Make sure that the document extension is .php and that your server supports PHP documents.
"; if ($tmp_uri == "all") { // OK // $paginate_current_page = "all"; } else { $tmp_uri2 = $tmp_uri; $pattern = '/\d+/'; $replacement = ''; $tmp_uri3 = preg_replace($pattern, $replacement, $tmp_uri2); if ($tmp_uri3 == "") { //print "Checking3...
"; #---- Maybe Ok ---- if ( is_numeric($tmp_uri2) ) { $paginate_current_page = $tmp_uri2; } } } } } } $paginate_num_pages = 5; $paginate_num_sections = 44; //$paginate_current_page = @$_GET['page']; // Pin page selector to a valid number (or 'all') if($paginate_current_page=='') $paginate_current_page = '1'; if($paginate_current_page != 'all') { if($paginate_current_page == 'first') $paginate_current_page = 1; elseif($paginate_current_page == 'last') $paginate_current_page = 5; elseif($paginate_current_page < 1) $paginate_current_page = 1; elseif($paginate_current_page > 5) $paginate_current_page = 5; $paginate_sections = array( 0 , 10, 20, 30, 40, 44); $paginate_top_section = $paginate_sections[$paginate_current_page-1]+1; $paginate_bottom_section = $paginate_sections[$paginate_current_page]; } else { $paginate_top_section = 1; $paginate_bottom_section = 44; } /* if(isset($_SERVER['QUERY_STRING'])) { $paginate_self = '&' . $_SERVER['QUERY_STRING'] . '&'; $paginate_self = preg_replace("/&page=[^&]*&/", "&", $paginate_self); $paginate_self = substr($paginate_self, 1, strlen($paginate_self) - 1); if($paginate_self == '&') $paginate_self = ''; else $paginate_self = htmlentities($paginate_self); } else { $paginate_self = ''; } */ //if ( strlen($_SERVER{'REQUEST_URI'}) >= $uri_maxlength ) //{ /* It is possible to apply a /attack. A server resource is spent by making long String process inside. Although it can say that it is not great processing load, it is steadily from a small thing. However, restriction by HTTP GET is received in this case. For example http://some.url.com/archives/cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 Umm.... It is also in such cases.... http://some.url.com/archives////////////////////////cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 http://some.url.com///////////////////////////////////////archives////////////////////////cat2/index.php/////////////////////////////////////////////////////////////////////////////////page/3 */ //It is not secure to acquire from the above-mentioned reason to URI. //Since the URI serves as a base when it links URL again after attaching ///purposely, it unites and is also unsavory. $paginate_self = 'http://debz-di.kabocha.to/archives/cat4//' . $paginate_page_selector; //} ?>
2003年01月11日
Bフレッツダウン
はー。いつ直るんだ。
投稿者 debizoh : 00:03 | コメント (0)
2003年01月12日
続Bフレッツダウン
いつの間にやら直りやがった。
死んだのが11日午後2時ごろ
担当はしきりに あんたんとこの設定が悪いんじゃないの?
とか、PNAが壊れたかも知れないし、とか言っていたが..
基地局は問題ないとも言い張っていた。
Fletsスクエアへの接続テストでは「リモートサーバが返答しない」という状態だった。
担当者曰く「原因がわかりません」おいおいおいおいおい....。
土日に入っていたので、14日にならなければお伺いすることも、
HomePNAの代わりを送ることも出来ません、ってことだった。
ようするに「14日になるまで繋げられません」と。
ヴぃヴぁお役所仕事。(ほんとに民間企業なのか?)
しかし、気づいたら繋がってるし...
なんかなんかだよなぁ。
腑に落ちね~~~~
投稿者 debizoh : 00:00 | コメント (0)
2003年01月19日
もうちっと...穴をふさいでおくれヨ...
ランキングサイトをやっていると、プロキシ収集に役立つようだ。
中小さん、学校法人、社団法人... proxyが開き過ぎ。
SI企業さんも結構いるんだよなぁ。...何をどう管理してるのかと。
投稿者 debizoh : 00:02 | コメント (0)
2003年09月05日
フレッツスクエアのDNSサーバアドレスがかわるらしい
平成15年9月11日(木)午前11時~12日(金)午後17時にフレッツ・スクウェアのDNSサーバーのアドレスが変更となります。
これに伴いまして、DNSサーバーのアドレスを手動で設定されているお客さまは、現在の設定では、フレッツ・スクウェアのページが表示されなくなりますので、DNSサーバーアドレスの変更をお願い致します。
~ なお、DNSサーバーのアドレスを自動で取得されているお客さまは特に設定の変更がございません。 ~ 変更前・変更後のフレッツ・スクウェアのDNSサーバーアドレスは、下記のとおりです
【変更前】 【変更後】
プライマリ: 172.26.35.171 → 220.210.194.67
セカンダリ: 172.26.35.172 → 220.210.194.68
忘れないようにめもめも。。
投稿者 debizoh : 00:00 | コメント (0)
2004年01月04日
「ネットの脆弱さに警鐘」国立大研究員が個人情報を公表
朝日新聞の一面になってましたが。
都内で開かれたインターネットの安全対策担当者やハッカーを集めた集会で
研究員は「office」と名乗るハッカー
という「ハッカー」というのは何を指してるのか?
更に、「運営側が想定しない指示を送って入った。」
とある。なんか笑ってしまうが、きちんと作ってないのは沢山あって、
”ただ設置だけして”金を取っている業者も沢山いる有様。
不正アクセスとかいう問題じゃなくて、作り方や本当に外から見れないように最初からしておく、ということもされてないところが多々あったりするわけで。なむなむ。。。
投稿者 debizoh : 00:00 | コメント (0)
2004年02月18日
某大手ショッピングサイトでのシステム設計ミス
ショッピングカートシステムにて、重大なシステム設計ミスがあるサイトがありました。
これは、同じメールアドレスから、2つのお客様名で注文を行った場合、注文1と注文2のお客様名等データが狂う、というものです。
「注文1」
氏名:ああああ
住所:東京都なんとか
メール:aaa@aaa.net
「注文2」
氏名:いいいい
住所:神奈川県なんとか
メール:aaa@aaa.net
だったとします。
1.注文1を行ったのち、注文2を行った。
※この際のカートシステムから送られるメール内表記に誤りは無い。
2.その後、お客様から注文1の入金を行って頂いた。
3.ストアより送付された「入金確認メール」内に記載されているお客様名は、注文2の名前となってしまう。(問題点1)
4.ストアより送付された「商品送付案内メール」内に記載されているお客様名は、注文2の名前となっている。(問題点2)
5.領収書の発行を依頼したが注文2の宛名の宛名となったものが、注文2の宛先に送られてしまった。(問題点3)
6.商品は誤った住所、名称では送られていない
このようになる、システムの設計は以下のような設計がされていると想定されます。
顧客情報テーブル
Mailaddress: primary key
UserName
Address
注文情報テーブル / Main
MailAddress
OrderNo
Address
注文情報サブ
OrderNo
OrderAmountNo
ItemPartsNo
ItemAmaount
※これはあくまで想定であって、実態がどうかはわかりません。テーブル設計をきちんと作ってるわけじゃないので、その作りはヘンだ等の突っ込みはなさらぬよう。
1.注文1が行われた時点で
顧客情報テーブルに
Mailaddress = aaa@aaa.net
UserName = ああああ
Adderss = 東京都なんとか
注文情報テーブルに該当の住所を発送先として登録
注文情報サブに該当商品を登録
2.注文2が行われた時点で
顧客情報テーブルに
Mailaddress = aaa@aaa.net
UserName = いいいい
Adderss = 神奈川県なんとか
注文情報テーブルに該当の住所を発送先として登録
注文情報サブに該当商品を登録
という流れです。
顧客名が必ず書き換わるため、最後の顧客名、住所となる。
商品については、商品発送先として都度登録するので問題は無い。
顧客情報が必ず書き換わるため、問題が起こってしまう。
特殊なケース、と思うかもしれないけれども、システムの設計として重大なミスです。
連絡し、先方のシステムは本日づけで対応されたとの報告が入りました。
先方がどこなのかは伏せておきます。
投稿者 debizoh : 00:00 | コメント (0)
2004年04月14日
シソーラスと3rd Party Cookie
(株)言語工学研究所が運営しているシソーラス(類語)検索サイトだけれども、IE6でうまく表示できない。 cookieが保存されない、となる。
サイトのURLはここ。 http://www.gengokk.co.jp/thesaurus/
※当方環境Windows 2k SP4+IE6.0.2800.1106 + 現時点でのセキュリティパッチ全適用
その際のエラーメッセージはこのような表示。
Cookieが無効になっています。
Cookieが有効になっていないとご利用いただけません。
また、セキュリティソフトウェアをお使いで、cookieを保護されている場合、シソーラス(類語)検索をご利用いただけません。cookieの保護無効にするなどしてからご利用ください。
セキュリティといえばセキュリティなのだが、実際のところは「サイトの作り方がまずい」ために、IE6が3rd Party Cookieとみなして自動的に排除している。 であるから、ユーザの環境が悪い!というようなこの言い方はなんともまあ・・・。と思えなくも無い。
現時点での対応方法は2つ。
1.プライバシー設定で、自動cookie処理を上書きする、にチェックを入れ、サードパーティのcookieを「受け入れる」にするか「ダイアログを表示する」にする。
2.信頼済みサイトにwww.thesaurus.total.co.jpを追加する
1の方法では、「受け入れる」にしてしまうと全てのサイトがなってしまうため、ちょっとまずい。2の方が安全だろうが、www.thesaurus.total.co.jpが全て信頼できるのか? ということを考えると、それもまた疑問である。
きちんと設計しなおせば済む話なんだけれども。
投稿者 debizoh : 00:00 | コメント (0)
2004年05月07日
釣りができる居酒屋ざうお と 3rd Party cookie
ざうおのホームページから、東京新宿店の表示をする際にはフレーム分けされた下のページが「ぐるなび」となる。
この状態がまずい。IE6.0での3rd Party Cookieの問題にひっかかり、ぐるなびmy ページへの登録をしようと思って、ログインをしても「クッキーが保存できません」という表示になる。
シソーラスと3rdPartyCookieでも書いた通りに、信頼するサイトに登録するなり、3rdPartyCookieの受付を許可するように設定すればよいけれど、まあ、多分そんなこと普通しやしないだろうと...。
とりあえず、フレームを解除して別ページでぐるなびを開けば問題は解決します。 ざうおのホームページも改善されるといいですね。
世の中からフレームページが消えればよいというのは暴言なのでやめときます(--;;
ちなみにざうおのWEB Siteはこちら。
それと、ぐるなびで対処方法が書いてあったりするわけですがいわくつきのページ
これだと3rd Party Cookieを無条件受け付けるっちゅーことなんで、よろしくないなあと思うんですが...。まあ、世の中そんなもんだってことでしょうかね。。
良いように解釈してあげると、同じようにフレームでぐるなび呼び出しているところが多々あって、ぐるなびのクッキーが登録できねーYO!という問い合わせが沢山きて、こりゃあやってられねーや、ということでそう書いた、のかも。鴨。
投稿者 debizoh : 00:01 | コメント (0)
2004年05月14日
MITSUBISHI PAPER MILLS LIMITED.のfaqページ
三菱ネタですが...ちょっとネットウォッチつーか、印刷の技術を調べていたら見つけた。
faqのページ
Q6. 屋外ではどのくらい画像が保ちますか?
屋外を考慮する場合、顔料インクが前提になります。紫外線照射による実験結果では、6ヶ月間は目立った退色が認められないと考えられます。徐々に退色しても使用できる用途(宣伝ポスターなど)を考えると、概ね3年ってところでしょうか。
3年「ってところでしょうか」という、そこだけ砕けた書き方になっている...。
その書き方だと”3年「というところでしょうか」”じゃないのかね。まあ、いいけど...。
投稿者 debizoh : 00:01 | コメント (0)
2004年05月24日
tvドメインに一部障害
昨日、TVドメインのメンテナンスの際、レジストリー側でエラーが発生し 弊社で扱っているTVドメインが全て使用出来ない状況となっております。
現在、レジストリに復旧作業中です。
弊社にレジストリから連絡があり次第、サイト上で告知させていただきます。
とある。japanregistryで取得したtvドメインが軒並みおかしくなっている模様。
(他レジストラに関しては未確認)
日本時間AM9:00~現在まで復旧していないし、どうなるかの経過情報も記載されていない。
かなりのダウンタイムですなあ。
投稿者 debizoh : 00:00 | コメント (0)
2004年11月11日
OCNのメール&ウェブPRO設定変わった?
お客さんからcgiが動かないと連絡があった。ErrorLog見ると
[Thu Nov 11 10:25:46 2004] [alert] [client *.*.*.*]
/usr/local/apache/htdocs/cgi-bin/.htaccess: Regex could not be compiled
とかなってた。 Apache1.3.33になってたので、なんか変えたんかね..。
投稿者 debizoh : 00:00 | コメント (0)
2004年12月13日
.tvドメイン障害
日本時間12/15 AM0:00から.tvのレジストリメンテナンスがあるらしい..けど、お客さんところで.tvの登録情報が既に破損していたりして..。
NS等は正常に動作しているようだけど、大本の方で壊れてるっぽいなあ。
問い合わせ送ってるけど返答ないし、どないなっとんや。
投稿者 debizoh : 00:00 | コメント (0)
.tvドメイン障害(2)
.tvに直接メールしてみた。返答はきた...が、ボケた回答が返ってきた。
うーこりゃしばらくダウンタイム発生になるなあ。まいったなあ。
投稿者 debizoh : 00:01 | コメント (0)
.tvドメイン障害(3)
何度かやり取りしてみたが、Verisign経由じゃねーから、SRSPlusの方に聞いてくれと言われた。
うーん。 SRSPlusがおかしいんか、Japanregistoryがおかしいんだかよーわからんけど、とにかくなんとかしやがれ!ってことですよ、ほんとに...。
投稿者 debizoh : 00:02 | コメント (0)
2004年12月14日
.tvドメイン障害(4)
理由はとりあえずわかった。
「ドメインの更新申し込み」はレジストラに受理されている。
だが、.tvドメインのレジストリからは「ドメイン失効」という状況になってしまっていた。
なので、”更新しておいたはずなのに”他人にドメインを奪われるという、あってはならないことが起こりえる状況になってしまっていた。
ダウンタイムの発生も、本来有りえることじゃあない。
レジストラへの問い合わせを行っているが、全くもって無反応のため、ダウンタイムがいつまで続くかわからない状況。
仕方が無いのでレジストリ直で再度ドメインを取得した。
ダウンタイムはなんとかこれで収まった。
が、問題はまだ続いている。
・更新したはずのドメインがなぜ失効したのか?
・他人によってドメインが取得できる状況になってしまったことをどう考えるのか
・更新料金の支払いは既に行われているし、今回別で新規登録した分をどう扱うつもりか?
といったところ。
しかし...、未だにレスポンスをしてこないのは一体どういうことなんだかね…。
投稿者 debizoh : 00:00 | コメント (0)
2005年02月16日
SoftHome.Net Down..
News: Service down. Hardware problems. Working on it. Your data is safe ... just not accessible right now. Go celebrate Valentine's Day while we work on this.
だそうな。メールが読めへん。。が、softhomeアカウントはやふおく関連で使ってるだけなので大丈夫..だといいなあ...
投稿者 debizoh : 00:00 | コメント (0)
SoftHome.netで公式ニュースきたー。
downtime Tue Feb 15 21:51:12 MST 2005 A power fluctuation caused hardware to fail. We've been nursing it along for the past many hours.だそーです。まだ治らんが、データは損失しないっぽい。
The hardware problems caused some other "soft" problems that have been more difficult to track down. Meanwhile they cause us to crash whenever we open general access to the fileserver, which is why access is spotty.
We think we have a handle on the "soft" problem now and are working to correct it. This will take most of the night. Fortunately, the computer is doing most of the work, leaving us time for catnaps. Going on 34 hours without sleep...
We are receiving email. It will be available later, after things are back to normal.All in all, this is NOT my personal favorite Valentine's Day.
More coherent news later, after some catnaps.
投稿者 debizoh : 00:03 | コメント (0)
2005年08月22日
Yahoo!ミュージックはじまる
Windows XP Professional x64で見れねーし...。
ほしい曲がかかるまで待たないとだめ、っていうのは手間ね。
ラジオ替わりって感じかね。
えー、そういうわけで、早速コピーをためしてみたり。
ツール開きつつ垂れ流しで聞いて、いいのがあったら一時停止でURLゲットでツールに放り込む。再生再開。
あっさりできるな...。音だとマクロビジョンしこむとかないしなあ。
デジタル<->デジタルではないけど。光OUT<->光INならさほど劣化はないかも知らんけど。
タダでゲッチュは そのうち騒動になりそうな気もしないでもない。
個人的には、好きでもない曲がずらずら流れているのは我慢ならんので、普通にCDを聞きたい。 ダウンロードでは買わない派。
投稿者 debizoh : 00:00 | コメント (0)
2005年08月28日
Yahoo!ミュージックはじまる(その2)
隠蔽ができてないのが原因だわな。 つーことで、結構あっさり解決できるような気もする。RTSPでWindowsMediaサーバの認証関係ももう少し調べておかんといかんが...。
投稿者 debizoh : 00:00 | コメント (0)
2005年09月19日
自動で他のネット広告を追い落とすツール
自動でOvertureの広告等を調べて、クリックするロボットっぽいものがあるみたい。
明らかに人間とは違うタイミングでの同一接続元からのクリックが多発。
去年ぐらいからあるのだけどね。 まあ、簡単に作れるんですけれど..。
不動産なんていうキーワードは1クリック300円とか、わけわからん高値をつけてる業者がゴロゴロいるからなあ。
広告会社がそういうキーワードは高値じゃなきゃ設定できないようにしてるわけですけれどもね。
儲かるところは儲かるように出来ている、と。
Yahooオークションの注目のオークションも、1日単位の金額をオークション主が設定するものなので、本当に注目されてるわけではありません。
あーしかし風邪がつらい。
投稿者 debizoh : 00:00 | コメント (0)
2005年11月10日
いつでもどこでもMSN Messenger
結構仕事のやり取りなんかもメッセンジャーでぱしぱしやり取りすることが増えてきた。
メールを送るより手軽だったり、オンラインで通じるかどうかという状況がわかるのもよい。
メールだと状況を聞きながら即時レスポンスがしづらい。ただし、デメリットはまとまった情報が来るまでに時間がかかり、かえって時間がかかることがある、ってこと。
ま、そういう前口上はおいときまして・・・
「1つのアカウントを複数のマシンから同時に操作したい」ということです。
メインマシンは入りっぱなしですから、そこにメッセージが入ります。
別の場所から入ると、別の場所からログインしたということで、メインマシンのメッセンジャーは切断されてしまいます。
自動で復旧してくれる場合もありますが、外部から接続している時に復旧されても外部側が切断されますし、away(外出)中に、メインマシンに入ってきていたメッセージを読むことはできません。
また、外部で受け取ったものをメインマシンではログとして持っていないので、余りよろしくない、という。
イメージとしては、IRCでのまどかにあたるもの。
ちょいっと調べた感じでは、見あたらないなあ。
実装する方法としては2つ程あって・・・
1.Proxyとして実装する
サーバに常時接続しておく。実クライアント名(MSNMのユーザ)と、接続クライアント用のアカウントを紐付けし、接続クライアントが接続してきたら、LastLogin以降のメッセージを垂れ流す。
自分で送ったのもログに残さないといかんけど・・・。
MSN ProxyがProxy的になるけど、単体としてそこまでできなさそう。
2.とにかく何かAwayの時に送られてきたものをメールなんかで飛ばす
ログを取るようにしておいて、別プロセスでログを監視して、メッセージが来ていたらメールかなんかで送る。こっちの方が作るのは簡単。デメリット:こっちから返信できないので、即時対応が必要なものはメールや電話で対応・・・。
・・・そのうちなんとかしよう(--;;
投稿者 debizoh : 15:14 | コメント (0) | トラックバック
2005年11月26日
某共用サーバ管理ソフトウェア:ログイン拒否アタックを受ける危険性
某共用サーバ管理ソフトウェアには、「ログイン失敗時にアカウントをロック」する機能がありますが、それを逆手に取って、アカウントをほぼ使用不可能にすることが可能です。
しかも「管理者アカウントは固定の名前」であり、簡単に管理者が入れない状態を作り出すことが可能。
初期設定では、3回連続ログイン失敗で、30分アカウントがロックされるため、30分間隔でたった3回のエラーを引き起こすHTTPS POSTを送れば、管理者が、その管理ソフトウェアを使用できないようにできます。
現時点での対応方法としては、「アカウントロックとするエラー回数」を相当数の大きさに引き上げるしか手はありません。しかし、この方法では、パスワードアタックを何回も試せることにもなり、セキュリティは かなり低下します。
共同で管理している方から、開発元に対し確認を取ってもらっていますが、仕様的に以下の問題点があると考えられます。
1.ロジックとしての仕様ミス
特定IPから指定回数をオーバしたリクエストがあった場合には、「該当IPから、そのアカウントをロックする」という仕様が恐らく望ましい。(但し、IPを切り替えればアタックが永続的に可能ではあるが、アカウント自体がロックされ使えないという状況は回避できる。)
2.拒否、許可IPの設定
ログインが出来ないIP等を指定できるが、ホスティングしたユーザに対してコントロールパネルを提供することを考えると、ほぼ全てのIPを許可する必要が出てくる。
掲示板でのSPAMもそうであるが、IPが動的に変わること、また、OpenProxyになってしまっているサーバが多々あり、その全てをブロックするのはほぼ無理と考えて良い。
3.管理者アカウント名称が固定名称である。
なるべく推察されにくいアカウントを作成すれば、このアタックでの影響は低くなると考えられる。ユーザ用アカウントはそれが可能であるが、前述した通り管理者アカウントは固定である。
4.アタックログが見れない
IPで防ぐとしても、アタックがされたエラーログ等が簡単に見れなければ、サーバを管理するのは難しい。現状としては、コントロールパネル内から、これらのログを見ることはできないようだ。
投稿者 debizoh : 20:19 | コメント (0) | トラックバック
2005年12月07日
ユーザの抱え込みが進む。
Sonyが無料で行っているテレビ番組情報サイト「テレビ王国」が、12/20より「So-net ID」を必要とするように変更となることが発表された(っていうかDMが来た)
So-netIDそのものは、コンテンツコース(無料)でも良い。
「12/20よりパワーアップ!」と書いてあるのだが、実際のところは、コンテンツがSo-netと分離しており、ユーザ情報の管理、抱え込み(あわゆくばDM等の対象とし、ショッピング等で利用させたい)という部分であろうと思う。
詳しくはテレビ王国メンバーサービスが変わります!を参照。
同様といっては御幣があるが、dtiとpointが合併し、更に、今までは接続IDでサービス設定が変更できたが「認証ID」というものが発行される方式に変更となった。
郵送で送られてくるのだが、はっきり言って、普段使うものでないため「本当に解約したい時には書類が見当たらない」ということがかなりの確率で発生するだろう。(この辺りは、片付けの出来る人か出来ない人かにもよるのだろうが・・・)
そうすると、あぁ、見つからないからまあいいや、で契約を延長したままになると思う。
確かにセキュリティ的に今まではザルに近かったとは言える(ユーザアカウントはメールアドレスから推測できる等々)
しかし、認証IDとパスワードは「結局IDとパスワード列の組み合わせ」でしかないため、本質的な部分で、言っているほどセキュリティが高くなったとは言えないのではないか。
認証ID再発行には郵送で525円の手数料がかかる。紙に印刷して郵送するだけで525円とは...。
いいこととして書かれているが、その実、抱え込みであったり、自由度が利かないものが増え続けている。
投稿者 debizoh : 21:33 | コメント (0) | トラックバック
2006年01月13日
すげーな おなまえ.com
おなまえ.com から 「もーすぐドメインの期限が切れますよー」
という書類と、更には今日は直電がかかってきた。
めっさマメだなあ。
顔つなぎを良くする、というのは商売の基本といえば基本だけれども・・・。
各種連絡取ったりするとそれだけで1日終わるのよ...(苦笑
投稿者 debizoh : 22:33 | コメント (0) | トラックバック
2006年03月17日
うーん、Transparent Proxyをいれっかなあ。
一応各端末で対策はしているけれども、WarmやVirusがちゃんと防げているかどうか少々不安もあるにはある。
ポート制限をもっと厳しくして、クライアント機をTransParentProxy配下におくかなあ。。
とか思っていたら、drwebのバージョンあがっとるようだし。。ぶつぶつ。
投稿者 debizoh : 01:35 | コメント (0) | トラックバック
2006年05月03日
掲示板への英語スパムがうざい・・・
今まで大したことがなかったわけですが、Blogが広まるにつれ、掲示板への英語スパムが増えてきました・・・。
見ていると、パスワード欄に入れてこないので、パスワード欄を必須にするとかっていう手もあるかもしれん。
っていっても、Formタグ見て自動化してくんだろうな、きっと。いたちごっこやろなあ。
※日本語掲示板SPAMもあるけど、日本語のほーはやり方が可愛いもんなんで、今のところかなり自動で潰せてる。
とあるサイトで作った、ID生成型もよかったんだけども、IDを取るのがめんどくせーという話もある・・・
JavaScriptが動く環境で無い(IE等をComで制御してアタックツール化しているとか)ではないだろうから、単純にJavaScriptでAuthCodeを生成させる方法も利くかねえ。。どうなんだろか。ヤツラはどんなツールを使ってるのかが問題だ。(頭を割って見てみたいがね。日本語のサイトにやるっていうことも含めて意味を問いたいところでありまふ)
それか、認証コードを埋め込む形がベストなんかもしれんけど。
セッション生成+画像作成>コード通るかどうか確認する
っつー流れか。
「めんどくせー」と思うかどうかが、作るかどうかの分岐点なんだよなー。それほど手間じゃなければ手作業でやれば済むわけで。もーちっと様子見てみるかな。。
投稿者 debizoh : 15:24 | コメント (0) | トラックバック
2006年05月12日
掲示板スパム対策として
まずは文字画像を作成するツールを作った。(C# .NET2003にて)文字TrueTypeフォントと文字サイズを指定した後、実行すると0-9,a-zA-Zで画像ファイルをがりがり作ってStoreしてくれるツール。自前用なのでいつもながらTry~Catchが適当だし、サンプルを組み合わせただけというウワサもちらほら・・・。
カウンター用数字画像もラクチン、ポンで作れます。
座標軸をちょっと変えたりすれば、フチ取り文字も作れるんだろうがなあ。
Linux上で文字画像の作成から始めようかとも思ったが、TrueTypeFontが入ってなければならないので、ちょっと面倒かなと思ったため。LinuxにTTFを移植するのもなんだし。汎用性が無くなってくるからね。
後はGDorImageMagickでRotateさせたりしつつ画像を合体させることと、セッションの生成といったところか。掲示板にそこまで求める必要性があるのかどうかはわからんが・・・(重たくなるし、GDorImageMagick入ってなきゃならん。)
他のフォームを使った系統にも応用は利く。少しづつ進行中。
投稿者 debizoh : 18:03 | コメント (0) | トラックバック
2006年05月20日
米国ベリサイン・インク、米国ジオトラストインク買収
日本ベリサイン:プレスリリース
むうむう。これでベリサインはSSLのシェアをかなり握ることになる・・・。
投稿者 debizoh : 00:18 | コメント (0) | トラックバック
2006年05月30日
約6万4200人分の個人情報が流出
大証ヘラクレス上場のオンラインゲーム運営会社「アエリア」(東京都港区、小林祐介社長)は29日、同社のサーバー内のハードディスク30枚が紛失し、最大約6万4200人分の個人情報が流出した可能性があると発表した。流出した可能性があるのは、同社の子会社「ゲームポット」が運営しているオンラインゲーム「プチコミ」など3ゲームの利用者の名前、住所、電話、メールアドレスなど。
・・・と、ニュースが出ていたが、ハードディスク”30枚”ってなんでしょーか・・・。
バックアップメディア?
ドライブだとすると、やはりドライブ単位で保護するのは必要ですなあ。
投稿者 debizoh : 21:45 | コメント (0) | トラックバック
2006年05月31日
んぬ
掲示板スパムうざくなってきた・・・。
というかだね、フォームメールにまでSPAM投下しやがりやがって・・・。いらつくぜ・・・。
簡単な中身チェックとしては、JPな文字コードがあるかどうか(まあ、日本語サイトだしな)だけでもいいかもしれん。
投稿者 debizoh : 11:16 | コメント (0) | トラックバック
つーことで
英語スパム対策を自作のスクリプトに試しで入れてみた。
投稿者 debizoh : 13:18 | コメント (0) | トラックバック
2006年06月26日
DION個人情報流出キターーーー
| 対岸の花火~とか思ってたけど、今頃お知らせの手紙がきちゃいましたよっと。 | |
 (クリックで拡大PDFを開きます) |
むーん、DIONつーと、Bフレッツの初期の頃にちょっと入っていただけなはずなんだよなー。どこまで/いつまで、個人情報保存してんだろう。 この中に書かれている、(2)性別、生年月日、連絡先メールアドレスも含まれていたもの、その、(1)なのか、(2)まで含んで流出したのか、その辺の記載も無いし・・・ やる気0な感じですなあ。っていうかやっぱりお役所仕事? できる限り契約しないこと・・・、ポイントカードとか、お得だとかいう言葉で抱え込みの罠にかからないこと。でも、最近インターネットショッピングとか、無駄に個人情報集めてるんだよなあ。生年月日とかいらないでしょ?(管理リスクっていう意味で、下手にイロイロ集めるのは、集めた方のリスクも高くなるんだけども。) ・・・皆様もご注意くださひ。 そういえば、NTT重複課金というのも、以前にあったりしました・・・。 |
投稿者 debizoh : 23:34 | コメント (0) | トラックバック
2006年07月31日
DNSサーバの設定
recursiveを制限しておかないと、外部から問い合わせ用DNSとして使われる。
某社設定で「某InterX(一応伏字にしておく)が2ndDNSです」と、設定仕様書に書かれていたが、単に某InterXがrecursiveの設定を適切に行ってないようで、外部からの問い合わせに全て答えているだけ。
それがInterX クォリティ。そして、そんな設定でお客に対し堂々と仕様書を書き納品しているヤツ(サーバ屋らしいがな)もスゲェ。
投稿者 debizoh : 21:22 | コメント (0) | トラックバック
2006年09月07日
Amazon アフィリエイトのスクリプトバグ
Amazonアフィリエイトにスクリプトバグがありました。
画像が大きい場合に、スクリプトエラーが起こります。
var w = Math.round((66 - image.width) / 2);
var h = Math.round((60 - image.height) / 2);
// A script error is caused when a picture is large.
if (w > 0)
{
image.style.paddingLeft = w + 'px';
image.style.paddingRight = w + 'px';
}
// A script error is caused when a picture is large.
if (h > 0)
{
image.style.paddingTop = h + 'px';
image.style.paddingBottom = h + 'px';
}
というように0以上という条件をつけずにやると、-の値を与えようとしてスクリプトエラーが起こります。
今だと「彩雲国物語 紅梅は夜に香る」という本が出ている場合には、漏れなくスクリプトエラーが起こるはずです。(とはいえ、スクリプトデバッグをonにしてなければ出ないかもしれませんけれども・・・)
処理上としては、見た目を合わせるために画像をセンタリングしているみたいですねえ。なるほど、そういう方法もあるかあ、とちょいと参考にしつつ・・・。
自分でエントリ書いて中身確認する際にスクリプトエラーが発生するのは心臓に悪いです、はよなおしておくれ・・・。
とりあえずAmazonに情報おくっとこっと・・・
投稿者 debizoh : 21:17 | コメント (0) | トラックバック
2006年09月13日
Jcode.pmのSecurity Hole つかバグだろ
ちと古いネタになりますけども、
$Revision: 2.6 $ $Date: 2006/07/02 07:56:06 $
! Jcode.pm t/regex.t t/tr.t
Security fix by Hanabusa-san that prevents options from being eval'ed.
というのが出ておりました。
2006/9/2の日記でちょいと書いていた「Awstatsのutf8 decodeでsegfaultなんだよなあ」は、このJcode.pmの問題によって起こっていたことがわかった。(書いてから1日後ぐらいには解決していたのですが、ネタとして書くのが遅れました・・・)
リファラーの語句をUtf8Decodeさせるツール(utf8decode.pl)は、最新ではEncode.pmを使っている関係もあって、Perl5.8環境でしか動かせないが、Perl5.6なサーバで稼動させるためにカスタマイズを施したものを動かしていた。
ただ、別ユーザのところでは問題が起こってはいなかったし「特定文字」でSegfaultを起こすわけでもなさそうだったので、なんともなあ、というところではありましたが。
まあ、そういうことでライブラリで使うものもきっちり管理orアップデートを行わないといけないということですね。
投稿者 debizoh : 20:55 | コメント (0) | トラックバック
2006年09月26日
めちゃくちゃ切れまくり
Vz関連で切れまくり。アップデートきてるがライブラリの依存の問題でアップデートできない。
その他各部問題あり。
BigProblemとしては、メーリングリストが動かない。Plesk8.0.1の問題のようにも思えるが。
怒涛のようにサポートに連絡を入れる。つか、英語のForumもあって、そっちの方がサポートよりまともに情報があったりすることも多々あったりするのもどうかとは思ったりしているわけで。
このままだと、サポートパッケージは入らざるを得なさそうだが、基本的にバグじゃねーのかと。
いろいろ頭痛が痛い。はー。
かといってXenはやっぱり候補から外れるわけで。
投稿者 debizoh : 03:55 | コメント (0) | トラックバック
2006年10月03日
DION個人情報流出のお詫び200609版
DION個人情報流出キターーーーでも書いたのですが、何気に流出対象者だったわけで。
KDDI DION:個人情報流出に関するお知らせで、細々とアナウンスなどもあったりはしますが、エンドユーザ宛に郵送した書類に関しては記載がない模様。
ということで、2006/09に来たお手紙を「せっかくだから」PDFにしてみました。
これ
投稿者 debizoh : 09:30 | コメント (0) | トラックバック
Amazonショッピングカードが今日から開始
Amazonショッピングカードっていうのは、ウェブマネーのようにプリペイド型のカードをお店で購入しておいて、ギフトにしたり、もしくは、クレジットカードが使えない人が使うためのカードです。
・・・ですが、Suicaも、その他のプリペイドもお金は先にショップに支払うわけです。ショップとしては先に資金として入り、実際に商品として出ていくのは先になります。1ヶ月後で使うとしたら、その間資金をプールできます。 ということで、よくよく考えれば利子が発生しないので何もお得ではないのですよ。
その他ポイントキャッシュバック系カードもそうです。ポイントを貯めて貯めて使う・・・なんていうのも、そこで利子の発生も何も無しで貸し出してるようなもので、よろしくない。さっさと使うか、現金決済でその分値引きさせる方が間違いなくお得です。
もちろん、企業側はメリットがとてもあるので(資金プール、利子収入、顧客抱え込み)ビジネスモデル的にやらないわけがないわけですけど。
投稿者 debizoh : 09:54 | コメント (0) | トラックバック
2006年10月08日
気が気でない一夜
広島での最終夜(10/6)、メールが使えないという連絡がPM6:30頃くる。
金曜の夜ぐらいはゆっくりしたいやなあ。
金曜の夜っていったら
Complexの恋を止めないで~とか、(金曜の夜さ、連れ出してあげるとかだっけ^^;;)
8時だよ全員集合!とかですよ・・・・
気温が一気に下がったところで本題に戻ります・・・。
とりあえずSMTPを再起動してもらった上で、そんな連絡を貰ったのでお土産屋を覗かずに新しいホテルの方に移動。
慌ててネットに繋いだ上で、リモートで自宅に接続し、そっから更にサーバを見に入る。
(東横インはセキュリティ上、イロイロ制限がある模様で直にはいけんかった。後でまとめるけど)
identがたまりまくって接続できないという状況に陥っていたように思える。
ちょっと手を入れた後、コーヒーを飲み監視しながら理由を考え悩む。
AM2:00頃まで監視し、identの接続が固まった状態にはなってなさそうなので、そのまま寝る。(5時起きだし)
そして、今日帰ってきて再度確認。やはりidentが接続状態で固まったままになっている。
ここ最近、どうも海外からのSMTPセッションが増加しているようだ。
identが固まることにより、結果としてSMTPもこけている状況にあるようなので
pidentd から nullidentdに変更さらにinetd上の設定をnowaitに変更する。
・・・というところまでを10/8のAM2:00頃までやっていたが、気づいていたら椅子で寝ていたので
布団に移動して寝る。
20時間ぐらい経過しましたが、安定して稼動している模様。
つーことで、しばらくWatchを続ける必要があるけれども、今件に関してとりあえず安心してよさそうだ。
投稿者 debizoh : 22:24 | コメント (0) | トラックバック
2006年11月28日
緊急でメールサーバだけ分離する
はー。2ndMXを受け持っておいてあげてる相手(1st)が止まったおかげで、鬼のようなメールの絨毯爆撃を受けていた。
load average: 57.76, 43.61, 26.54
って、普通じゃなさすぎ(汗
qmail-scanner + Drwebを使ってなければ、loadはそこまでいかないのだが。
まあ、2ndでqmail-scannerっていうところが、ナンなんだけども・・・・
Webサービスに影響が出るので、緊急でSMTPサーバを1つ立ち上げて、多段にした。
・・・落ち着くまで様子見。ふぅはぁ。
投稿者 debizoh : 03:17 | コメント (0) | トラックバック
2006年11月29日
なんか出てます?
あんたんところのネットワークパケットが届いてるんだけど
割り当てられてないIPを使ってないか?
とかいう連絡が来た。
設定間違ってないし。
他に割り当てられたもん使ったら重複してそもそもおかしくなるんちゃうんか。
7件+αの案件が年末までにとせっついている。
そして合間を縫って問い合わせと、その他諸々・・・
神経ぴきぴきしてます。
投稿者 debizoh : 10:16 | コメント (0) | トラックバック
2006年12月17日
Outbound Port25 Block
こないだの他社からの専用サーバ移転作業の際に、Outbound Port25 Blockで引っかかりそうだなぁ、と思っていたので対応しておいたらビンゴだった。
しかし、元の環境じゃSubmissionなんか用意してなかったっぽいけど、どうなってたんだろう・・・。運が良かっただけか?
最初はPOP Before SMTPをやって・・・と、言っていたのだが、「めんどくさい」という反応だった。
今までどういう環境だったんだ・・・と、一応今調べてみたら、mail fromが合えばどこから、どこにでも送れる。いやー呆れるにも程があるな。よくもまあ、これで専用サーバの業者をやってるもんだと・・・。
ということはおいといて。
簡単にやり方を。
ソースをげっちゅーする。
patch qmail-date-localtime.patch
patch qmail-smtpd-auth(ver 0.31)
http://avoidnotes.org/~ohki/solo/DebianSargeInst.html#sec-55
http://www.aripollak.com/wiki/Main/QmailMSP
を参考に、qmail-smtpd.cを 書き換える。
rcpthostsを見ないようにするための書き換え。
int addrallowed()
{
int r;
if(env_get("SUBMISSION")) return 0; /* SUBMISSION is set if this is a
submission port (usually 587)
as per RFC2476, so only accept
if user has authenticated*/
r = rcpthosts(addr.s,str_len(addr.s));
if (r == -1) die_control();
#ifdef TLS
ディストリビューションのqmailを入れている環境などで、qmailのユーザが異なる場合は、qmailのソースにconfがあるので適宜変更しとくこと。ls conf* で出てくる。
終わったらmakeをかける。
make
※make setup をすると既存バイナリが上書きされてしまうので、makeだけにする。ディストリビューションのを入れてないんならmake setupとかでもいいけど。
cp qmail-smtpd qmail-smtpd-submission
/etc/init.d/qmail にsubmission用定義の追加
あと、VPOPMAIL環境で、CramMD5を使うならば、マロンくん.netのqmail+vpopmailでSMTP AUTH実装のページ http://www.marronkun.net/linux/mail/qmail_000032.html
に、記述されている通り、vchkpw.cを修正する。
投稿者 debizoh : 07:21 | コメント (0) | トラックバック
2006年12月20日
ORDBが閉鎖。SPAM関連の設定に影響が。
SPAMメールチェックで使われていた、ORDB(Open Relay Database)が閉鎖になるとのこと。
ORDB:ORDB.org is shutting down
・DNS とメーリングリストは今日、2006年12月18日消滅するでしょう。
・ウェブサイトは2006年12月31日までに消失するでしょう。
ということです。ORDBを使ったチェックを行っているのであれば、早急に設定の変更が必要です。
PleskなどでMAPSを使っているサーバも同様に必要です。
功罪いろいろありますが、サーバ管理者に対し、Open Relayではいけない(当然ですが)という警鐘を与える、という意味で役に立ったと思います。(それでも理解できずに、まともに管理されていないサーバもごろごろしているわけですが。。。)
現在ではボットによって操作されてしまっているサーバや端末が多数存在し、無意味になったということを意味しています。
ORDBの文にもありますが、
We recommend a combination involving greylisting and
content-based analysis (such as the dspam project, bmf or Spam Assassin).
我々は(dspam プロジェクト、 bmf あるいはSPAM Assassinのような) greylistingな、そして内容ベースの分析を含めての組み合わせを勧めます。
ということで、よりもっと踏み込んだ形でのSPAM対応策が必要ということです。
が、しかし、それは誤検出との戦いの幕開けでもあります・・・。
メール以外に、Blog や 掲示板へのSPAMも、Relay DBではもはや通用しないところがあります。1日経つと300ぐらいは溜まっている今日この頃です。
投稿者 debizoh : 06:50 | コメント (0) | トラックバック
2007年01月01日
インターネットVPNのセキュリティ
某社RTX1000の拠点間設定を確認、セキュアにするよう作業を行っているわけですが、なんというか、とにかく”ザル”なんですよね。
共有Keyパスワードでいけてしまうわけで、対置でLAN<>LAN接続させる、してある、というのは危険なのです。
流行るちょっと前の2001年辺りに某社システム構築の際に友人と二人でVPNを導入しましたが、その際は”元NWとは独立”させました。
出版社受託~運送のシステムですが、まだ今のところ大きな改善はなくうまく稼動しています。(ADSL1.5Mだったので、極度な遅さがありましたが、ADSL8Mが開通&システム改善によってかなりマシになって、今に至っています。まだADSL8Mのままだったりして・・・)
VPNの文献も情報もあまりなく、システム自体の元の出来が悪く改善に手間取った,
回線が遅いためにいかに転送を軽くさせるかを試す等と、イロイロ大変だったけども、あれはあれで面白かったなあと(今になって振り返れば)思うところです。
そういうわけでして、今は簡単にルータ側で設定できますし設定例もゴロゴロ載っています。また、各SI等もVPNお手軽パックみたいなことをやっていてお手軽です。
そういう”人がふつーのよーにやっていること”に全く興味が持てないため、頼まれればやりますが、敢えてそれで仕事を取りたいとも思わないわけですけれども。
まあ、ともかく「本当のポイント」である”セキュアかどうか”が抜け落ちてる気がします。
確かにカプセル化されるから、データとしてのセキュアさは確保されているわけですが、それだけじゃ安全ではありません。なんのためにVPNをやっているのか、そのVPN構成自体はセキュアなのか、もう1歩踏み込んで考えて欲しいなぁと思うところです。
どこまでやれば安全なのか、というのを論じるとキリが無くなってしまうところはありますけどね。
投稿者 debizoh : 12:15 | コメント (0) | トラックバック
