この記事は職業訓練校の受業の内容の要点をまとめたものです。 職業訓練校を検討されている方が居たら参考にしてください。

• GameProductionBasic
• 流れ
  • ガイダンス
  • 最近のゲーム業界について
    • ゲーム(電源ゲーム)をプレイする媒体
    • 媒体の歴史
    • ゲーム制作の歴史
    • ゲーム開発現場
  • ゲームができるまで
    • 複数人でゲームを作る場合、どのような分担(職種)があるだろう？
    • ゲームデザインとゲームが出来るまで
  • スクラッチ導入
    • スクラッチとは
  • 確認テスト

GameProductionBasic

流れ

ガイダンス

最近のゲーム業界について

ゲーム(電源ゲーム)をプレイする媒体

• 家庭用のゲーム機
• ゲームセンターの機体
  • アーケード
    • 体験型
    • 太鼓、バイク、車など
• 携帯電話 / スマホ -> アプリゲーム
• PC
  • 配信・DL
  • ブラウザ
  • パッケージソフト
• 1個のゲームしかできないもの
  • たまごっち、テトリス、デジモンとか
• チームラボ
  • プロジェクションマッピング

媒体の歴史

• 比較的昔からある
  • 家庭用ゲーム機
  • ゲームセンターなどに置かれるゲーム
  • パソコン・パッケージソフト
• 比較的近年登場した
  • 携帯電話 / スマホ -> アプリゲーム
  • パソコン: DLソフト(Steamなど)
  • パソコン / スマホ -> ブラウザゲーム

☆インターネットを使用しているかしていないかで別れる

ゲーム制作の歴史

• かつてのゲーム制作
  • 人員、費用、期間が大きい
  • 個人でゲームを制作して、販売する...というのは困難
• 最近のゲーム制作
  • 小規模なゲームなら少人数で制作できる
  • 配信で販売も容易になった

ゲーム開発現場

• ファーストパーティ
  • ゲーム機、ハードを出す会社
  • 任天堂、SONY、マイクロソフト...
• セカンドパーティ
  • ファーストパーティの関連会社
  • 言葉としての限定が曖昧である
• サードパーティ
  • 上記に当てはまらない、ゲーム機のゲームを販売する会社
  • カプコン、コナミ...
• パブリッシャー
  • パソコンやスマホでのサードパティ
• デベロッパー
  • ゲームの開発を担当する会社
  • 販売はしない

ゲームができるまで

複数人でゲームを作る場合、どのような分担(職種)があるだろう？

• テスター、バグチェック / モニター / デバッガー
• プランナー(企画、シナリオ、権利・法律関係)
  • ゲームの企画、仕様など担当
• ハード制作
• ソフト制作
• 音楽制作(サウンドクリエイター、音楽、効果音、声優)
  • コンポーザー
    • 音楽担当
• プロデューサー
  • 作品全体のリーダー的存在
• ディレクター
  • 開発のリーダー
• デザイナー(グラフィック、モデラー、モーションアクター)
  • グラフィッカー
    • ビジュアル面の担当
• プログラマー
  • スクリプター
    • プログラミング担当
• 営業
• マーケティング

ゲームデザインとゲームが出来るまで

• ①プラン
  • ゲームの概要を考える
• ②企画書
  • ゲームの面白さを伝えるための資料を作成する
• ③プロット
  • ゲーム、シナリオの流れをまとめたものを作成する
• ④仕様書
  • 各開発担当が制作できるように細かな内容を記載する
• ⑤制作
  • グラフィック、サウンド、プログラムなど、各担当が制作する
• ⑥テスト
  • ゲームが正常に動作するかテスト、デバッグを行う
• (番外)プロモーション
  • ゲームの面白さが伝わるようにPRする

スクラッチ導入

スクラッチとは

Scratch財団がマサチューセッツ工科大学メディアラボ ライフロングキンダーガーデングループ（MIT Media Lab Lifelong Kindergarten Group）と共同開発する、8〜16才のユーザーをメインターゲットにすえた無料の教育プログラミング言語及びその開発環境である。

• スクラッチ導入

• アカウント登録

• x, y座標への移動

• 背景の変更
• スプライトの変更
  • スプライトの大きさ
  • スプライトの名前
• ファイルの保存
• スプライト2体以上での作成
• コスチュームを使ったアニメーション
  • 次のコスチュームにする、で繰り返し処理
    • 向きで操作する
• コスチュームの複製
  • 編集

確認テスト

• ゲーム制作の途中段階で作成する、「ゲームの面白さを伝えるための資料」に当たるもの
  • 企画書
• プロット
  • 筋立て、構成のこと

書籍を読んで

www.amazon.co.jp

• 書籍を読んで
• XML外部実体参照(XXE)
  • 概要
  • 脆弱性が生まれる原因
  • 対策
    • XMLの代わりにJSONを用いる
    • libxml2のバージョン2.9以降を用いる
    • libxml_disable_entity_loader(true)を呼び出す
  • まとめ

こちらの書籍を読んでWebアプリケーションを作る際に重要な要点を自分用としてアウトプットします。

XML外部実体参照(XXE)

概要

XMLには外部実体参照という機能があり、外部ファイルの内容を取り込むことができる。 XMLデータを外部から受け取るプログラムは、外部実体参照の形でWebサーバ内部のファイルなどを不正に読み取られる可能性がある。 この攻撃をXML実体参照攻撃と呼び、XML外部実体参照ができてしまう脆弱性をXML外部実体参照脆弱性と呼ぶ。 ※XML外部実体参照という用語は長いので、XXE(XML External Entity)と省略する。

脆弱性が生まれる原因

XMLの外部実体参照を使うとXML中に外部のファイルを流し込むことが出来ることはXMLが元々持つ機能。 従って、XXEはXMLの機能を悪用するものであり、プログラムにコーディング上のバグがあるというものではない。

対策

XXEはXMLの機能を悪用するものなので、外部実体参照を禁止する指定を行うことが基本となる。 PHPの場合以下のいずれかの方法でXXE対策が可能。

XMLの代わりにJSONを用いる

外部から与えられた信頼できないXMLを解析しないことでXXE対策となる。 しかし、XMLは外部とのデータ交換に用いられることも多いため、単にXMLの受け取りをやめるというのは難しい場合がある。 このため、外部とのデータ交換には、XMLの代わりにJSONを用いる方が安全である。 JSONの場合、安全でないデシリアライゼーションやXXEなどの問題は通常発生しない。 ただし、SOAPのようにプロトコルでXMLを採用している場合には、XMLをやめるわけにはいかないので、以下の外部実体参照を禁止する方法で対策する。

libxml2のバージョン2.9以降を用いる

PHPのXML処理には、内部でlibxml2というライブラリが用いられている。 libxml2の2.9以降では、デフォルトで外部実体参照を停止する設定となっており、XXEに対して脆弱ではない。 ただし、PHP側で外部実体参照を許可する設定にしている場合は例外となる。 ※メジャーなLinuxディストリビューションに関して、サポート継続中、かつ最新のパッチを適用していれば、libxml2側で外部実体参照を停止していることが確認されている。

libxml_disable_entity_loader(true)を呼び出す

PHPにはlibxml_disable_entity_loaderという関数が用意(PHP5.2.11以降)されていて、これを呼び出すことにより、libxml2やPHP側の処理内容に関わらず外部実体参照が禁止される。

まとめ

XXEが最初に報告されたのが2002年なので、かなり古くから知られている問題だが、これまで大きく取り上げられることはなかった。 しかし、OWASP TOP10の2017年版に4番目のリスクとしてランクインしたことにより大きな注目を集めることになる。 PHPを使う限り、libxml2のバージョンアップあるいはパッチ適用に対策されるが、Java言語の場合アプリケーション側での対策が必要となるため、PHP以上に注意が必要である。