bash の危険な算術式 - どさにっき
■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し
cookie monster - どさにっき
2011年9月21日(水) ■ 帰宅難民 _ 3.11 のときはうちで寝てたから関係なかったんだけど、台風でひっかかるとは。早々と 15:30 に退勤して、帰宅したのは22時過ぎ。タクシー待ち3時間+タクシー2時間で2駅分しか進まないとかかなりヒドい。その2時間の間に電車が動きだして、タクシーなんか待たずに駅で雨宿りしてた方が早くてよけいな出費せずに済んだ。タクシー待ってる間に長傘が壊れて折り畳み傘も壊れたので買い直さないといけないし。雨が降ってなければ歩くのも厭わないんだけどねぇ。傘が壊れてパンツまでずぶ濡れで震えてたのに歩くというのはさすがにありえなかった。 _ 東京の人間は助け合いの精神が足りん。タクシーを待ってる人はどーせみんな同じ沿線に住んでる人ばっかりなんだから、ご近所さん探して相乗りすればいいのに。来ないタクシーを待つ時間が短くなるし割り勘できて安上がりなのになんでひとりで乗
Norton DNS Public Beta - どさにっき
2010年6月7日(月) ■ 通信の秘密の破りかた。 _ 日本では通信の秘密が保証されているけど、通信当事者の同意があれば、その通信内容を覗き見してもいいと解釈されてるよ。 _ たとえば、ISP による電子メールのウィルスチェック/スパムフィルタ。あれは、ユーザがそれを望んでいることが明白だから(だって自分でオプション契約を申し込んだよね)、通信の秘密が侵害されたわけじゃない、という扱いだよ。正当業務行為とか、緊急避難とかじゃなくて、当事者による同意が違法性の阻却理由。同意を得る手続きなしで勝手にウィルスチェックしてたら(感染しなくてありがたいかもしれないけど)違法だよ。ところで、gmail のウィルスチェックとかスパムフィルタって同意した記憶ないんだけどあれどうなってんのかね。日本向けに日本語でサービスしてて日本法人もあるけど海外企業だから日本の法律は適用外なんかね。 _ でも、メールっ
短縮 URL - どさにっき
2010年4月14日(水) ■ 短縮 URL _ 最近は短縮 URL に出会う機会が多いけど、どこに飛ばされるかわかったもんじゃない短縮 URL はできるだけ関わり合いになりたくない。つーわけで、短縮 URL を元に戻してくれる LongURL というサービスをありがたく利用してた。といっても、greasemonkey のスクリプトからの利用なので(firefox の add-on 版もあった)、実際にサイトに訪れることはめったになかったが。 _ が、最近このグリモンスクリプトの動作がおかしい。つーか展開してくれない。どうしたんかな、と思って見にいったら、 こんなことになってた。ドメインの更新期限が来たのに忘れて失効したとかじゃなくて、 意図して閉鎖したものらしい。あらら。寄付してくれ、とサイトにあったのは知ってたけど、想像以上に維持がたいへんだったようで。寄付せずに使っててごめん。まあ、
ISP のサーバ経由で送られるスパムを流量制限で対抗できるか - どさにっき
2010年3月13日(土) ■ 無題 _ ISPのメールサーバを経由するスパム。別に今にはじまったことじゃないよね。ってゆーか、むしろ先祖返り。業者による大量送信もそうだし、ワームに感染した PC からの意図せぬ送信も昔っから。 _ 感染先をメールで広めるウィルスが出始めたころは、今と違って自力で MX 検索なんてしてなかった。MSOE のレジストリを調べて ISP 経由で送信してた。Nimda とか。Klez とか。当時は SMTP AUTH なんてまったく普及してなかったし、POP before SMTP ですら他社 ISP からローミング接続するとき以外は必要なし、なんてのがほとんどだったから、ウィルスも認証まわりの難しいことは実装しなくてもよかったんだよね。 _ 最近は海外でも OP25B が普及しつつあるようなので、spammer が手段をメールにこだわり続けるのであれば、MX
Amazon EC2 でメールを送ってはいけない - どさにっき
2009年9月11日(金) ■ ボットの DNS 検索 _ v6 の逆引き設定したくねーよなー、みんなどんだけマジメに逆引き書いてんだろ、ということで、実際に v6 足を持ってるホストにアクセスしてきたクライアントを逆引きしてみた。結果。逆引きは半分弱しか設定されてませんでした。国内のサーバなのでとーぜん日本のものが多いんだけど、それ以外だと .de や .fr、.edu が多い印象。ちうか、.jp よりも .de の方が多い。.com や .net な国内 ISP を jp に繰り入れると日本の方が多くなるという程度。ただ、ドイツやフランスが逆引きを書くのがあたりまえな風潮があるかというとそうではなくて、単に v6 の普及度が高いだけという可能性もあるのでなんともいえない。逆引きができなかったアドレスがどこの国で使われてるのかを調べないと実際どうなのかはわからんが、調べてない。 _ そん
どさにっき
2009年8月29日(土) ■ まっちゃ445 _ 迷惑メール勉強会ってことで、2年だか3年だか前にメール屋さんは廃業してたんだけど、最近になって兼業とはいえ実戦復帰することになったんで、リハビリがてらに参加してみたり。講師の面々にふだんお世話になってる方が多いので挨拶もせんといかんし。そのわりには懇親会欠席で礼を欠いてるが。 _ ……なんか有名人扱いされてますが。わしなんか悪いことした? _ 内容については、せっかく参加しといてこういうのも何だけど、そんなに目新しい話はなかったかな。ブランクが長かったとはいえある程度は追いかけてたし。あー、でも umq さんの話に出てきた dkim-milter から OpenDKIMが fork したとか ADSP がいつのまにか 正式に RFC になってたとかの件は知らんかったな。キャッチアップできてない。あとは、ふだんサーバ側の観点で見ることが多い
MTA のアクセス制御
MTA の各種のアクセス制御手法について思いつくままにメモしたもの。ほとんどは spam 対策だが、こうすれば spam を撃退できる、というガイドではない。絶大な効果があるものから、ほとんど効果がないどころか多大な副作用をもたらすものまで、さまざまな手法をとにかく列挙する。筆者は spam 対策については「やりすぎるぐらいならば何もしない方がマシ」という立場を取っているので、メリットよりもデメリットを重視する。なお、分量はわずかだが DoS 対策や内部ユーザによる abuse を防止する手法についても触れる(この文書は spam 対策技術のメモではなく MTA のアクセス制御手法のメモである)。 ローカル配送された後にユーザごとで選別する方法についてはほとんど取り上げない。携帯電話向け spam についても触れない。特定の MTA や対策ツールにかたよった記述はほとんどしないし、特に必要
どさにっき
2008年11月25日(火) ■ 虹 _ 東福寺といったら、とくにこの時期は通天橋から眺める紅葉が有名なんだけど、ここは三門がすばらしいのですよ。おれ的京都三門ランキング堂々1位なのですよ。次点で南禅寺、知恩院。 _ で、その東福寺三門にかかる虹。 ここしばらくはほぼ毎年京都見物に行ってるし、そのたびに東福寺には出かけるんだけど、さすがにこんな景色に出会えるとは思いもよらなんだ。ほんといいもん見れた。 _ つーわけで、3連休+有休1日で車1300km+自転車100km。4日じゃ足りん。行きたかったのに行けなかったところがまだまだたくさん。 2008年11月26日(水) ■ 無題 _ 今さらだが、 2週間前ほどに世界中の spam が激減した話と、 それがまだ復活してないという話。 うちみたいなしょぼい個人ホストでも、たしかに 11/12 以降ログサイズが減少してそれ以降回復してないことが観
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
