LINE Payカードは100円未満に対するポイント付与を会計毎に切り捨てる

忙しい方のための結論

LINE PayカードはSuicaが使えるなら300円以上、REXカードのみ使える場合でも200円以上の決済の時のみ使いましょう。

本題：LINE Payカードの計算方法にハメられた

LINE Payカードが還元率2%と聞いて試しに使ってみた。付与されるポイント数がおかしいので確認してみたところ、1会計毎に100円未満は切り落とされている模様。

各カードの還元方法をまとめると2017年10月以降はこうなる。（現時点でREXカードの還元率は1.5%)

	Suica	REXカード	LINE
切捨単位	月	月	会計
切捨額	1000円	2000円	100円
還元率	1.50%	1.25%	2%

ここで、極端なケースとして月に190円の決済を11回(合計2090円)行った場合を試算してみよう。

	Suica	REXカード	LINE
還元額	¥30	¥25	¥11
切捨額	¥90	¥90	¥990
表面還元率	1.50%	1.25%	2%
実質還元率	1.44%	1.20%	0.53%

なんとびっくり、LINEカードは1会計ごとに90円分が切捨てられた結果、実質還元率が0.53%になってしまう。

月末の切り落とし額は考慮せず1会計あたりの実質還元額をざっくり計算するとこんな感じのグラフに。

まとめ

というわけで、Suicaが使える場合は概ね300円未満、REXカードしか使えない場合は概ね200円未満の場合にLINE Payカードを使うと、還元率がREXカードやLINE Payカードを下回る場合があります。注意しましょう。

所感

SuicaもLINEも決して使い勝手はよろしくないのだけれど、REXカードの還元率ではもう使える場面はもう少ないのかもしれない・・・。

CSRFトークンを使用するサイトでNetsparkerが失敗するケース

NetsparkerのCSRFトークン機能には非常に癖のある制約があります。

トークンの発行後、使用前にトークンが無効化される

画面遷移を監視しているケースなど、トークンの発行後に余計なページにアクセスしてしまうことで、トークンが死んでしまうことがあります。対策はスレッド数を１にするしかないとのこと。

なお、トークンを発行するページとトークンを送るページの組み合わせは一度に一回しか発生しないよう制御してるとのことで、システムによってはマルチスレッドでも診断できます。

CSRFトークン機能が動作しないケース

Manual Crawlを使用している
"Find & Follow New Links"を無効にしている

これらの場合、Anti-CSRF Token機能は機能しません。仕様だそうです。

CSRFトークンを使用するリクエストをImportしている

リクエストの親子関係が混乱し、正常にCSRFトークンが送出されなくなるので、Importしてはいけないそうです。

まとめ

デフォルトの「サイトまるっとCrawl」を１スレッドで回しておけば問題ありませんが、スピードを上げようと小細工をするとCSRFトークンを使用するサイトでは様々な問題にブチあたります。

このようなサイトのスキャンをすこしでも高速化したい場合は、Scope設定を駆使するしか無いようです。（バカバカしい話ですが）

Amazonでお安い商品を注文した結果

China Postって書いてあったのにChina Postで検索できないので問い合わせたらYunpostで調べてとのこと。どれどれ。

• Started to transport,Flight Number:SQ851-368----CHINA,GUANGZHOU,TERMINAL

  6

  2017/3/28 22:06:33
• Dispatch from the point of origin international office----CHINA, GUANGZHOU,Outward Office Of Exchange

  5

  2017/3/28 19:37:42
• Posted,Sent to Japan----Dongguan Post

  4

  2017/3/28 17:12:01
• Departed Facility in SHENZHEN----SHENZHEN

  3

  2017/3/28 4:48:33
• Arrived at Sort Facility SHENZHEN----SHENZHEN

  2

  2017/3/28 4:48:33
• Shipment information received

  1

  2017/3/23 22:12:09
  

送料お安い＆日数かかるのに船便でなく航空便？？　遅くとも翌日には着くだろうし、なんで日本入ってからこんな時間かかるの、ていうかどこに着いたの？

(´ﾟдﾟ｀)

Netsparkerをしばらく使ってみての感想

■注■　製品評価ではありません、あくまで一ユーザの感想ということで。
■注■　V社の提案書からこちらへ辿り着いた皆様、多分その提案書書いたの私です。問題点も指摘はしていますが、理解したうえで回避していますので、ご安心下さい。

Webアプリ脆弱性診断ツールNetsparkerをしばらく使ってみての感想です。

インターフェース・使い勝手

取っ付きやすさについて言えば、Netsparker>>>WebInspect>>>>>>某Scan>>>>>Burp って感じ。

慣れたあとの使いやすさに関して言えば

某Scan>>>Netsparker>>>>>>>>>>>>>WebInspect=Burp って感じ。

ログインマクロなんかはWebInspectよりはるかに楽で信頼できます。ただ、設定無しでScan Nowして動くかと言ったら無理。

じゃあ玄人向けかというとそうでもない。驚いたのがトラフィックモニターがない。ログすら取ってない。取りたきゃFiddlerでも使えとヘルプに書いてある潔さ（？）

で、きちんと動いているかどうかどう確認すればいいか、っていったらトラフィックログ見るしか無いんですね。デバッグログとか一応あるけど貧弱で使い物になりません。

（トラフィックログについてはサポートを問い詰めたらFidller形式で保存する隠し機能がある事を白状しました）

クローラ

ダメです。見落とすし不必要なところを見にいくし。Manual CrawlかImportを使いましょう。ただしManual Crawlには後述する大バグが。

脆弱性の検出率

厳密に評価してないんで分かりません。でもまあ割と色々検知してます。

サポートしている脆弱性

さすが商用ツールだけあって広いです。WebInspectとの違いを感じたのはWordpressの検出とか。

StrutsのOGNL Injectionは当初対応してませんでしたが、「対応せんのー？」と問い合わせを入れたところ（別件でCEOを引っ張り出してたこともあったのか）翌日のアップデートで対応されました。

安定性

今のところ問題なし。WebInpectの苦労がウソのよう。PauseしてRestartしたらクラッシュしないかとか心配する必要がありません。

バグ

安定性はいいのですが、バグは多い。対応は速いんですけど、うーん。

・Manual Crawlを使うとCSRFトークンを認識しない（報告済み・修正困難との回答）

・Imported URLに出るのにSitemapに現れず診断してくれない場合がある。再現性いまいち。回避できるっぽい方法もアリ（追記：再現性が無くなったため保留中）

・Custom Cookieを忘れる場合あり（追記：報告後数日で修正されました）

速度

不満はありません、最高で35req/secぐらい目撃しました。

厄介なセキュリティ機構への対応

ログインマクロ・Captcha

ログインマクロはCaptchaも対応しており、今まで使用してきた診断ツールの中では一番優秀です。Logout Conditionも自動で判定してくれ、もちろん手動での修正も可能。

CSRFトークン

サイトで自慢気に謳っているCSRFトークンは前述のとおりManual Crawlの際に機能しない大バグがあります。

BurpのMacro使って暫定対応させてますが、非常に遅くなるのでCSRFトークンが必要な機能についての診断をどうするかは検討中・・・
こんな状態で出荷すんなよと言いたい。こういう点でも素人にはおすすめできません。

SSLクライアント証明書

一応対応していますが、挙動がおかしくなるとの報告もあります。（未確認）

レポート

英語しか対応してませんが、そこそこ使えるPoCもセットで出してくれます。SQLインジェクションツールも、もちろんついてます。OSコマンドインジェクションツールもあります。

またPoCが出せない場合も脆弱な疑いがある場合は”Possible"としてレポートしてくれます。
ただ、Aタグ内に"onload="alert(9)"を挿入して「これがPROOFや！」とドヤ顔で報告してきたりもします。

サポート

英語とイギリス時間になりますが、割と的確な返事が早く返ってきます。ライセンスを購入していれば高額なサポート契約等は必要ないというのはGood。

"World Wide Support"とか謳ってたので「日本語対応せんのー？」と聞いてみましたが、「World Wide SupportってのはWebでサポートするってことだよ、あと英語だけっす」という回答が。なにそれ普通。ちなみにUIはなぜか韓国語にだけ対応。

その他

Burpほか様々なフォーマットから診断対象をインポートすることができます。

WIのProxyモードと違って、診断に必要なURLだけエクスポート元で選んでおくということができるので、食わせたい条件が複雑なシステムの場合、この機能を使うとよいかも。ただ恐らくこの機能もCSRFトークンは機能しないでしょう。

ヘルプを読んでいたら「1パラメータあたり約1000リクエスト発生します」とあったので目玉が飛び出ましたが、実際回してみるとそこまでは発生しませんでした。

WebInspectと違い、リアルタイムにスレッド数を変えられます、また設定でウェイトを設定することもできます。ただスロットル調整は難しいです。少ないと遅いし上げすぎるとタイムアウトと再送が発生して効率が落ちるし。もうちょっとインテリジェントにならないものか。

左のペインに診断対象リクエストが表示され、チェックボックスがあるので診断中にチェックを外してみましたが、どうもすぐには反映されない模様。

Scopeの設定が直感的でなく、未だに混乱する。またWebInspectと違いManual Crawl中にOut of scopeになってしまったURLを後から追加する方法が恐らく無いので、設定をミスったらやり直し。

「Compare」はあるものの「Scan Again」的な機能がないので、診断開始後にやり直したくなった場合はクロールからやり直しになります。（WebInspectにもない）

「Compare」はアテになりません。手動で確認しましょう。

総合評価

Burp等での手動診断ができ、かつ診断ツールのよくあるトラブルをトラフィックログから見つけられる熟練者のセカンドツールとしては悪くありませんが、初心者がこれだけで診断するのはキツイでしょう。

XPeria X Performance root化メモ

・Flashtoolでftfを落とす（自動だとクッソ遅いので手動が吉 それでも4セッション8Mbpsほどに縛られてる?）
・Flashtoolで7.1にアップデート
7.1.1の場合、現時点でFlashtoolに7.1.1用スクリプトが無くエラーになってしまうので.flashTool\devices\F81XXにある39.fscを41.fscにコピーしてからftfを作成。
オプションはAndroPlusさんの記事参照。(SYSTEM, CACHE, KERNEL, BOOT_DELIVERY 以外は焼かないほうが無難?)
・ブートローダーアンロック
・AndroplusさんのサイトにあったXP_AndroPlusKernel_vxx.zipとTWRP-3.0.2-4-dora.imgをflash
fastboot flash boot boot.img
fastboot flash recovery twrp-(version).img
   fastboot reboot
・supersu.zipをダウンロードしてきて、どこかへ放り込む
・PINを設定し、「機器の再起動時にロックNo.を利用する」を選択。
・TWRPを起動してsupersuをインストール（何度か自動で再起動する）

・XPosedとセルスタンバイ対策モジュールをインストール（まだ圏外時間が長く表示されるが4.4で対応済み?）

その他：
・DRM解除はAndroPlusKernelに組み込まれてるため対策不要。


【fastbootの入り方】電源を切り、ボリューム↑を押しながらUSBケーブルを刺す

【TWRPの入りかた】リセット後・バイブするまでの間電源＋ボリューム下、バイブしたら電源ボタンを離しTWRPが起動するまでボリューム下長押し（”Your device has been unlocked"の画面が出たり緑LED点灯時は失敗、ケーブルが刺さってた場合は抜いてやり直し）
なおadb reboot recoveryではなぜか起動できず。(fastbootと書いてるサイトもあったがfastbootにそのようなオプションは存在しない)

リセットは電源ボタンとボリューム上長押し

【トラブル】
Androidのロゴで固まる→一度リセットしたら復活(??)

スマホ用カーナビアプリ比較

やる気なさげだったInternaviがアップデートしてたので再レビュー。

	Internavi	Googleナビ	Yahoo!カーナビ
スマートルート	○	×	○
到着予測時刻	◎	○	💩
オービス	×	×	○
高速/一般切替	○	×	○
UI	×	×	○
ソフトウェア品質	💩	○	○
価格	3,000円/年	無料	無料

Internavi

メリット

到着予測時間は一番正確。不必要な有料道路を避ける「スマートルート」が秀逸。バージョンアップで高速・一般道切替機能も実装された。

デメリット

案内音声のボリュームが「出る」「出ない」でしか調整できない（しかも最大にしても音が小さい）という大バグが長期間放置されるという低品質アプリ（最近やっと修正）。キャッシュ機能が実装されるまではデータ通信量もバカみたいに多かった。
UIはバージョンアップでマシになったが、道路切替やリルートといった運転中に頻繁に使うであろう機能がワンクリックで操作できなかったり、やはりうんこレベル。

年間3000円という、頻繁に運転しない人には悩ましい料金体系。

Googleナビ

メリット

タダ。リリース当初はどうしようもないルートを提案してきたが随分マシになった。到着予測時刻の精度もまあまあ。開発速度もまあまあ。

デメリット

どんな短距離でも高速道路を使おうとするアホルート。設定で高速不使用にできるが今度は全く使わないルートしか提案できない。しかも高速不使用をデフォルトに設定できないので都内でのちょっとした移動が多い人間にとってはストレスが大きい。高速/一般切替機能がない。
時々物理的に右折不能なルートなどを提案してくる。指摘しても何年立っても直らない。外資病。

Yahoo!カーナビ

メリット

タダ。当初はVICSのみだったがプローブにも対応。「おすすめ」ルートはInternaviの「スマートルート」同様にと不必要な有料道路も避けてくれる。高速・一般道切替も早い段階で実装されており、スマホナビにありがちな「いつのまにか一般道に降りてる/高速」問題にサッと対応できる。開発は積極的で頻繁に機能追加や改善が行われている。唯一のオービス対応、ねずみ取りは非対応。

デメリット

到着予測時刻がうんこ。つまりルートに信頼性がない。それ以外に目立った弱点は無いが肝心の性能がうんこでは・・・・。

まとめ

金払ってでもいいから最適ルートを→Internavi
不正確でも良いからオービス警告機能付きのナビが欲しい→Yahoo!カーナビ
それ以外→Googleナビ