OCN がパスワードの定期変更を求めてる件 - どさにっき
2014年12月5日(金) ■ 拡張メールアドレス _ これ。 Gmail でも使えるようですが自分は Gmail 使ってないので詳しくは知りません。元々の発祥は qmail だと思います。 いや、sendmail の plussed usersが最初のはず。いつからあった機能かは知らんけど、qmail より古いのはたしか。とくにいじらなくてもデフォルトで有効。sendmail 本家の cf だけでなく、昔なつかしい WIDE CF でもサポートされていた由緒正しい機能。 _ plussed という単語が示すとおり、sendmail で拡張部分を示すデリミタは "+" で、postfix でのデフォルトのデリミタと同じ。このことからも、デリミタが "-" の qmail ではなく、sendmail との互換性のために用意された機能であることが推察される。sendmail も postfix
どさにっき
2014年11月11日(火) ■ NetBSD edns0 (fixed) _ NetBSD でリゾルバの edns0 対応が腐ってた件、やっと修正を コミットしてもらえたようで。自分でももうすっかり忘れてたよ。send-pr したのが去年の12月だから、それから11ヶ月か。 別の人が同じ問題にハマってくれたおかげでこの件が発掘されたみたい。 みたい。 _ 別件で、ついこないだ OpenBSD のリゾルバでも気になることを見つけちゃったんだよね。バグというよりも他の OS と挙動が異なる、という程度なんだけど、その違いというのがセキュリティ的に安全側に倒れてないので、うーん、という感じ。近所にコミッターな人がいたので、挙動を他と合わせるようにできないか相談してみたり。 2014年11月12日(水) ■ 無題 _ 左耳が聞こえにくい件、だんだん悪化してきて、静かなところでは耳鳴りも聞こえるよ
どさにっき
2014年10月31日(金) ■ 無題 _ また耳の聞こえが悪くなった…。 ■ zgrep _ 検索パターンをファイルから読む。 % grep -f pattern filename パターンは標準入力からも食える。 % cat pattern | grep -f - filename ファイルが圧縮されてるなら zgrep の出番。 % zgrep -f pattern filename.gz が、こいつはうまくいかないことがある。 % cat pattern | zgrep -f - filename.gz _ zgrep って、sh スクリプトで書かれてるものと、C で書かれてるものと2通りある。sh で書かれてるものは、要するに内部的に zcat filename.gz | grep -options pattern となるように書き換えてるだけ。よって zgrep -f - fi
qmail + Shellshock: どさにっき
2014年9月24日(水) ■ SSDP _ IW2014 DNS DAYのプログラムが発表されてました。今年も喋ります。お題は IP53B。よろしく。 _ 内容は IP53B に関連するんだけど、持ち時間があまり長くないのと、あくまで "DNS" DAY ということでテーマがそぐわないかもということで、当日に喋らないかもしれないネタを今のうちに投下してみる(余裕があれば喋りたい)。 _ SSDPというプロトコルがあるですよ。UPnP で使われるもの。1900/udp。はい、UDP です。amp 攻撃の踏み台に利用可能。 増幅率はおよそ30倍ぐらい。踏み台になりうるオープンな SSDP サーバは、 全世界で1700万台、国内に65万台も存在している模様。 オープンリゾルバよりも多い。 _ さらに悪いことに、オープンソースの複数の SSDP 実装には、外部から任意コードを注入できる 脆弱性の
.local - どさにっき
2014年6月23日(月) ■ 無題 _ 持ち時間30分で50枚って無理だよね…。まだ何枚か増えるし。 2014年6月26日(木) ■ 無題 _ ひさしぶりに大手町に来たけど、以前といろいろ違いすぎててアレ。再開発やってるのは知ってたけどここまでとは。当時は公庫ビルの職員食堂とか日経新聞の社員食堂とかよく忍びこんで昼飯食ってたけど、ビルどころか、ビルが面していた通りごと消滅しちゃってるし。 _ KDDI とか NTT com とかのビルは変わらぬ姿で安心する。通信設備が入ってるビルはそう簡単に建て替えられんからね。それでも、生活彩家がなんでセブンに変わってるんですかー。 ■ .local _ ということでみなさまおつかれさまでした。今日話題になった、というか話題にした件。 RFC6762。 Any DNS query for a name ending with ".local." MUS
さよなら greylisting - どさにっき
2014年6月19日(木) ■ さよなら greylisting _ MS の Office365 と超絶相性が悪いみたい。word やら excel やらじゃなくて、メールサービスとしての o365 ね。 _ spammer は配送効率を重視して送信失敗しても再送しないことが多いという仮定のもと、いったん 4xx で一時エラーを返してから、再送してきたメールだけを受け取るというのが greylisting。で、再送されてきたメールなのかどうかを判定するのに使われるのが送信元の IP アドレス。from、to、IP アドレスの3つセット(triplet)で判定するとか、IP アドレスだけで判定するとか流儀はあれど、いずれにせよ判定には必須。が、o365 は再送のたびに違う IP アドレスから送信してくるみたい。よって、greylisting をやってるサイトでは o365 からのメールは受
どさにっき
2014年6月5日(木) ■ openssl 祭 _ openssl に また穴。 _ んーと、MITM によって、攻撃者が強制的に強度の弱い暗号を使わせるようにすることができる、という直球ド真ん中のダウングレード攻撃ということかな? とはいえ、おそらくクライアント/サーバがサポートしない暗号を使わせることまではできないだろうから、平文(eNULL)まで弱くなるということはないような気がする。つまり apache でいえば、SSLCipherSuite HIGH:MEDIUM と設定してある場合、この脆弱性を突いて HIGH じゃなくて MEDIUM な暗号を使わせるようにすることはできても、LOW な暗号にさせることはできないんじゃないかということ。 _ ……あ、いや、違う? もしかして鍵交換に介入して共通鍵を奪われちゃう? だとすれば、どんな暗号アルゴリズムでも自由に復号できちゃうから
ssl 設定 2014/05 版: どさにっき
2014年5月22日(木) ■ ssl 設定 2014/05 版 _ 2013/03 版以降で SSL の安全性に関する大きなトピックというと、最近の Heartbleed bug(およびその後に続く世界的なコードレビュー大会)と、それから スノーデン事件で注目されることになった PFS。ちうことで、このへんどうすればいいのかってことを考えてみる。 _ Heartbleed については、なにはなくとも openssl 穴のないバージョンに上げとけ。以前からコードが汚いとはさんざん言われていながらもこれまで致命的な穴は見つかってなかったけど、今回の件はさすがにひどすぎて徹底的なコードレビューがはじまってるんで、これほどでもないけどそれなりに影響のある脆弱性は今後もしばらくぽこじゃか見つかりそうな気配(つーか、もう 出てる)。つーことで、致命的なものが見つかったらいつでも入れ替えができるような
Web コンテンツのログを取る - どさにっき
2014年2月3日(月) ■ Web コンテンツのログを取る _ とある Web アプリのログを取りたい。通常のアクセスログではなく、POST で送ったデータと、その応答。具体的には XML や JSON のような構造を持ったデータの一部を記録しておきたい。どうやればいいんだべ。ちなみに、その Web アプリは他人様が動かしてるものなのでこちらではいじれない。クライアント側でログを取ることを想定。 _ こういうことやる場合は、apache なプロクシを経由させるようにして、その apache 上で mod_dumpioを使うというのがまず思いつくんだけど、これ使いものにならんよな。特定の URL へのアクセスだけ、さらにそのコンテンツに含まれる必要な情報だけをロギングするということができないので、ほんとうに欲しい情報が大量のゴミに埋もれてしまう。一時的なデバッグにはいいかもしれないけど、常
どさにっき
2013年12月22日(日) ■ 黒斑山 _ 冬が来たので雪と戯れに。浅間山の外輪山である黒斑山まで。 _ 登りはじめたときは、雲は多かったものの青空も見えてたんだけどなぁ。だんだん曇ってきて残念な感じに。まあそれでも何とか浅間山は見えたからいいとするか。天気はよくなかったけど風はほとんどなくてそれほど寒さを感じることもないのはよかったか。 _ 下山後、温泉に入って、出てからふと黒斑山を見上げると、てっぺんまで晴れてるじゃないですか。タイミングわるいなーもう。 _ 今日は曇ってたので必要なかったけど、雪遊びには雪面の強烈な反射から目を守るためにサングラスが必須。以前使ってたものをなくしてしまって、しかたないから先月新しく作りなおしたんだけど、なくしたはずのサングラスがついさっき車内から発見されたよ。度つきだから高いのに。ムダな出費だった…。 _ 樹間から南アルプス方面。このころはまだ青空。
どさにっき
2013年9月23日(月) 秋分の日 ■ 白馬縦走 _ 21日。栂池自然園→白馬乗鞍岳→白馬大池。22日。白馬大池→小蓮華山→白馬岳→杓子岳→白馬鑓ヶ岳→天狗平。23日。天狗平→不帰ノ嶮→唐松岳→八方尾根。テント担いで3日間かけて後立山連峰の北半分を歩いてきた。景色が見たいだけで山に登りたいわけではないんだけど、でも自分で歩いていくしかその手段がないのでがんばってみた、を繰り返しているうちにいつのまにやら北アルプス屈指の難所である不帰キレットを越えるまでになってしまいました。死ぬかと思ったけど。 _ 2日目は曇ってたけど、それでもかなり遠くにあるはずの槍ヶ岳まで見えるぐらいの眺望。そして初日と3日目は文句なしの快晴ですばらしい眺め。紅葉はまだ早いかなーと期待してなかったんだけど、意外とそうでもなく、ピークちょっと手前でだいぶいい感じに色づいていた。 _ そんないい風景を随所で立ち止まって写
ルートサーバをでっちあげよう - どさにっき
2012年2月22日(水) ■ Apache 2.4 正式リリース _ 2.4.1 出た。…2.4.0 は? _ しばらく前からリリースされそうな気配が見えてたので、うちのサーバも 2.3 の最終版で設定のテストをしておこうかと思ったんだけど、間に合わずリリースが先になってしまった。ずいぶん前から評価目的ではいろいろいじってたので、とくにとまどうことなく移行できる目算はついてはいるんだが。このところなんか時間が取れないな。仕事は(いつもどおり)あまりしてないのになんでだろ。まあ、本気でやろうと思えばこの程度の作業に使う時間ぐらいは確保できるので、その程度のやる気しかないってことだが。 ■ ルートサーバをでっちあげよう _ global blackout の件、なんか Anonymous は おれ知らねーとか言ってるし、落とすの無理っしょ、とかいう 記事に対して いい指摘だとか言ってる。わし
どさにっき
2013年8月22日(木) ■ gmail の逆引き制限 _ おとといぐらいからちらほら 話に出てたけど、gmail が逆引きのない v6 アドレスからのメールを蹴り始めたらしい。もうめんどくさいので主張は繰り返さないけど、バカですか。 _ 各所の情報を総合すると、gmail がこの制限を入れたのは先週の金曜か土曜日あたりかららしいんだけど、その話を聞いて火曜日に ここを見にいったときには IPv6 向けの追加のガイドライン 送信元 IP には PTR レコード(送信元 IP の逆引き DNS)が必要です。また、PTR レコードで指定されているホスト名の DNS の正引き解決によって取得した IP と一致している必要があります。そうでない場合は、メールに迷惑メール マークが付けられたり、メールが拒否されることがあります。 送信元ドメインは、SPF チェックまたは DKIM チェックにパスす
1.1.1.0/24 - どさにっき
2013年8月1日(木) ■ 要出典 _ 教えてもらったんですが。自分でいうのも何だけど、wikipedia のとある項目の 出典がおかしい(*1)。いや、冗談ではなく。[要出典]だからといって、なんでもリンク張ればいいってものじゃないのに。 ■ 1.1.1.0/24 _ なんぞこれ? > whois -h whois.radb.net 1.1.1.1 route: 1.1.1.0/24 descr: Google origin: AS15169 notify: radb-contact@google.com mnt-by: MAINT-AS15169 changed: radb-contact@google.com 20130718 source: RADB (略) 1.0.0.0/24 とか 1.2.3.0/24 とかも同様。なんで AS15169 から出てんの? 自分が気がついたのは
Apache 2.4.6 - どさにっき
2013年7月22日(月) ■ Apache 2.4.6 _ いつのまにやら 2.4.6がリリースされたようだ。 トップページではまだ 2.4.4 が最新ということになってるし、新しいのがリリースされたよ、というニュースも見当たらないけど。2.4.5 はバージョンタグを打った直後にバグが見つかって修正が入ったため欠番とのこと。 _ ちうことで、うちのもさっそく入れ替え。まあ、とくに変わらん。脆弱性が2件修正されてるようだけど、うちじゃ関係ないし、それ以外の修正点も使ってないモジュールがほとんどだし。じゃあ、なんで入れ替えた:-) _ httpd.conf の中でマクロ展開できるようにする mod_macro というモジュールが新しく追加されたようだ。 Define DOCROOT /path/to/docroot DocumentRoot ${DOCROOT} <Directory ${D
どさにっき
2013年4月12日(金) ■ unbound ANY 制限パッチ _ DNS で ANY を聞くとだぁーっといっぱい答が返ってくるわけだけど、そもそもふつーに使ってて ANY を聞くことなんかあるんですかね。人間がテスト目的で手で叩く以外で。qmail は MX を聞くかわりに ANY を聞くけど、それぐらい? _ それから、UDP 512バイトの壁を越えるためには EDNS0 を使うという方法があるけど、キャッシュサーバではないふつーのクライアントから EDNS0 なクエリがやってくることってあるんですかね。NetBSD、OpenBSD は resolv.conf の options edns0 で設定できるけど、それぐらい? _ で、さらに、ANY かつ EDNS0 なまっとうな問い合わせって、どんだけあるんですかね。まずないよね、きっと。かぎりなくゼロなんじゃないかな。 _ という
どさにっき
2013年2月11日(月) 建国記念の日 ■ 伊豆へ _ なんかちょくちょく来てるような気がしてたが実は6年ぶりだったらしい。ここのところずっと寒いところに出かけてたから、あったかすぎて拍子ぬけする。河津桜が満開になるのはまだ先だけど、それでもすでにちらほら咲きはじめてるし、菜の花も何ヶ所かで咲いてるところを見た。こういう気候のいいところでぼけーっと温泉につかってると気分だけはもう春だな。 _ 石廊崎のちょっと西にある展望台から。なんか名のある景勝地のような気がするが、なんて名かはわからん。 河津桜ではないようだが早咲きの種類の桜の、その中でもさらに一本だけ狂い咲きでひと足はやく満開になってしまった木にメジロが。 静岡名物「この先いたわり不要」。写真には撮ってないけどもう1ヶ所でも発見。 ↓前回6年前に発見したときの写真を発掘してみた。ついでに 半年前に発見したもの。 2013年2月20日
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://ya.maya.st/trash/shellshock-rdns.pdf
http://ya.maya.st/trash/openresolver.pdf
崇徳 - どさにっき