2010年10月26日

ヤバげなサイト

とある準公共交通機関的なサービスを提供しているサイトにおける予約ページ(PHP使用、はどうでもいいか)のお話。

まず、あるセッションにおける個人情報がformのhidden要素に入れられて、ページ遷移の度にPOSTで送信される。
パスワードもなんと平文で。
セッション維持にはCookie使えよ!パスワードをそんな形で保持しないでよ!

次に、Referrerをチェックしてないので、予約の途中ステップのページをローカルに保存して、そのHTMLファイルからクエリ投げても普通に次のステップに進む。
これ自体に大きな意味はないけどさすがに弾けよ!

さらに、hidden要素に保存されてる価格を好きに書き換えてクエリ投げられるわけです。
で、クレジット払いにすると、その価格で支払い処理が進む模様。
例えば5000円のを100円とか。
スクリプト中で正しい値段かぐらいチェックしようよ!

と、まぁこりゃヤベえと思ったので書いてみました。
いゃ、悪用はしてませんよ?マジで。
3点目とか、どうせ人間の手が入る部分でチェックされるだろうし。

ただ、パッと見ただけでもこれだけの問題があるわけで、パスワードをハッシュ化すらせずに生のままサーバ上に保存してたり、見えない部分でさらにとんでもないことになってるんじゃなかろうかと邪推してしまう。
HTTP使ってる時点でもはやとか、そもそもHTTPS使おうよとか、色々あるでしょうし、セキュリティには疎いので的外れな指摘もあるかもしれないですが、超怖えですよ・・・

2010年6月10日

366×8/7.2≒407

イー・モバイルが帯域制限を30倍近く強化、通信速度を即日規制へ - GIGAZINE
これはひどい。
366MB/日が上限のようですが、これでは7.2Mbpsで通信すると407秒で制限に引っかかってしまいます。
移動体通信では設備投資が厳しいってことで、帯域制限がシビアになるのは分かります。
でも、これはいくら何でも許容できるレベルを超えてるでしょう。

2010年6月 1日

なぜかSOCKS5

どうでもいいんですが、なぜかこっちからはブログに投稿できてません。
仕方がないのでPuTTYでSSHのダイナミック転送を行い、自鯖をSOCKS5プロキシとして経由することで最近の記事を投稿してます。

海外からの投稿を禁止するような設定した覚えはないし、そもそもそんな設定できたっけって感じですが。

2010年2月 1日

誤報事件の続き

高木浩光@自宅の日記 - NHKまでもが「Winny利用が増え続けている」と誤報 いいかげんにしろ
高木浩光@自宅の日記 - ノード数水増しは不適切な設計のクローラによる不慮の事故だった
高木先生のWebサイトで以前からこの件について触れられていましたが、この度原因が分かったらしいです。
一研究室のうっかり設計のせいでニュースに取り上げられるほどのWinnyノード数増事件が発生してたとは。
故意ではないってことなので、まぁ特段これ以上の何かはないでしょうが。
とりあえずスッキリして良かったです。

2009年12月18日

セブンの件

この前から色々と話題になってるセブンネットショッピング
大公開中ってよりは、単にXSSと併せてディレクトリトラバーサルの脆弱性が存在するだけみたい。
冗長なUTF-8文字列の処理を適切にできてないってことで、両方の問題につながってるんでしょう。
「だけ」で済まされる問題じゃないんですが。
ディレクトリパーミッションが不適切な設定になってたとかならともかく、これを「公開している」っていうのは違うんじゃない?
あのURLを意図して踏んだなら、下手すりゃ不正アクセス・・・いゃまあギリギリ?

どっちにしろ、何でこの状態でまだサービス続けてんのか全く意味分からない。
ここまでズタボロなシステム使ってて、それをめちゃくちゃ指摘されてる状況下なら、普通の企業ならとりあえず会員の個人情報とか保護するためにサービス止めるでしょ。
この1年でまれに見る酷い対応。
叩かれても仕方がない。

・・・でも、2chの連中は面白がって公開しすぎ。
IPAとかセブンの方に連絡するならともかく(いゃ、もちろんとっくの昔に誰かが連絡してるんでしょうけども)、2chにあそこまでおおっぴらに書き込むとは。
脆弱性の存在を指摘するだけならまだしも、誰もが見れるURLを晒すなんてタチ悪すぎ。
面白けりゃ何でもええんかいな。
セブンの対応と同じぐらい、それが腹立たしい。

2009年12月 8日

Googleシリーズ

Googleが「Google 日本語入力」ベータ版を公開 - スラッシュドット・ジャパン
米Google、「Google Public DNS」を公開 - スラッシュドット・ジャパン
Google、辞書サービスをひっそりと開始 - スラッシュドット・ジャパン
画像で検索できる「Google Goggles」登場 - スラッシュドット・ジャパン
Chrome OS以降、新しいサービスが続きます。

とりあえず、Google IMEは仮想マシン上のXPに入れてみました。
確かに面白いけど、このままではネットスラングの出現率が多くて、上手にフィルタかけられないとノイズで効率が上がらない。
ATOKダイレクト的な、普通の変換キーとは異なるキーを使う場合にだけネットワークから引っ張ってくる形式が丁度いい気がする。

2009年11月21日

Chrome OS

GoogleがChrome OSを公開 - スラッシュドット・ジャパン
出たね。
ようやく。

見た感じ、確かにブラウザが全てのシェルとなるOSって感じ。
他のインタフェースに慣れてると違和感バリバリ。
使いにくそうではないけどね。

でも、さすがにまだ全然実使用に耐えないだろう。
VMwareイメージを落とそうとしたら登録が必要っていわれてやめたので、実使用の評価はなし。

2009年10月16日

えでゅぶんとぅ

箕面市が中古パソコン500台をLinuxで再生利用へ,サポーター企業を募集 - ニュース:ITpro
面白そうなことしてるやん。
この手のは会津若松が(自分の中では)目立ってたけど、広まりつつあるんかね?

・・・にしても、やっぱり慣れとファイルフォーマットの問題が大変そう。

2009年9月 1日

Opera 10

Opera Turbo搭載:「Opera 10」正式版リリース - ITmedia News
さっき通知がありました。
でも、ダウンロードできないぞ?(20:43時点)

後で再チェックしてみよう。

2007年6月 6日

そしてブルートフォース

最近、頓にサーバのSSHへのブルートフォースアタックが増えてきた。
主に中国とか韓国のIPから。

きっと乗っ取られてるんでしょう。
でも、アタック受けて弾くたびにHDDにログ書き込むので、HDDアクセスがうるさい。
HDD寿命的にも嫌な感じ。

まぁ、さすがにログに記載しないのも嫌なわけで・・・めちゃウザいです。

2007年5月 8日

ネットワークアプリケーション開発にもね

普通、同じPCで同一のポートを使ってサーバとクライアントのテストはしにくいです。
なので、演習の課題をするのにVMwareを使ってみたり。
NAT設定にしておいて、ホスト側から仮想NIC通してゲストに対して通信ができるので、1台で開発ができる。
ネットワーク環境がなくても無問題。

2007年2月10日

そろそろあと1ヶ月

mhshine.netのドメイン取得してからそろそろ1年。
忘れないうちに、ドメインとサーバの契約を1年延長しておきました。
990+2400で3390円。

やっぱり、ブログに限らず自宅のサーバにアクセスするにも、独自ドメインの利便性にはかなりのものが。安いし。
それに、レンタルサーバの方も全く持ってトラブルなく、Webサイトで使ってる同じ会社の無料スペースの方も、高2以来問題なく続いています。
この安心感。
何にしても、こういったサービスは安心と信頼が一番です。

2007年1月 5日

ヘリちゃうよ

といぅわけで、ApacheでWWWサーバも立てる。
とはいえ、これは当面FTPサーバの使い方を書いておくだけですが。

他は一応、パーミッション他も適切に設定できてるようで。
自分自身でも別ユーザのディレクトリにはアクセスできないようにしてます。普通にログインしてる限りは。
まぁ、rootに上がれば当然の如く全ディレクトリ丸見えなわけなので、ローカルはもちろんsshでサーバに入ってもそれらを見ることは出来ちゃうわけですが。

なので、もしメールくれれば、知り合いには以下の条件でサーバ領域貸しますよ?
今んとこHDDスカスカなので、数GB~10GB程度までで。
極端にプライベートな物は置かないようにするオンラインストレージとして。

  • もちろんわざわざ覗くつもりはないですが、まー管理人ぐらいにならアップロードしたファイル見られても仕方ないかなっていぅつもりで

  • サーバメンテのため、不定期に無断で繋がらなくなったりします。たまに

  • サーバの運営停止は管理人次第でおk

  • 転んでも泣かない

2007年1月 4日

Synergy

Synergyがアツい。
これはいい。
正直、Windowsで有名なシェアウェアのどこドアより、よっぽどいいかも知んない。
タダだし。マルチプラットフォームだし。

で、現在はメイン機に繋いだマウスとキーボードを、サーバ機と共有中。
サーバが落ち着いてきたら、その2つをサーバに繋ぎ替えて使うつもりです。
やっぱりキーボードは使い慣れた物に限る。
特に、コマンド中心のLinuxともなれば、その比重はWindowsとは比べものになりません。
それが両方のマシンで使えるとは・・・素晴らしい。

続きを読む "Synergy"

2007年1月 1日

sane

http://www.atmarkit.co.jp/flinux/rensai/linuxtips/955xsane.html
http://hiromasa.zone.ne.jp/blog/archives/389/
前回プリンタを共有したと書きました。
で、それが複合機なわけで、スキャン機能を使わないのはもったいなすぎるといぅことで。
saneとxsane(Win32版含む)で、それもちゃんと使ってみることに。

ネットワーク経由で共有するんですが、まぁ何というか、やはりスムーズにはいかない。
ここに行き着いて解決しましたが、何だかなぁ・・・
まぁ、いいです。
TWAIN経由でPaintShopProで読み込めましたし、xsaneでもちゃんと使えました。

さて・・・そろそろルータの設定しますか。

続きを読む "sane"

2006年12月31日

プリンタ共有

プリンタをメイン機ではなく、サーバ機につないで共有することに。
そう、いちいちメイン機を立ち上げなくても印刷するため。

さすがはCanon。Linux用のドライバが用意してある上に、RPMパッケージまで作ってくれてます。
なので、MP500のLinux用ドライバをそのままインストール

cupsdを設定して、とりあえず使えるように。
で、Sambaで共有。
LAN内からは基本的に使えるようにしておきます。
use client driver = yesの行も忘れずに。

ただし、問題も。
双方向通信ができないので、インク残量などが分かりません。
うーん・・・これは・・・問題になることもありそうな気がする。
ま、それは実際に運用してみてからで。

2006年12月30日

TightVNC

この前試すだけ試して、結構おもろいけどまー怖くて出来ねーわなと思っていたVNC。
この度サーバを立てるにあたって、SSHでトンネルしてVNCも使えるようにしとこうと思い立ちました。
外からノートPCでちょっと操作したいこともあったので。
これなら、ルータで開けるポートも最低限で済みますし、安心かなーと。
まぁ、過信は禁物ですが。

http://nhh.mo-blog.jp/ttt/2006/06/sshvnc_fb23.html

で、まーとりあえずサーバの方は本家VNC。選択自体に特に意味はなく。最初から入れてたので。
まぁ、問題なくログイン→遠隔操作できました。
とはいえLinuxなわけなので、端末使えればGUIは基本的にいりませんが。
実はノートPCにはCygwin/Xも入れてあるので、それでSSHログインすれば、単なるX端末として使うことも出来るわけですが、それでは結構遅い。
トロい。
ので、VNCも併用・・・というか、GUIが必要なときはそっち使うことになるでしょう、きっと。

次、メイン機。こっちはTightVNC。Windowsに関しては必然的にGUI使わざるを得ないんで、少しでも早くしようと思い。
こっちはその前にこれをサーバ機にインストール。
普段はS3で眠らせてるので、Wake On Lanでサーバから電源を入れられるように。
で、とりあえず同様にSSHでトンネル掘って、今度はサーバ機経由でメイン機を操作するようにします。
ただ、さすがに・・・ノロい。
まぁ、滅多にする事じゃないんで、出来るだけマシと思っときます。

2006年12月29日

やっとできた!!

http://freshmeat.net/projects/vsftpd/
http://www.linux.or.jp/JM/html/vsftpd/man5/vsftpd.conf.5.html
メイン機の共有をサーバでマウントして、それをvsftpdでFTP共有すると、そのメイン機の共有ディレクトリからダウンロードすることがどうしてもできなかったんですよ。
探しても中々情報がなくて・・・ちょっとキーワード変えて英語版Googleで検索したら、上記の1つめのサイトが。
"426 Failure writing network stream"
ポイントは、/etc/vsftpd/vsftpd.conf中に

use_sendfile=NO

いやはや・・・解決できて良かった。

http://httpd.apache.org/docs/2.2/ja/faq/error.html
要するにこういう事なのな。
てことは、Webサーバ構築時にメイン機側のディレクトリ使ったら、同じようなことが起こる可能性が高いって事ですか。
まぁ、さすがにそれはサーバ側に全てのファイル置くから問題ないですが。
あれか、Windowsで存在しないAPI呼び出すようなもんなのかな?

こぅ、分かってる人にとってはなんてことない問題なんでしょうが、ネットワークド素人の自分からしたら実に手強かったですよ。
その分、解決したときの喜びは一入でしたが。
でも、上のキーワードで、2、3番目ぐらいにググった記憶があるんですが・・・まぁいいや。

2006年12月28日

細々likeBSD

http://park1.wakwak.com/~ima/linux_surestriction.html
一応、suできるのはwheelに所属しているユーザだけにする。

2006年12月27日

FTP with UTF-8

そう、Fedora Coreの文字コードはUTF-8なんですよね。
で、最初にEUCにしようかどうか迷ったんですよ。
で、結局今更EUCもいやなんでUTFのままにしたんですよね。

SSHでのログインにはTeraTerm ProのUTF対応版があるからいいやと思いつつ。

気付いたら、FFFTPはUTF対応してないぢゃん!と。
日本語ファイル名もろ文字化けしてるぢゃん!と。

ちょっとどうしようかと思ってたところにFFFTP 1.92a UTF-8 対応私家版
そぅ、これ使えば全く問題ないですな、
良かった良かった。

で、ちょっと間抜けなことをば試みる。
メイン機の//***.***.***.***/C$(=C:\)をサーバ機の/mnt/mdcにマウントして、それをFTP通して再度メイン機から見る。
あー・・・意味ねぇ。

続きを読む "FTP with UTF-8"

SSH計画

で、まぁ今日やったこと。

/etc/inittabで仮想端末の個数変更。
これは余談。

http://www.hi-ho.ne.jp/yoshihiro_e/dice/linux.html
http://www.miloweb.net/zivediced.html
DiCEがLinuxでも使えるみたいなんで、もぅ言うことなし。
DiCEdもインストール。

http://nice.kaze.com/linux-webmin08.html
http://homepage2.nifty.com/cs/linux_command/command/crontab.html
・・・と思ったけど、やっぱりwgetとcrondで更新することにしました。
よく考えたら、せっかく標準のツールで出来るならその方がいいかな、と。
これで、サーバの方からDynamicDNS情報を定期的に更新できます。

さて、とりあえずsshdは立ち上げといて、まぁいくらか設定。
RSA鍵使うようにしといて、まずはLAN内部からサーバにログインできることを確認しました。
まだルータのポートは開けてないです。
テストテスト。

2006年12月26日

FTP計画 via Samba

計画。忘れないうちに。

・常にFTP共有する必要があり、メイン機で使うファイル
サーバのローカルディレクトリ(FTP共有)をLANで共有して、ネットワークドライブとしてメイン機からマウントしてしまう。
・時々FTP共有する必要があり、メイン機で使うファイル
メイン機のローカルドライブをLANで共有して、mount -t cifsnetfsでサーバからマウント(FTP共有)してしまう。
・特にFTP共有する必要はなく、メイン機で使うファイル
おとなしくメイン機のローカルドライブに保存。
・サーバ機で使うファイル
言わずもがな。

まずはメモメモ。
http://bbs.fedora.jp/read.php?FID=6&TID=2396
http://d.hatena.ne.jp/SPR/20061208
なるほど、/etc/fstabに書いてネット上の共有をマウントできるのねん。

2006年12月20日

Sysadmin

War-ftpdでSysadminを削除しても、サービス終了時に勝手に再生されてしまうのを防ぐ方法。
・・・といぅか、標準の管理者を変更する方法。

  1. 転んでも泣かない
  2. Bzとかのバイナリエディタで"Sysadmin"を検索
  3. 発見したら、まー適当に8文字以下、例えば"root"とか"admin"とか(コレもどうかと思いますが。。。)に書き換える
  4. 足りない部分は00hすなわちヌル文字で埋める
  5. もうちょいスマートな方法でやれとか言わない

大体、標準の管理者を変更できないって仕様が訳分からん。
他にもWar-ftpd使ってるって一発で分かるような応答文字列は書き換えた方がいいんでしょうが、面倒・・・てか時間ないです。

2006年11月 1日

*.mhshine.net

最近は、独自ドメインで遊んでる。
ミクシィ用メアドも含めて、自由にメアド作り放題だし。
サブドメイン色々設定して、ファイルアップローダ用サイト作ったり。

で、FTP用のだけ自宅にポイントして、FTPサーバを立ち上げようとしてみたり。
もちろん、デスクトップ起動してる間だけですが。

試行錯誤しても、LAN内部からならアクセスできるけど外部からは見れない。
何でだろう・・・と思ったら、NAT越えるためのルータの設定変更してなかった。
アホか。こんな基本的なことを。
まぁ、連休中にでもできたらいいか・・・。

2006年10月 2日

MT Ver. Up

Movable Typeを、脆弱性のあった3.2から3.33にアップデートしました。
ついでにテンプレのカレンダー周りを微妙に修正。
月別、日別のページなどで月送りができるように。
Movable Typeのタグとか全然分かんないので、かなり中途半端なものになってますが、まぁ一応過去へのリンクが消えないようにということで。

2006年9月12日

クロスブラウザ

もう崩れない、Webブラウザによる表示の違いを吸収するサービスが開始
こっちも、自分のサイトの表示確認はIE、Firefox、Operaでしましたよ。
このブログはそこまで確認してませんが、どうやら概ね大丈夫な模様。

しかし、本当に大丈夫なんだろぅか。

2006年7月20日

Sambaその後

Sambaの設定がうまくいきました。メモメモ。
これで、

Win XP(デスクトップ)
Win XP(ノート)

Win 2000(仮想マシンonデスクトップ)
Win 98 SE(仮想マシンonデスクトップ)
Win Me(仮想マシンonデスクトップ)
Vine Linux 3.1(仮想マシンonデスクトップ)
FreeBSD 6.1(仮想マシンonデスクトップ)
FreeBSD 6.1(仮想マシンonノート)

その他LAN上のNAS、パソコン

の間でファイル共有ができるようになった。
・・・キモいな。多すぎて。

で、そんなことしてるうちに、気づいたら明日は英語のテスト。
うおぉ・・・ヤベェ。

続きを読む "Sambaその後"