bash の危険な算術式 - どさにっき
■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し
どさにっき
■ KnotDNS _ 昨年の IW2018 の資料が公開されたようで。 _ 自分は Knot DNS の話をしたですよ。DNSSEC やりたいけどあんなの運用まわらん、とか、Let's Encrypt で DNS 認証させたいけど自動化できなくてめんどくさい、とか言ってる人いればぜひ Knot を使ってみてくださいませ。自動化できるよ。まあ、BIND でできないわけじゃないけど。いきない Knot に乗り換えるのが怖くても、資料にあるように、BIND やら NSD やら使い慣れたものを前段、後段に置いて三段構成にすれば、Knot をほとんど意識せず、これまでとほとんど変わらない感覚で自動化できるよ。 _ 資料に書こうか迷ったけど結局やめておいたネタ。 _ 資料では Let's Encrypt の dns-01 認証による証明書取得を自動化する方法について触れてるけど、そうはいってもうちの
海賊版シンポ 2018年9月4日(火) どさにっき
■ 海賊版シンポ _ これ行ってきた。取材記事は これとか これとか。 _ 海賊版対策において出版社がやるべきことを尽くしてないとは前から言われてたことなんだけど、その感がますます強くなった。出版社は CDN 事業者に対していまだ訴訟を起こしてないのにはじめから効果がないと決めつけてるし(出版社ではなく 著作者個人が訴えたケースはある)、何より今回明らかになったのは、出版社が作家とまったく連携してないってこと。 _ 赤松健がいきなり「出版社から何の説明もされてない」と爆弾を投下しちゃった。「作家の立場がブロッキング反対だったらどうするんですかね」と疑問を投げかけてたけど(実際は作家たちの方でも意見がさまざまでひとつにまとめるのは難しいとのこと)、作家と出版社の間で意見の調整をはかるどころか、まったく説明すらしてないって論外なのでは? _ それから、最後の最後、パネルディスカッションの締めく
どさにっき
■ 通信の秘密 _ ちうことで、ついに 裁判に。 _ 今回の件で痛感したのが、通信の秘密ってぜんぜん理解されてないんだなー、ということ。憲法で定められている基本的人権のひとつなのに。 _ ブロッキングを問題視してない人ってのは、たぶん「ブロックすること」が通秘の侵害だと考えてるんじゃないかなぁ。名指しされたサイトにアクセスしなければブロックされることもなく、ブロックされないのであれば自分自身の通信の秘密は侵害されない。そう考えてるんじゃないかと推測する。 _ この考え方は間違ってるからね。いや、ブロックすることも侵害なんだけど、それ以前に「ブロック対象かどうかチェックすること」が通信の秘密の侵害。名指しされたサイトにアクセスするのではなく、たとえば youtube で動画を見るだけでもブロック対象かどうかチェックされ、そうでなかったからブロックされずに youtube にアクセスできるわけ
著作権侵害サイトブロッキング - どさにっき
■ 著作権侵害サイトブロッキング _ ブロッキングやるんだってさ。ひでーな。これまで「要請」と言われてたのが「自主的対応」でやってくれ、ってことに一歩退いた表現にはなったけどさ、実態は大してかわらん。 _ 立法は後でやるから、それまでは臨時的に緊急避難扱いで、といってるけどぜんぜん臨時じゃないんだよね。一時的な措置とはいえ、緊急避難の基準をこれまでよりずっとユルいものに下げてしまったという事実はずっと残るんだよ。海賊版を緊急避難でブロックするのが一時的なものでしかないとしても、今後別のコンテンツブロック(たぶん次は違法薬物あたり)をやりたいという声が上がったときに、著作権はあんなもんで緊急避難にできたんだからこっちもそんなもんでいいだろう、となっちゃう。立法までなんかじゃない、その後にまでずっと過恨を残す決定だよ。 _ 政府が示し合わせてるので、実際にブロックしても総務省は指導しないし警察
1.1.1.1 どさにっき
■ 1.1.1.1 _ NANOG で話題になってるんだけど、どうやら cloudflare が 1.1.1.1 と 1.0.0.1 というおそろしいアドレスで public dns を始めようとしているっぽい。 % dig +noall +ans 1.1.1.1.in-addr.arpa ptr @1.1.1.1 1.1.1.1.in-addr.arpa. 1735 IN PTR one.cloudflare-dns.com. 今日の夕方ごろは応答に2秒とかかかってたけど、夜になってからは 10ms 以内で返ってくるようになった。anycast への組み込みが完了したのかな? _ で、なんで cloudflare なの? 1.1.1.0/24 は 常時かなりのトラフィックが流れていて汚れてるからどっかに割り振りはしないで研究やら何やらの用途のために予約するとか言ってなかったっけ? いちお
圧縮 tar 玉の展開 - どさにっき
■ 圧縮 tar 玉の展開 _ 圧縮されたtarの展開方法の変遷。最近は tar+gz でも自動認識だから展開時に z やら j やらのオプションはいらんよ、とのことだが、残念。GNU tar ではいまだに z が必要。 _ こういう単純な展開をするだけならば、たしかに z はいらない。 % tar xf hoge.tar.gz が、 % tar xf - < hoge.tar.gz これは動かない。つまり、標準入力から tar 玉を食わせるときは圧縮形式を指定するオプションがないと動かない。上のようなコマンドを叩くことはあまりないように思うかもしれないけれど、 % tar czf - dir | ssh anotherhost tar xvf - -C /path/to/dir こういう使い方なら日常茶飯事で、ここで GNU tar は z の指定がないとコケる。 _ 圧縮されてるから
どさにっき
2011年6月21日(火) ■ ルートサーバ更新 _ D がデュアルスタックに。 重複案内。 _ でさぁ、 以前も書いたし、dnsops ML にも同じこと考えてる人いたけどさ(あれってそういう意味だよね?)、ヒントファイルの配布のしかたどうにかならんの? ダメだよあんなのじゃ。以下、前回の繰り返しなので、べつに読まなくてよし。 _ ヒントファイル置き場は素の HTTP/FTP なんで、接続先をねじまげられて変なところに誘導させられても確認のしようがない。PGP の署名もあるけど、署名鍵がホンモノかどうか確認できないので意味ない(しかも前回更新のときと違う鍵が使われてる)。なんとびっくり、internic.net は DNSSEC による署名があるようだけど、上位に DS が登録されてなくて信頼の連鎖が切れてるから検証できない。HTTP/FTP を使わなくても、DNS で拾ってきた情報を
ssl 設定 2014/05 版: どさにっき
2014年5月22日(木) ■ ssl 設定 2014/05 版 _ 2013/03 版以降で SSL の安全性に関する大きなトピックというと、最近の Heartbleed bug(およびその後に続く世界的なコードレビュー大会)と、それから スノーデン事件で注目されることになった PFS。ちうことで、このへんどうすればいいのかってことを考えてみる。 _ Heartbleed については、なにはなくとも openssl 穴のないバージョンに上げとけ。以前からコードが汚いとはさんざん言われていながらもこれまで致命的な穴は見つかってなかったけど、今回の件はさすがにひどすぎて徹底的なコードレビューがはじまってるんで、これほどでもないけどそれなりに影響のある脆弱性は今後もしばらくぽこじゃか見つかりそうな気配(つーか、もう 出てる)。つーことで、致命的なものが見つかったらいつでも入れ替えができるような
Apache CVE-2012-0883 - どさにっき 2012年4月18日(水)
2012年4月14日(土) ■ BIND + SoftHSM _ 雨ってイヤね。 _ SoftHSM をインストール。手順略。 _ openssl の pkcs#11 engineをインストール。freebsd なので ports/security/engine_pkcs11 を入れるだけ。テスト。 % openssl engine dynamic -pre SO_PATH:/usr/local/lib/engines/engine_pkcs11.so -pre ID:pkcs11 -pre LIST_ADD:1 -pre LOAD -pre MODULE_PATH:/usr/local/lib/libsofthsm.so -t (dynamic) Dynamic engine loading support [Success]: SO_PATH:/usr/local/lib/engine
どさにっき
■ root KSK ロールオーバー _ 新聞はそっち方面の専門家でない人にもニュースを届ける必要があるので、難しい内容も噛み砕いて説明する必要があって、その結果まわりくどい説明になっちゃうことがあるのは理解している。事情はわかってるので、ふだんはそういう記事を見つけても記者さん苦心したんだろうな、とあたたかい目で見るようにしている。が、いくらなんでも これはひどい。噛み砕いて説明するのに苦心したのはすごくよく伝わってくる。しかしその挑戦にもかかわらず素人さんが理解できる内容になっているとは到底思えないし、わかりやすい説明のために専門用語を使っていないため、そっち方面を理解している人に対してさえ意味不明。この記事の内容を事前に知っていた人(=記事を読む必要がない人)が何度か読み直して「ああ、あのことか」と気がつくのがやっと。誰に対しても存在する価値のない記事になっちゃってる。もうすこし何と
W6D で問題は起きるか? - どさにっき
2011年6月3日(金) ■ W6D で問題は起きるか? _ フレッツ光ユーザーは6月8日の「IPv6 Day」に注意、Webが見られぬ恐れとかいう記事が出てますが。 _ いま現在 デイリーポータルZが問題なく見られれば、W6D 当日も大丈夫でしょう、たぶん。dpz って実は先月のうちにデュアルスタック化が完了していて、ひと足はやく World IPv6 Day な状態になってるので、問題が起きるような環境ならすでに dpz で起きてる可能性が高い。その他、 こののリストにあるサイトも同様。dpz では問題ないけどほかで問題がある、という可能性も十分あるけどね(dpz は AAAA が1個だけで、1回のフォールバックで A にいくのでわりと単純)。ちゃんとテストするなら こういうところで。なんかおかしい場合は、 このへんの対策を取ればいいんじゃないかな。 _ いま問題が起きていてうまくつな
特定パターンを無視して diff する - どさにっき
2011年5月23日(月) ■ O157 と O111 の関係 _ 食中毒事件が起きたのはだいぶ前だが今さら。 _ O157 やら O111 やらが8進数に見えた。ので、ためしに 8進の 0157 を10進数に変換してみた。 _ !! % echo "ibase=8; 157" | bc 111 ということで、O157 と 111 は同じもののようです。 ■ 亀の踊らせかた _ v6 での接続性に問題がないかみんなで検証しようぜ、という主旨のイベント World IPv6 Dayまであと半月。たいていは v6 化(正確にはデュアルスタック化)しても問題は起きないはずだけど、「たいてい」に含まれないユーザが少なからず出てくるかもしれない(まったくいないことが確実ならそんなイベントをやる必要はない)。 _ で、そんな影響が出たユーザがいたとして、その人が v4/v6 のどっちでつながってたのか
どさにっき - mod_lua であそぼう
2011年4月13日(水) ■ mod_lua であそぼう _ 絶賛開発中の apache 2.3 (正式版では 2.4) では mod_lua なんてモジュールが含まれてるですよ。ということで遊んでみる。コンパイルの方法とかそういうのは略。 _ キホンの hello world。デフォでは handle() という関数が呼ばれる。 -- httpd.conf AddHandler lua-script .lua -- hello.lua function handle(r) r.content_type = "text/plain" r:write "hello, world\n" end で、http://localhost/hello.lua にアクセスすると、hello world が表示される。注意すべきは、通常の CGI などとは異なり標準出力を使わないということ。このスクリプ
st とか ly とか
2011年2月21日(月) ■ st とか ly とか _ うちで使っている .st という TLD って DNSSEC 対応するつもりあるんだろうか、と調べてみたんだけど、どうなんだかわからんかった。それはともかく、調べてるうちにサントメ・プリンシペという国についてまったく何も知らないことに今さらながら気がついた。 _ 島国だというのは知ってたのでカリブ海あたりの中米の小国かなと思ってたんだけど、ぜんぜんそうではなく、西アフリカらしい。で、 ここを見てみると、サントメ・プリンシペに割り当てられた IPv4 アドレスの数は、ゼロ…。なんつーか、いろいろ申し訳ない気持ちになった。.st ドメインって実はけっこう高いんだけど(取得したときは酔ってたのでそんなことはぜんぜん考えてなかった)、このうちどのくらいの額がスウェーデンのレジストリ運営会社にピンハネされることなくサントメ・プリンシペ本国に
qmail はオワコン - どさにっき
2011年2月1日(火) ■ ちょっとトイレットペーパー買い占めてくる _ 一般向けの記事も出てるぐらいなんで別にいまさら書く必要もない気がせんでもないが、自分が後で思い出したくなったときのためにメモ。 _ ipv4 がめでたく売り切れました。厳密にはまだ /8 が5個残ってるけど、これは RIR に自動的に分配される分なので、おばちゃんおかわり、と言ってもごめんねーごはんもうないんだわ、となる。 _ 最後のおかわりは、大方の予想どおり APNIC に2ブロック。この APNIC の在庫も年内には枯渇するはず。ほとんど中国が使っちゃうのかなー。 _ 2003年8月の記事。 RIR exhaustion of the unallocated address pool would occur in 2022. 2003年の時点で、RIR の枯渇が2022年の予想。文中では言及されてないけど、
どさにっき - #!/usr/bin/env
2006年6月21日(水) ■ DomainKeys _ えーと、DomainKeys ってのは要するに電子署名なので、署名された後でヘッダや本文が改変されると検証に失敗する。DomainKeys はメーリングリストに弱いと言われる理由のひとつですな。 _ 自宅 postfix に milter を導入したので、DomainKeys を検証できるようにしてこのあたりの動作を注意深く観察してるのだが、このまえはじまった DNSOPS.JPのメーリングリストからのメール。 Authentication-Results: mx.maya.st sender=ロボットによる収集回避@dnsops.jp; domainkeys=pass なんで pass しとんねん。ML が Subject をいじってるんだから fail になるはずなんだが。Subject をいじらないメーリングリストとか、いじっ
Google Public DNS - どさにっき
2009年12月1日(火) ■ freebsd local exploit _ なんかメールきた。セキュリティまわりのいつものアナウンスとはまったく違う形式なんだけど、もう exploit code が出回ってるのでちゃんとした SA は後回しにしてとりいそぎ パッチ出すよ、ということらしい。 _ んーと、修正内容を見ると、unsetenv(3) の返り値をチェックしていないため、危険な環境変数を除去しようとして失敗してもそのまま突っ走ってしまって LD_PRELOAD からコードを注入できてしまう、ということかな。よりにもよって ld-elf.so.1 の中だし。 _ ……え、返り値ってなにそれ? unsetenv() って void を返すんじゃないの? _ 調べてみると、どうやらちょっと前(freebsd は 6、glibc だと 2.2.2)までは void だったけど、最近では成
#@[]
qmail のダブルバウンスのお話。元は postfix-jp ML に投げた質問。 そもそもダブルバウンスって何? qmail のダブルバウンスのどこが問題なの? じゃあどうすればいいの? まとめ そもそもダブルバウンスって何? これは初心者向けではなく、メールサーバ管理者を対象に書いているつもりなので、いちおう解説はするが、手短に済ませる。知っていれば読み飛ばし可。知らなければ恥じること。 宛先メールアドレスが存在しないとか宛先サーバ障害で長期間配送できないとかいう場合、メールは送っても届かない。届かないのでメールシステムが「届けられなかった」というメールを送信元に送る。このメールは一般的にはエラーメールと呼ばれることが多いが、メール屋の専門用語では「バウンス」と呼ぶ。 バウンスメールの特徴としては、どこか他から送られてくるのではなく、メールシステム自身が送信するメールであるということ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
