security一覧

Google Public DNS (8.8.8.8) より速い! 高速で安全な DNS サーバ

本当に速い Domain Name System サーバとは?

Left rack (top)
(サーバの良し悪しは──見ただけでは分からない)

下の記事を中心として、Google のパブリック DNS サービスなどの「特定の DNS サーバ」を設定することが流行していますが──、

「あなたの環境で」本当に速い DNS サーバを設定したければ、以下の手順を おすすめします。

  1. DNS Benchmark」で応答速度を計測して、
  2. DNS Nameserver Spoofability Test 」で安全性を確認する

「DNS Benchmark」は Windows のみ動作するツールですが、Google 製の「namebench」なら Mac OS X や Windows・UNIX などでも動くようです。

namebench – Open-source DNS Benchmark Utility – Google Project Hosting

では、詳しい手順を書いていきますね──。

続きを読む


海外サイトでデビットカードでの支払いができなくなった時に確認!

楽天銀行デビットカード(旧: イーバンクマネーカード)

Imin Sane (by Stinging Eyes)
(彼は関係ない)

楽天銀行(旧: イーバンク銀行)を利用しています。いろいろと文句はあるけれど、ウェブ上で手軽に現金の取引ができることは、大変ありがたい。

自分は以前、ほかで作ったクレジットカードを持っていましたが──エラい目にあったのです(人はそれを「自業自得」と言う)。そのため、イーバンク銀行だった時代に、「VISA デビットカード」(イーバンクマネーカード)を作りました。

使い勝手は普通のクレジットカードと同じだが、支払が原則直ちに行われる点が特徴。

デビットカード #VISAデビット – Wikipedia

デビットカードならば、残高よりも多くのお金を使うことがない。これで安心だ。

──と思ったら今度は、ウッカリしていて、楽天銀行の口座にお金を入れ忘れることが増えました。そうすると、カードはもちろんのこと、口座まで利用停止になってしまう(入金だけはできる)。

Flickr のプロアカウント

先月も、海外の写真共有サイト・Flickr のプロアカウントの有効期限が切れる直前に、楽天銀行の口座が使えなくなりました。

──マズい! と思って楽天銀行への入金を済ませたのですが──、なぜか VISA デビットを使って Flickr への支払いができないのです。

Flickr は、クレジットカードとデビットカード・PayPal のみ受け付けており、現金の振り込みはできません。さてはて、困った!

stone::tamaki: flickr pro account

入金したばかりだからダメなのか──と次の日まで待ってみたけれど、状況は変わらない。

そうこうしているうちに、Flickr のプロアカウントは期限切れになり、アップロードした写真や「Sets」が激減しました! いつになったらデビットカードを使わせてくれるのでしょうか……。

支払える・支払えない?

──ところが、いつも自動で引き落としされる取引は、正常に VISA デビットから支払われていたのです。これらは、すべて日本国内での取引でした。

PayPal への入金はできないことなど、いくつかのサイトで調べてみる。すると、どうも、

海外のサイトのみ、デビットカードが使えない

という状況であることが分かりました。

そこで、あることに気がついたのです──。

続きを読む


ファイアウォール機能を使わずにプログラムの接続を制限する方法

特定のプログラムのみ接続不可にする

Warning, cats! - Attenti al gatto!
CreativeCommons Attribution-NonCommercial-ShareAlike License, Marco Bernardini

問題・Windows XP で以下の条件を満たすには どうすればいいか?:

ある特定のプログラムのみ「インターネットに接続しない」状態で起動する

なお、環境は下の通りとする:

  • OS は Windows XP SP2 Professional
    • (Home Edition は検証していない)
  • そのプラグラムとは、ゲームやブラウザなどの一般的なものである
    • 一応書いておくが「オフライン作業」で起動したいわけではない
  • ファイアウォール機能を使わないこと
    • ファイアウォールソフトも利用しない
  • 「ある特定のプログラム」以外には(極力)影響しないこと

Windows 標準のファイアウォール機能やファイアウォールソフトを使えば一発で解決するが、それは避けたかった。なぜなら、たかだか数個のプログラムのために、システム全体に影響を及ぼすファイアウォール機能を動かしたくないからだ。

ということで、以下の文章には「ウィルスバスターでいいじゃん」「i-フィルタ使え」などのご意見はカンベンしてほしい。

Windows 標準の機能とフリーソフトを使って、上記の条件を満たす方法を見つけたので紹介する。「もっと良い方法がある」という人のコメントを待っています。

続きを読む


Firefox 3 でクッキーの保存する期間を指定する方法

もうひとつの「自動ログイン」

livedoor Reader へ自動的にログインする方法を書いた。

livedoor Reader へ SSL 認証で自動ログインする方法 : 亜細亜ノ蛾

便利なチップス記事、と見せかけて大企業のサービスに対して苦言を呈しているので、「中の人」が見てこっそり直してくれるのを期待している。

「人様が考え出したアイデアを無断で改変し、我が物顔で公開する」といういつもの手口だが、我ながら良い記事を書いたと思う(自画自賛)。

ただ、自宅で自分だけが使っているコンピュータなら、もっと手軽に使いたい。ログインする手順自体を省略できないものか──。できれば、最初のデートはお食事だけという手順も省略したいものだ──。

HTTP cookie

「ログイン前/ ログイン後」を相手のサイト(サーバ)が見分けているのは、多くの場合はブラウザのクッキー(HTTP cookie)だ。livedoor Reader も同じで(セッション・)クッキーを利用している。

ref.: HTTP cookie – Wikipedia

Firefox やサイト側の仕様なのか、それとも自分が何か間違っているのか、ブラウザの終了と同時にクッキーが破棄されるようだ。少なくとも自分のコンピュータでは。

さて、どうするか──。って、こうして記事にしているという事実から、そしてタイトルを見ても分かるとおり、解決策が見つかったので紹介してみよう(実行は自己責任で!)。

続きを読む


livedoor Reader へ SSL 認証で自動ログインする方法

livedoor Reader 自動ログイン

livedoor Reader へ自動的にログインする HTML ファイルを作ったので、必要な方はご利用ください。

http://asiamoth.com/download/html/ldr_auto_login.html.txt

使い方は下の通りです。最後の呼び出した段階で、自動的に livedoor Reader が開きます。

  1. 適当な場所へ保存
  2. ファイルを開く
  3. *** で囲まれた場所を、自分のID とパスワードに書き換える
  4. 拡張子を「.html」へ変更
  5. ブラウザから呼び出す(ブックマークなど)
参考

下記のページを参考にして作成した。思ったより簡単で、ほかのページにもすぐ応用できる。

自動ログイン用HTML文書 – パソコン遊戯

また、id:amachang の影響でHTML5(の DOCTYPE 宣言)にした。まったく意味はないが……。

HTML5 の DOCTYPE 宣言って IE6 でも標準モードになるんですね – IT戦記

余談だけど Another HTML-lint は HTML5 に対応していない。対応が待たれるところだ。作者にビールをおごると良いかもしれない。

Another HTML-lint gateway

続きを読む


『ドクターウィルス』他、偽のセキュリティソフトに注意!

偽のセキュリティソフト

[これはひどい] なニュースを紹介。

PC を守ってくれるはずのセキュリティソフトが、じつは偽物だった、という話です。

筆者も偽の対策ソフトに騙されました……:日経パソコンオンライン

どの辺りが酷いかというと──。

情報通信部って……

情報通信部はウイルスやスパイウエアを最もよく検出・駆除するソフトとして「ADスパイダー」「PCクリアー」「スパイドクター」、「スパイゼロ」「ドクターウィルス」――の5種類が優秀であるという内容の報道資料を配り、それを省庁のWebサイトにも掲示していた。

筆者も偽の対策ソフトに騙されました……:日経パソコンオンライン

──とのことですが、ここからが最悪。

あとで知ったことだが、情報通信部が保証したはずの5つのウイルス対策ソフトのほとんどが、同じような手口で有料決済を仕向ける偽ソフトだったとして大問題になっていた。

筆者も偽の対策ソフトに騙されました……(2 ページ目):日経パソコンオンライン

「ほとんど」というのが曖昧で気になりますが、それはそれとしても、あんまりな話ですね……。

もしかして、情報通信部が黒幕──ん、誰か来t

続きを読む


Firefox 拡張機能「NoScript」でサックサクにしてやんよ

NoScript

“noscript”と聞くと HTML タグを思い浮かべる人も多いと思いますが、今回紹介するのは、Firefox の拡張機能(Add-on: アドオン)です。

これは、多機能なセキュリティ対策ツールで、

「基本的にすべてのサイトの JavaScript(など)を実行させない」

というのがメインの機能です。

JavaScript を実行させたいサイトをドメイン単位で許可する、というホワイトリスト法になっています。

設定方法と使い方

詳しい設定方法、使い方は、下記ページが図解入りでわかりやすいです。

NoScript – 拡張機能のおぼえがき –

Greasemonkey, UserChrome.js は?

気になるのが Greasemonkey や UserChrome.js への影響ですが、ページ内の JavaScript とは独立しているせいか、制限されません。

唯一 問題になるのが SBMCommentsViewer ですが、これは NoScript を使いながらでもコメントの取得ができます。

silog – script/SBMCommentsViewer

Flash, iframe もブロック

面白いのが、許可していないサイトは、Flash や iframe も制限できること。

うざったいブログパーツや、「なんとかランキング」の読み込みがダルいサイトも、軽快に表示されます。

読み込み制限した Flash や iframe は、ワンクリックで表示可能(オプション次第)なのが、たいへん便利です。

自分の使い方

基本的に、いつでも JavaScript が動作して欲しいサイトは限られています(LDR, Google , 自分のサイトなど)。許可しないサイトは、Flash も iframe も、プラグインもすべて制限しています。

これらを止めていると問題になる場合でも、「一時的に許可」ができるので、あまり困ることはありません。

まとめ

ようするに、エ■サイト巡回が日課の人には欠かせない拡張機能。

[これが言いたかっただけ][以前に比べて軽くなった?][ひろみちゅ先生に怒られそうなこと書いてないだろうか……]


Firefox の 拡張機能 Locationbar2 と Secure Login

Firefox の拡張

最近の、入れて良かった拡張を紹介します。

「Locationbar²」と「Secure Login」です。

Locationbar²

design-noir | Mozilla | Locationbar2design-noir | Mozilla | Locationbar²

まずは「Locationbar²」。

これは、ロケーションバー(アドレスバー)に下記の機能を提供します。

  • ロケーションバーの表示をカスタマイズできる
  • 簡単に上のディレクトリへ移動できるようにする
  • 2バイト文字の情報を含むURLエンコードをデコードした状態で表示してくれる

「窓の杜」の記事が、画像入りでわかりやすいですね。

窓の杜 – 【NEWS】Webサイトのディレクトリ移動を容易にするFirefox拡張機能「Locationbar2」

先に挙げた公式サイトからダウンロードできますが、日本語版は下記のサイトからどうぞ。

ふと今日は・・・・・・  Locationbar² 日本語文字コード対応化(日本語化済み)

この拡張の存在は知っていたのですが、何となく意地で、マウスジェスチャー(userChrome.js 版)やキー入力でなんとかしていました。しかし、いざ導入してみると、かなり便利で手放せなくなりましたね。

SCRAPBLOG : [userChrome.js] 軽量マウスジェスチャ(Windows/Linux対応)

Secure Login

Mozilla Firefox extensions - Secure Login & Autofill FormsMozilla Firefox extensions – Secure Login & Autofill Forms

次は「Secure Login」。こちらは初めから日本語にも対応しています。

日本語の説明で「Opera 風のログインを提供します」と書かれているとおり、

  • ツールバーやステータスバーのアイコンをクリックする
  • (カスタマイズ可能な)ショートカットキーを押す

のどちらかでログインできるようになります。もちろん、事前にログインしてパスワードを Firefox に記憶させる必要があります。

──ただそれだけなのですが、これがものすごく便利。いつものログイン作業が、一瞬で終わります。

ref.:

function()… というアクセスの原因→MyBloglog

アクセスログに「function()…」

これまた需要が少なそう(無さそう)な話題ですが……。

かなり以前から、アクセスログにおかしな文字列が残るようになりました。

真・対spam最終兵器『IPスパムフィルタ』 : 亜細亜ノ蛾

具体的に書くと、こんなアクセスです。

/mt/.../function(){return this.inject(...)} HTTP/1.1

function() を含むアクセスは、少なくとも MT ではありえないので、全て 403 Forbidden. を返すようにしていました。しかし、なにしろ一日に何百も同じようなアクセスがあるので、アクセスログのエラー項目が役に立たない……。

MT が出力している (X)HTML を調べても、どこにも function() なんてリンクは無いし、もしかして不正アクセス? と悩んでいました。

Firebug で解決

先日、ようやく Firebug で原因を突き止めました(約一年間、なにやってたんだろう)。

Firebug は JavaScript が生成した後の HTML を見られるので、おかしな記述が発見できました。Firebug と作者に感謝!(トレードマークを G と間違えてごめんね)

はたして、その原因とは?

──まぁ、タイトルでネタバレですが。

続きを読む


セキュリティ意識が低すぎた件について

高木浩光氏に DIS られた!

現在、このブログへのアクセス数が穏やかに増えています。大変、有り難い──と思いきや、アクセス解析でリファラを見ると、その多くが http://b.hatena.ne.jp/HiromitsuTakagi/ ──と、どこかで見たようなお名前が……。え、高木浩光氏のはてなブックマーク !?

過去を振り返ってみて、こういった有名どころからの訪問が多い場合、たいていは「また asiamoth が何かしくじった……」ということばかり。ガクブル しながら見に行くと──

[セキュリティ][脆弱性][法律][bad] 「プログラミングのことが判ってない」「全くと言っていいほど何が書いてあるか解らない」という人が、「この本で特に面白いのは「実際に攻撃してみましょう」というスタンスなのが楽しい」と感じている事例。

はてなブックマーク – HiromitsuTakagiのブックマーク / 2007年02月03日

『PHPサイバーテロの技法──』 まずは攻撃方法を学ぶ : 亜細亜ノ蛾に bad タグ付けられちゃいました(波状効果ではてブ数が延びているのが悲しい)。とほ。

──見出しで「DIS られた!」なんて書いたのは冗談で、実際はそれ以前、DIS るってレベルじゃねーぞ!というか (ノ ∀ `)アチャー という感じ。氏からすると「困ったちゃん」に見えたことでしょう……。

ref.: 高木浩光@自宅の日記

「楽しい」と感じたのは事実

自分からすると、

「防御する側が攻撃方法を学ぶのは当たり前。だったら実際に(ローカルで自分の作ったスクリプトに)攻撃してみるのもいい勉強になる」

というのを真っ正面から書いてあるのが「楽しい」と感じたのですが──この本を読んでない人からすると、

「このブログの管理人は、他人のサイトを攻撃するのを『楽しい』と言うのか!」

と受け取ったかも知れません。もう少し注意して書くべきでした。

やはり、ブログ管理人として、このような誤解を生む書き方は イクナイ、ということで、深く反省すると共にこれから気をつけようと思いました(どこかで聞いたフレーズ)(こういう態度が イクナイ)。

泰平の眠りをさます──

それにしても──高木浩光氏がちょっと一行、しかもはてブに書いただけで、(瞬間的に)これほど注目されるとは……。

それなんて上喜撰