bash の危険な算術式 - どさにっき
■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read item price num; do echo "$item,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し
7pay 問題におけるデマ - どさにっき
■ 7pay 問題におけるデマ _ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。 社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。 _ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう 日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。 _ 具体的には、「パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた」というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎ
ドメイン名差し止め - どさにっき
■ 韓国ブロッキング _ もう2月だけど今年一発目なのでいちおう、明けましておめでとうございます。別に忙しかったとか体を壊したとかじゃなく、ただ家に帰ってコタツに入った瞬間にすべてのやる気が失われていただけです(なので今日は仕事中に書いてる)。 _ で、 韓国で HTTPS なサイトのブロッキングが始まったとのこと。なんか艦これが巻き添えくらったらしく、DMM はせっかく FANZA と分離したんだし分離以前も dmm.co.jp と dmm.com でエロと非エロを分けてたのにとんだとばっちりだよな。 _ 今回の件は 昨年5月には検討が始まっていて( 翻訳)、 反対運動( 翻訳)も起きていた。日本の海賊版ブロッキング議論も昨年春からで、ほぼ同時期に似たような騒動が起きたので気になってたんだけど、結局実施に至ってしまったらしい。twitter の #SaveTheInternetKRという
海賊版シンポ 2018年9月4日(火) どさにっき
■ 海賊版シンポ _ これ行ってきた。取材記事は これとか これとか。 _ 海賊版対策において出版社がやるべきことを尽くしてないとは前から言われてたことなんだけど、その感がますます強くなった。出版社は CDN 事業者に対していまだ訴訟を起こしてないのにはじめから効果がないと決めつけてるし(出版社ではなく 著作者個人が訴えたケースはある)、何より今回明らかになったのは、出版社が作家とまったく連携してないってこと。 _ 赤松健がいきなり「出版社から何の説明もされてない」と爆弾を投下しちゃった。「作家の立場がブロッキング反対だったらどうするんですかね」と疑問を投げかけてたけど(実際は作家たちの方でも意見がさまざまでひとつにまとめるのは難しいとのこと)、作家と出版社の間で意見の調整をはかるどころか、まったく説明すらしてないって論外なのでは? _ それから、最後の最後、パネルディスカッションの締めく
どさにっき
■ 1.1.1.1 いろいろ _ ここのところブロッキングの話を追いかけてたもんだから、そのちょっと前にホットだった cloudflare の public DNS のネタを消化しきれてない。ということで、もうだいぶ遅れ気味だけどまとめて放出。 _ あ、JANOG41.5 でやったブロッキングの話の資料は ここにあります。周回遅れすぎて今さら見る必要ないかと思いますが。 ■ DNS over TLS _ お使いの unbound.conf に以下の設定を追加するだけで、cloudflare に対して DNS over TLS でクエリをやりとりするようになります。ただし最新の 1.7.x 以降のみ。 server: tls-cert-bundle: "/etc/ssl/cert.pem" # ルート証明書束 forward-zone: name: "." forward-tls-upstr
どさにっき
■ 通信の秘密 _ ちうことで、ついに 裁判に。 _ 今回の件で痛感したのが、通信の秘密ってぜんぜん理解されてないんだなー、ということ。憲法で定められている基本的人権のひとつなのに。 _ ブロッキングを問題視してない人ってのは、たぶん「ブロックすること」が通秘の侵害だと考えてるんじゃないかなぁ。名指しされたサイトにアクセスしなければブロックされることもなく、ブロックされないのであれば自分自身の通信の秘密は侵害されない。そう考えてるんじゃないかと推測する。 _ この考え方は間違ってるからね。いや、ブロックすることも侵害なんだけど、それ以前に「ブロック対象かどうかチェックすること」が通信の秘密の侵害。名指しされたサイトにアクセスするのではなく、たとえば youtube で動画を見るだけでもブロック対象かどうかチェックされ、そうでなかったからブロックされずに youtube にアクセスできるわけ
著作権侵害サイトブロッキング - どさにっき
■ 著作権侵害サイトブロッキング _ ブロッキングやるんだってさ。ひでーな。これまで「要請」と言われてたのが「自主的対応」でやってくれ、ってことに一歩退いた表現にはなったけどさ、実態は大してかわらん。 _ 立法は後でやるから、それまでは臨時的に緊急避難扱いで、といってるけどぜんぜん臨時じゃないんだよね。一時的な措置とはいえ、緊急避難の基準をこれまでよりずっとユルいものに下げてしまったという事実はずっと残るんだよ。海賊版を緊急避難でブロックするのが一時的なものでしかないとしても、今後別のコンテンツブロック(たぶん次は違法薬物あたり)をやりたいという声が上がったときに、著作権はあんなもんで緊急避難にできたんだからこっちもそんなもんでいいだろう、となっちゃう。立法までなんかじゃない、その後にまでずっと過恨を残す決定だよ。 _ 政府が示し合わせてるので、実際にブロックしても総務省は指導しないし警察
どさにっき
■ 1.1.1.1 つづき _ ということで、 1.1.1.1が 正式にアナウンスされた。今のところ APNIC からはアナウンスはなさげ。 _ ドキュメントはまだ縦に近い斜め読みしかしてないんで、いくつか気になったところだけ。 _ 3/30 の時点では v6 アドレスは 2001:2001::、2001:2001:2001::という話があって、こっちもわかりやすいアドレスを確保したなーと思いつつも、つながらないからこれからがんばるのかなと様子見してたら、実際は ぜんぜん違うアドレスじゃねーか。どういうこった。 _ privacy policyでは、情報はよそに売ったりしねーよ、ログは24時間で消すよ、とかそういうのが書かれてるけど、DNS についてしか書いてなさげ。1.1.1.0/24 は DNS 以外にもありとあらゆるゴミトラフィックが大量に流れるアドレスで、それゆえこれまで誰にも割り
1.1.1.1 どさにっき
■ 1.1.1.1 _ NANOG で話題になってるんだけど、どうやら cloudflare が 1.1.1.1 と 1.0.0.1 というおそろしいアドレスで public dns を始めようとしているっぽい。 % dig +noall +ans 1.1.1.1.in-addr.arpa ptr @1.1.1.1 1.1.1.1.in-addr.arpa. 1735 IN PTR one.cloudflare-dns.com. 今日の夕方ごろは応答に2秒とかかかってたけど、夜になってからは 10ms 以内で返ってくるようになった。anycast への組み込みが完了したのかな? _ で、なんで cloudflare なの? 1.1.1.0/24 は 常時かなりのトラフィックが流れていて汚れてるからどっかに割り振りはしないで研究やら何やらの用途のために予約するとか言ってなかったっけ? いちお
memcached フィルタ - どさにっき
■ memcached フィルタ _ memcached のアクセス制御に関する注意喚起とかまあそんな感じで、本来内部用途でしか使われないはずの memcached が外部におっぴらげになってるサーバが世の中にたくさんあって、認証なしでガバガバだもんだから外から自由にデータを出し入れできて情報流出/改竄できちゃうどころか、UDP でもアクセスできるもんだから増幅率超特大の reflection attack の踏み台に使えて あちこちで大規模 DDoS の被害多発とかそんなヤバい事態になってるそうでマジヤバい。 _ で、それに対する対処は、とーぜんムダに開いてる memcached のポートを閉じることなんだけど、増幅率がハンパなくて踏み台にされると超ヤバい(語彙貧困)ので、個々のホストではなく、ISP とかホスティング屋さんがネットワークのレベルでフィルタを入れてる例があるっぽい。 外部
どさにっき
■ root KSK ロールオーバー _ 新聞はそっち方面の専門家でない人にもニュースを届ける必要があるので、難しい内容も噛み砕いて説明する必要があって、その結果まわりくどい説明になっちゃうことがあるのは理解している。事情はわかってるので、ふだんはそういう記事を見つけても記者さん苦心したんだろうな、とあたたかい目で見るようにしている。が、いくらなんでも これはひどい。噛み砕いて説明するのに苦心したのはすごくよく伝わってくる。しかしその挑戦にもかかわらず素人さんが理解できる内容になっているとは到底思えないし、わかりやすい説明のために専門用語を使っていないため、そっち方面を理解している人に対してさえ意味不明。この記事の内容を事前に知っていた人(=記事を読む必要がない人)が何度か読み直して「ああ、あのことか」と気がつくのがやっと。誰に対しても存在する価値のない記事になっちゃってる。もうすこし何と
デカいメールヘッダ | どさにっき
■ デカいメールヘッダ _ うーん。→ 【Exchange Onlineに関するお知らせ】 ヘッダー サイズの超過によって Exchange Online からのメール配信に失敗する場合がある _ MS の Office365 はリレーするメールに長大なヘッダを付加するのはよく知られていることなんだけど、最近は肥大化がさらに進んで、受け取り側で headers too large で蹴られるような事態になってるそうで。このお知らせにある例では、32KB が上限だったようなんだけど、32KB って小さすぎる値じゃないよねぇ。 _ 調べてみたところ、sendmail のデフォルトがまさに MaxHeadersLength=32768 だった。つまり、意図してヘッダサイズを小さな値に制限していなくても、sendmail をデフォルトのままで使っていればそれだけで O365 からのメールの受け取り
PHP の mail() 関数で FizzBuzz | どさにっき
■ PHP の mail() 関数で FizzBuzz _ といってもループはできないので数値は生のリストで与えるんだけど。 $ php -r 'mail("","","","","-be \${tr{\${map{1:2:3:4:5:6:7:8:9:10:11:12:13:14:15:16:17:18:19:20:21:22:23:24:25:26:27:28:29:30:31:32:33:34:35:36:37:38:39:40:41:42:43:44:45:46:47:48:49:50}{\${if={\${eval:\$item%15}}{0}{FizzBuzz}{\${if={\${eval:\$item%3}}{0}{Fizz}{\${if={\${eval:\$item%5}}{0}{Buzz}{\$item}}}}}}}}}{:}{\\n}}");' 1 2 Fizz 4
どさにっき
■ exim で php のメール送信でコード実行される件。 _ 昨年末から続いている PHP でメール送信するところでリモートからコード実行できちゃう一連の脆弱性の話。これまでは主に sendmail がターゲットだったけど、 PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった という話が。Host ヘッダからコード注入するとか何を食ったらそんな発想に至るのかまったく想像の埒外なんだけど世の中いろんなこと考える人いるなぁ。ちなみに Host ヘッダの細工で、コード実行以外にも wordpress に認証なしでパスワードリセット要求もできるらしいよ。 _ で、これとは別件なんだけど、やっぱり PHP のメール送信でコード実行される脆弱性が先月 Squirrelmail に見つかってる。解説としては こっちの方がわかりやすいかな。以下
SSH のホスト鍵検証 - どさにっき
■ SSH のホスト鍵検証 _ 子供のころ遊んだよね、忍者ごっこ。「アイコトバをいえ! やま!」「かわ!」 _ これ、セキュリティ的に重要な要素なんだけど、みんな忘れちゃったのか無視してるんだか。他人に知られてはならない重要な情報を伝達するにあたっては、まず相手が味方であることの確認からはじめなければならない。忍者の合言葉というのは、その味方の確認なわけだ。相手確認をサボって本来情報を伝えるべきでない相手に伝えてしまったら暗号化する意味がない。オレオレ SSL がダメなのは、この確認ができないから。そして、SSL だけではなく、SSH でも当然接続先の確認は必須である。 _ この SSH の接続先検証に関するオプションが StrictHostKeyChecking。これを no にする(検証しない)というのは、 SSL でいえば接続先の証明書を検証しない(不正な証明書でも気にせず接続する)
サブドメイン管理者が親ドメインの SSL 証明書を取得する:どさにっき
■ サブドメイン管理者が親ドメインの SSL 証明書を取得する _ 中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明。サブドメインの管理権限がある人が親ドメインの SSL 証明書が取得できちゃったんだって。この問題、他の CA でもあるんだよね、実は。 _ 具体的に言うと Let's Encrypt がそれ。 この記述。example.com ドメインの所有者かどうか判断する方法のひとつとして、_acme-challenge.example.com の TXT レコードに指定のトークンを記述せよ、というのが挙げられている。ということで、ユーザが自由にサブドメインを作れるサービス上で _acme-challenge というサブドメインを作成すれば親ドメインの証明書を発行してもらえる。今回の WoSign の件のように任意のサブドメインでいけるわけではなく、ラベルにアン
どさにっき
■ postqueue -j _ postfix 3.1 でキューを JSON 形式で出力できるようになった件。もすこし詳しく。 _ 実際の出力はこんな感じ。jq をかませて読みやすくしてるけど、実際はキュー1個につき1行で出力される。 % postqueue -j | jq . { "queue_name": "hold", "queue_id": "3qDrfV1xKRz3Ztt", "arrival_time": 1456819639, "message_size": 286, "sender": "MAILER-DAEMON", "recipients": [ { "address": "foo@example.com" }, { "address": "bar@example.net" } ] } この例では recipients の配列が冗長に見えるけど、これは強制的にキューか
apache 多重拡張子 - どさにっき
2015年2月23日(月) ■ apache 多重拡張子 _ mod_mime の多重拡張子の扱いって常識じゃなかったのか。apache をインストールしたことある人ならば、manual/hoge.html.ja という二重拡張子を持つファイルが存在してることはドキュメントを読まなくても知ってるはずだと思うんだけどなぁ。AddHandler/AddType/AddCharset/AddLanguage/AddEncoding/AddOutputFilter はいずれも拡張子によって挙動を変えるわけで、単一の拡張子しか扱えないとすればこれらのディレクティブは排他にしか使えなくて困るじゃないか。 _ で、これはセキュリティの懸念があるから使うなというのがよくわからん。hoge.php.jpg というファイルをアップロードされて、それをそのままダウンロードしたらそいつが PHP スクリプトとして
Superfish - どさにっき
2015年2月20日(金) ■ Superfish _ オレオレ CA 証明書をつっこんで HTTPS なサイトに MITM で広告つっこむよ、と。 _ うーん。セキュリティゲートウェイやアンチウイルスソフト、あるいは Web アプリケーションの開発補助ツールでも同じような動作をするものが多いので、このやりかたを批判するとしたらこういう製品もすべて批判することになっちゃうんだよなぁ。かるくぐぐってみただけで こんなに見つかった。ほかにもまだまだいっぱいある。Superfish は広告追加というユーザにはとくに益のない目的でやってるので叩き放題だけど、こういう製品の場合はセキュリティ向上やら開発やらという大義名分があって、実際わりと広く受け入れられてるんだよね。自分としてはそういう目的であってもひじょーに気持ち悪くて勘弁願いたいんだけど。 _ アンチウイルスの場合、通信経路に割り込むのではな
どさにっき
2015年1月11日(日) ■ 赤城山 _ 登ってきた。快晴無風の申し分ない天気。やっぱり関東にある山は冬でも天候が安定していてよろしいですな。何年か前の夏に登ったことはあるけど、そのときは曇っていて景色がほとんどわからんかった。が、今回はグンマーの街並みから遠くの山々まで見渡せる。いやー、すばらしい。お昼過ぎたら曇っちゃったけどね。 _ 黒檜山中腹から大沼、地蔵岳方面 霧氷 山頂のちょっと向こうにある展望台から谷川岳方面 2015年1月18日(日) ■ 雲竜瀑 _ 行ってきた。2年ぶりかな。まだちょっと時期が早いかなーとも思ったけど、そのぶん人も少ないだろうということで。 _ で、行ってみたらやっぱりまだ早かった。道中は川を覆う氷が発達してないから渡渉が片道で10回を越えたし、氷柱群はまだ成長してないし、雲竜瀑は完全結氷のちょっと手前だし。とはいえ、やっぱり絶景。もう何度も来てるので最初
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
