } break; } else if(l==N-1) { printf_s("解が一意に決まらない"); end=1; break; } } }//行の入れ替えはここまで for(j=i+1;j<N-1;j++) { sabun=X[j][i]/X[i][i]; //前進消去①、② for(k=i;k<N;k++) { X[j][k]-=sabun*X[i][k];//前進消去①、② } } if(end==1)break; //解が決まらないため計算終了 } //前進消去ここまで //後退代入 for(i=N-2;i>0;i--) { if(end==1)break; //解が決まらないため計算しない for(j=i-1;j>=0;j--) { sabun=X[j][i]/X[i][i]; //後退代入①、②、③ for(k=N-1;k>=0;k--) { X[j][k]-=sabun*X[i][k];//後退代入①、②、③ } } } for(i=0;i<N-1;i++) { X[i][N-1]/=X[i][i]; //後退代入④ X[i][i]/=X[i][i]; } //後退代入ここまで
[実行結果]
以上が今回のガウスの消去法のCコードです。
実のところ、for文の中に5、6行程度計算を入れれば主要な部分は大体完成といえます。
むしろ行の入れ替えの方が計算が複雑になってるような・・
ちなみに、行の入れ替えのところで"解が一意に決まらない"と書いていますが、
例えば3つの変数に対して3つの式を立てても必ずしも解が一意に決まるわけではないため、
その対策として記述しています。
記述がないと式によってはエラーとなる場合もあるので注意しましょう。
月からのブタによって学べること
「Moonpig」
月のブタ?なんか無意味な名前ですね。初めて聞いたとき僕は「バカバカしい」し
か反応はできなかった。
それで、今回のブログに「バカ」なことがいっぱい。しかし、このブログのメッ
セージは重要 - 情報セキュリティ。
今回の記事担当のベーカーです。iPXはISO 270001認証で会社としてはいつも個人情
報や機密情報の安全を最優先しています。それに関する時期的な訓練とテストを
ちょうど今月受けたので僕は今回の話を思い出しました。
Moonpigはイギリスにあるネット通販会社で、主にはカスタムなグリーティングカー
ドの販売です。僕はああいうのにあまり興味がないですから、その会社はずっと
「どっかで聞いたことあるような名前だね」程度でした。でも、2015年第二週に
Moonpigはどれだけバカかが広報されました。これがトム・スコット氏の素晴らしい
YouTubeビデオ(“The Moonpig
Bug” https://youtu.be/CgJudU_jlZ8 [英
語])とその元のポール・プライスが書いたブログ
(http://ifc0nfig.com/moonpig-vulnerability/
[英語])のおかげで僕が初めて聞きました。(このブログはほとんどトム・スコッ
ト氏のビデオからです。)
内容を説明する前にまずはスマホアプリ開発基本の一部を復習しましょう。アプリ
を作るといずれにサーバーとやり取りすることになって、ユーザー・アカウントを
管理しないといけないです。デバイスに直接パスワードを保存したらどれだけ危険
かは当たり前ですから、初回のログインのみユーザー名とパスワードをサーバーに
送信して、以降は変わりにサーバーにもらったトーケンを使います。ちゃんとした
アプリはほとんどこのやり方を使っています。
Moonpigのアプリもこのようなことをやりましたが…
バカポイントその1
Moonpigが使っているトーケンはランダムじゃなくて、ユーザーの顧客番号そのまま
でした!もしその番号がばれたら後で取り消しできない。だれかの顧客番号を見つ
かったら、その人のアカウントとクレジットカードを使ってサイトで買い物できる
だけじゃなくて、その人の個人情報もGETできます。(そのままです。APIの
「GET」コマンドだけですべて表示できます!)
見られるのは想像通りの「名前」、「メールアド」、「住所」、「郵便番号」や
「電話番号」。それに、「誕生日」や「フェースブックのユーザー名」などもあっ
た。クレジットカード情報を調べてみたら、「カード会社・種類」、「有効期
限」、「名義人」と「最後の4桁」が出てきます。(「せめて前16桁じゃなかっ
たのは小さなありがたいことけどね…」とプライス氏がコメントしました)
上記のデータがあればなりすまし犯罪は決して難しいことじゃないです。この前そ
れほどのないデータ量でハリウッド芸能人のiCloudアカウントがハッキングされて
しまった(ソーシャル・エンジニアリングで)。スコット氏は「そのデータでアマ
ゾンのアカウントを乗っ取れば高級高速サーバーを借りて、ビットコインでも採掘
する」と言いました。
もし自分の番号がばれたと思ったら唯一の行動方針が自分のアカウントを完全に削
除するだけ。
のはずですが…
バカポイントその2
これが元のブログとビデオに載っていなかったが、後で分かったことは削除依頼を
したら、ただサーバーDBに「Deleted」フラグを立てて非表示にするだけ。非表示だ
から検索に出てこないですが、APIと顧客番号を使えばまだ全部見られます。
ということでアカウント削除してしまうと、自分がやろうとする「個人情報保
護」だけは効果なし。つまり、顧客番号が知られたらある意味でおしまいになりま
す。
でも、何人かの方が今「顧客番号を大事にすれば大丈夫じゃない!」と考えていま
す。確かに、ちゃんとした会社は皆UUIDなどのアルゴリズムでほぼランダムな長い
コードを顧客番号として使用して、推測だけで当てられることがほぼあり得ない。
…当時のMoonpig社のことを「ちゃんとした会社」といえたのか?
バカポイントその3
Moonpigの顧客番号の決め付け方がこうでした:
- 最初の登録者の番号が「1」となりました。
- その次の方が「2」となりました。
- その次の…
…まぁ、大体わかりますね、連続的に付けていただけでした。もし自分が「247」で
したら、直前の人が「246」で、次のが「248」でした。その人たちの名前が分から
ないかもしれないですが、それが問題ないです。ただAPIを使って名前を調べればい
いです。
しかも、それだけじゃなくて…
バカポイントその4
普通に同じデバイスからたくさんのAPIの要求が速く来てしまうとサーバーが何かお
かしいかと検知して、そのデバイスを一時的にブロックしておきます。これが「速
度制限」(英:rate limiting)と呼ばれます。
Moonpigのサーバーは速度制限機能を全く使わなかったです。
こうして、一つのシンプルなforループだけでMoonpigの客さん3百万二人全員の個人
情報全部入手可能でした。
本当にそんなに簡単でした。この4つのポイント合わせてこのことが学校の教科書に
「やってはいけない例」として載せられます!
というところで本当はまだ終わっていないです。
バカポイントその5
プライス氏がこの脆弱性を見つかったのは2013年の8月でした。その時に直接
Moonpigに知らせときました。しかし、約一年半後、2015年の年明けに確認したら脆
弱性がまだありました。それでプライス氏がブログで広報しました。
ITセキュリティ業界のエチケットは他社のシステムに脆弱性を見つけたら、知らせ
てから1か月くらいその会社以外に内緒をすることです。プライス氏はその16倍の時
間を待ってあげましたのにMoonpigは解決しませんでした。解決しようとしている姿
さえ見せませんでした。
Moonpigのアンドロイドアプリが2010年に初リリースされました。プライス氏のブロ
グがニュースになった2~3日後にアプリが使っているAPIをオフラインにしまし
た。合わせて5年間この脆弱性があって、その間に見つけてしまったのは一人だけで
したか?そうだと誰も保障できません。
学べること
2015年3月にMoonpigがリニュアルされた新しいアプリをリリースしました。きっと
たくさんのハッカーが今回のソフトに脆弱性を探しまくっているのでしょうが、見
つかったというニュースは今までにないですからもう解決できたとMoonpigがやって
言えます。
でも、何で見つかってから1年半以上かかりましたか?何でトーケンが取り消しでき
ない顧客番号でしたか?何で顧客番号が順次的でしたのか?開発者が一体何を考え
てこのシステムを作ったのか?こういう質問が答えるまでにこの事件はいずれ再発
するでしょう。Moonpigじゃなくても、どこかの会社で。
せめて、再発防止として今回の話からいくつかのポイントが学べますね。
- ユーザー認証必要があったら、自分の認証システムを作ろうとする前
に、FacebookかGoogleのAPIが使えるかの確認がおすすめです。
- 順次的な数字を使う必要が限りになるべく使わないようにすること。
- セキュリティを考えているときに、「どうやってこのシステムを守ろうか」とい
う考え方じゃなくて、まずは「どうやってこのシステムを壊せるか」の立場からス
タートした方がいいです。世の中にその全く同じ考え方の人がきっといるでしょ
う。
- 脆弱性の知らせがもしどこかから入ってきたら、素直にその人に「ありがと
う」とお礼を言って、その脆弱性の修正は何よりも最優先にすること。
僕は教科書を書くつもりはないですが、もし書くことになったらこの話だけは丸ご
と1章ができます。
そして、その教科書の後ろの用語集に「バカ」を引いてみたら、定義の文の代わり
にMoonpigのロゴを載せましょうか?
*1:*(ちなみに、パスワード管理に興味がある人に、同じスコット氏のこのビデ オ‐https://youtu.be/8ZtInClXe1Q [英 語]‐がいいスタートです。)
Blog1: It's about me.......
Hello everyone,
Since this is my first blog writing, I am going to share some general information about me.
Personal Information
My name is SINDHUJA PATCHAIKANI. I am from Tamilnadu, Southern part of India. I got my bachelor degree in ELECTRONICS AND COMMUNICATION ENGINEERING from ANNA UNIVERSITY, INDIA. I came to Japan in the year 2010 to do my higher studies. I got my Master of Engineering in ELECTRICAL AND ELECTRONICS ENGINEERING and Doctor of Engineering in Informatics Science and Technology from SHIZUOKA UNIVERSITY, JAPAN. Since April 2016, I became an employee of iPX co.ltd. working for Automotive OEM.
RESEARCH BACKGROUND
I started my research career in Prof. YOSHIHIKO KUWAHARA, Shizuoka University, Antennas and Wave propagation laboratory. I have worked in designing and optimization of MIMO transparent antenna for smartphone and multi-band vehicular glass antenna research team. My contribution in that was deriving a numerical algorithm to optimize the antenna design using MATLAB programming language interlinked with EM simulation software such as HFSS, CST Microwave Studio. Currently I am working on vehicular glass antenna HFSS simulation analysis and antenna modeling. I wish to focus my future research work in electromagnetics and automotive related domain.
ABOUT ME
- I believe loyalty, sincerity, faith in you and hard work will make anything possible.
- I use to set many short term targets to achieve my long term goal.
- I create my own life path and walk through it. (i.e) don’t want to follow others foot prints.
- Being helpful to others whenever possible.
- My family members and friends are my big strength.
- Last but not least, I strongly believe in GOD. (For me, GOD is nothing but it’s the positive vibration around you). etc.
Thank you for your attention. Catch you again through my next blog writings.
Kind regards,
Sindhu.
今年もはやいもので、もう11月になりました
こんにちは、今回の記事担当の須山です。
今年もはやいもので、もう11月になりました。
そろそろ忘年会等のシーズンだと思います。
自分はあまりお酒に強くないので、どちらかと言うと こういった飲み会はもっぱら飲むではなく
食べる方の人です。
ある調査では 忘年会シーズンはスマートフォンを紛失する人が多いとの調査が出ています。
(少し前の記事にはなりますが)
japan.cnet.com
確かに、年末年始は飲酒機会が多くはなるのでリスクは高そうですが…。
スマートフォンだけではなく、財布、定期券やカードキー等 こういった時には
気を付けなければいけないと思います。
(スマートフォンならまだ「iPhoneを探す」(iOS)、「Android デバイス マネージャーから探す」(Android OS)などで
頑張ったら探せるかもしれませんが…。)
ちなみに、自分は財布をスラックスの尻ポケットに入れていることが多かったのですが
最近は、出来る限りカバン等にしまって持ち歩くようにしています。(まだ 慣れていませんが)
そろそろまた今年の忘年会シーズンが来ます
飲みすぎには注意しましょう。
CUDA おん Haskell
ご挨拶
ご無沙汰しております。小川でございます。
最近はICEBOXを食べる意欲も減衰するほどめっきり寒くなりました。
寒がりの私には本社のUbuntuマシン(ゆたんぽ)は有難い存在です。
今回は寒さも吹き飛ばす為にGPUをまわしましょう。
CUDAをHaskellから使う方法を調査してみました。
CUDA
CUDA(Compute Unified Device Architecture)はNVIDIAが提供する並列コンピューティングアーキテクチャです。
GPUをグラフィック以外の汎用計算に用いることで、処理速度を向上することが出来ます。
実行環境
今回は次の環境でサンプルを動かしてみました。
バージョン | |
---|---|
Ubuntu | 14.04 LTS |
Haskell Stack | 1.2.0 |
nvcc | 7.0.27 |
※Ubuntu は導入済みであるとします。
Accelerate Haskell
CUDAを利用する事も出来るライブラリがGitHubにて公開されております。
Wiki に Quick Tour などが整備されており、また accelerate-sample というサンプルも公開されている親切設計です。
基本的な構文のサンプルコードを公開されている方もいらっしゃいました。
とても参考になります。
github.com
1次元配列の要素に全てを1足す簡単なサンプルです。
import Data.Array.Accelerate ((:.)((:.)) import qualified Data.Array.Accelerate as Acc import qualified Data.Array.Accelerate.CUDA as CUDA someFunc :: IO () someFunc = do let xs = Acc.fromList(Acc.Z :. 10) [1..10] :: Acc.Vector Int print $ CUDA.run $ Acc.map (+1) (Acc.use xs) -- Result -- Vector (Z :. 10) [2,3,4,5,6,7,8,9,10,11]
インストール | サンプル実行手順
# Haskell Stack のインストール sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv-keys 575159689BEFB442 lsb_release -a echo 'deb http://download.fpcomplete.com/ubuntu trusty main'|sudo tee /etc/apt/sources.list.d/fpco.list sudo apt-get update && sudo apt-get install stack -y # Accelerate-Example を動かすためのソフトウェアをインストール sudo apt-get install llvm-3.5-dev sudo apt-get install libedit-dev sudo apt-get install freeglut3-dev sudo apt-get install fftw3-dev # Accelerate-Example をダウンロード git clone https://github.com/AccelerateHS/accelerate-examples.git cd accelerate-examples ln -s stack-7.10.yaml stack.yaml # ビルド | Rayサンプルを実行 stack setup --upgrade-cabal stack build stack exec accelerate-ray
終わりに
Welcome to HaCUDAll World.
次の執筆時はCUDA、DeepLearningあたりを書こうと思います。
それでは良いゆたんぽライフを!