stealthinuのブックマーク - はてなブックマーク

bash の危険な算術式 - どさにっき

■ bash の危険な算術式 _ 使ってる人がいちばん多いだろうからタイトルでは bash としてるけど、ここで取り上げることは zsh および ksh 一族(本家 ksh、pdksh、mksh)にも該当する。ash、dash などでは該当しない。 _ 以下のシェルスクリプトには脆弱性がある。わかるだろうか。 #!/bin/bash # "品目,単価,個数" の形式の CSV を読んで、"品目,合計金額" の形式で出力する csv="foo.csv" while IFS=, read it emprice num; do echo "$it em,$((price*num))" done < "$csv" これ、細工された CSV ファイルを食わせることで、任意コードの実行ができてしまう。数ある脆弱性の中でもとくにヤバいやつだ。どこが穴なのかというと、タイトルにもあるとおり算術式なのだが、し

stealthinu 2019/09/02

﹃ここまでの説明で、算術式が危険な罠だということがわかっただろうか。まだわからんか。﹄これは気が付かん。説明されてもだいぶしんどい。 ●unix ●security

リンク

7pay 問題におけるデマ - どさにっき

■ 7pay 問題におけるデマ _ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。 _ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。 _ 具体的には、﹁パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた﹂というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎ

stealthinu 2019/07/10

7payがパスワードリマインダの脆弱性により乗っ取られた、という論調になってる件への指摘。自分も同意見。あれはこういう脆弱性もあるって指摘だったと思うのだがいつかあれが理由にすり替わった感じ。 ●security

リンク

ドメイン名差し止め - どさにっき

■ 韓国ブロッキング _ もう2月だけど今年一発目なのでいちおう、明けましておめでとうございます。別に忙しかったとか体を壊したとかじゃなく、ただ家に帰ってコタツに入った瞬間にすべてのやる気が失われていただけです(なので今日は仕事中に書いてる)。 _ で、韓国で HTTPS なサイトのブロッキングが始まったとのこと。なんか艦これが巻き添えくらったらしく、DMM はせっかく FANZA と分離したんだし分離以前も dmm.co.jp と dmm.com でエロと非エロを分けてたのにとんだとばっちりだよな。 _ 今回の件は昨年5月には検討が始まっていて( 翻訳)、反対運動( 翻訳)も起きていた。日本の海賊版ブロッキング議論も昨年春からで、ほぼ同時期に似たような騒動が起きたので気になってたんだけど、結局実施に至ってしまったらしい。twitter の #SaveTheInternetKRという

stealthinu 2019/02/21

ドメイン名差し止めできる法律準備すべきという話『不正サイトをなくしたいという思いを否定するつもりはないんだけど、そのためなら何をしてもいいという歪んだ正義感の暴走を感じる』

リンク

海賊版シンポ 2018年9月4日(火) どさにっき

■ 海賊版シンポ _ これ行ってきた。取材記事はこれとかこれとか。 _ 海賊版対策において出版社がやるべきことを尽くしてないとは前から言われてたことなんだけど、その感がますます強くなった。出版社は CDN 事業者に対していまだ訴訟を起こしてないのにはじめから効果がないと決めつけてるし(出版社ではなく著作者個人が訴えたケースはある)、何より今回明らかになったのは、出版社が作家とまったく連携してないってこと。 _ 赤松健がいきなり﹁出版社から何の説明もされてない﹂と爆弾を投下しちゃった。﹁作家の立場がブロッキング反対だったらどうするんですかね﹂と疑問を投げかけてたけど(実際は作家たちの方でも意見がさまざまでひとつにまとめるのは難しいとのこと)、作家と出版社の間で意見の調整をはかるどころか、まったく説明すらしてないって論外なのでは？ _ それから、最後の最後、パネルディスカッションの締めく

stealthinu 2018/09/18

出版社が作家と契約書交わしてなく出版権がないから海賊版サイトに対して当事者として被害を訴えることが出来ないのではないかという指摘。

リンク

どさにっき

■ 1.1.1.1 いろいろ _ ここのところブロッキングの話を追いかけてたもんだから、そのちょっと前にホットだった cloudflare のpublicDNS のネタを消化しきれてない。ということで、もうだいぶ遅れ気味だけどまとめて放出。 _ あ、JANOG41.5 でやったブロッキングの話の資料はここにあります。周回遅れすぎて今さら見る必要ないかと思いますが。 ■ DNS over TLS _ お使いの unbound.conf に以下の設定を追加するだけで、cloudflare に対して DNS over TLS でクエリをやりとりするようになります。ただし最新の 1.7.x 以降のみ。 server: tls-cert-bundle: "/etc/ssl/cert.pem" # ルート証明書束 forward-zone: name: "." forward-tls-upstr

stealthinu 2018/05/24

そのIPアドレスをほんとに所有してるのか、のチェックがザルではないの？という指摘

net
security

リンク

どさにっき

■ 通信の秘密 _ ちうことで、ついに裁判に。 _ 今回の件で痛感したのが、通信の秘密ってぜんぜん理解されてないんだなー、ということ。憲法で定められている基本的人権のひとつなのに。 _ ブロッキングを問題視してない人ってのは、たぶん﹁ブロックすること﹂が通秘の侵害だと考えてるんじゃないかなぁ。名指しされたサイトにアクセスしなければブロックされることもなく、ブロックされないのであれば自分自身の通信の秘密は侵害されない。そう考えてるんじゃないかと推測する。 _ この考え方は間違ってるからね。いや、ブロックすることも侵害なんだけど、それ以前に﹁ブロック対象かどうかチェックすること﹂が通信の秘密の侵害。名指しされたサイトにアクセスするのではなく、たとえば youtube で動画を見るだけでもブロック対象かどうかチェックされ、そうでなかったからブロックされずに youtube にアクセスできるわけ

stealthinu 2018/05/01

僕も最初、ルータが宛先パケット見るのも通秘違反と言う話を聞いたときは、そんなんなにも出来ないじゃんと思ったものなあ。（違法だが違法性が阻却されて許可されてる）

リンク

著作権侵害サイトブロッキング - どさにっき

■ 著作権侵害サイトブロッキング _ ブロッキングやるんだってさ。ひでーな。これまで「要請」と言われてたのが「自主的対応」でやってくれ、ってことに一歩退いた表現にはなったけどさ、実態は大してかわらん。 _ 立法は後でやるから、それまでは臨時的に緊急避難扱いで、といってるけどぜんぜん臨時じゃないんだよね。一時的な措置とはいえ、緊急避難の基準をこれまでよりずっとユルいものに下げてしまったという事実はずっと残るんだよ。海賊版を緊急避難でブロックするのが一時的なものでしかないとしても、今後別のコンテンツブロック(たぶん次は違法薬物あたり)をやりたいという声が上がったときに、著作権はあんなもんで緊急避難にできたんだからこっちもそんなもんでいいだろう、となっちゃう。立法までなんかじゃない、その後にまでずっと過恨を残す決定だよ。 _ 政府が示し合わせてるので、実際にブロックしても総務省は指導しないし警察

stealthinu 2018/04/17

『空気だから、通秘を深く考えない発言もぽんぽん出てくるわけ』「自主対応」だからやらなくてもよいよね、と思ってるのだけど、やらないとなんか文句言われるのかな…？

リンク

どさにっき

■ 1.1.1.1 つづき _ ということで、 1.1.1.1が正式にアナウンスされた。今のところ APNIC からはアナウンスはなさげ。 _ ドキュメントはまだ縦に近い斜め読みしかしてないんで、いくつか気になったところだけ。 _ 3/30 の時点では v6 アドレスは 2001:2001::、2001:2001:2001::という話があって、こっちもわかりやすいアドレスを確保したなーと思いつつも、つながらないからこれからがんばるのかなと様子見してたら、実際はぜんぜん違うアドレスじゃねーか。どういうこった。 _ privacy policyでは、情報はよそに売ったりしねーよ、ログは24時間で消すよ、とかそういうのが書かれてるけど、DNS についてしか書いてなさげ。1.1.1.0/24 は DNS 以外にもありとあらゆるゴミトラフィックが大量に流れるアドレスで、それゆえこれまで誰にも割り

stealthinu 2018/04/10

例の海賊版サイトへのブロッキングの件について要請が決まった知的財産戦略本部会のことへの指摘。この件はほんとにダメ感高い。

リンク

1.1.1.1 どさにっき

■ 1.1.1.1 _ NANOG で話題になってるんだけど、どうやら cloudflare が 1.1.1.1 と 1.0.0.1 というおそろしいアドレスでpublicdns を始めようとしているっぽい。 % dig +noall +ans 1.1.1.1.in-addr.arpa ptr @1.1.1.1 1.1.1.1.in-addr.arpa. 1735 IN PTR one.cloudflare-dns.com. 今日の夕方ごろは応答に2秒とかかかってたけど、夜になってからは 10ms 以内で返ってくるようになった。anycast への組み込みが完了したのかな？ _ で、なんで cloudflare なの？ 1.1.1.0/24 は常時かなりのトラフィックが流れていて汚れてるからどっかに割り振りはしないで研究やら何やらの用途のために予約するとか言ってなかったっけ？いちお

stealthinu 2018/04/02

「1.1.1.*」はテスト設定とかでゴミトラフィックが大量に流れてるから使わないことにしてたのにどういう経緯で使われることになったの？という疑問をやまやさんが書かれてる。

リンク

memcached フィルタ - どさにっき

■ memcached フィルタ _ memcached のアクセス制御に関する注意喚起とかまあそんな感じで、本来内部用途でしか使われないはずのmemcached が外部におっぴらげになってるサーバが世の中にたくさんあって、認証なしでガバガバだもんだから外から自由にデータを出し入れできて情報流出/改竄できちゃうどころか、UDP でもアクセスできるもんだから増幅率超特大の reflection attack の踏み台に使えてあちこちで大規模 DDoS の被害多発とかそんなヤバい事態になってるそうでマジヤバい。 _ で、それに対する対処は、とーぜんムダに開いてるmemcached のポートを閉じることなんだけど、増幅率がハンパなくて踏み台にされると超ヤバい(語彙貧困)ので、個々のホストではなく、ISP とかホスティング屋さんがネットワークのレベルでフィルタを入れてる例があるっぽい。外部

stealthinu 2018/03/06

memcachedのUDP開いてる問題でISPとかレベルで11211/UDPのどっち方向も閉じちゃう対応した場合、UDP使うクライアントがたまにうまく動かない問題が起きるという話。なるほどなあ。

security
net

リンク

どさにっき

■ root KSK ロールオーバー _ 新聞はそっち方面の専門家でない人にもニュースを届ける必要があるので、難しい内容も噛み砕いて説明する必要があって、その結果まわりくどい説明になっちゃうことがあるのは理解している。事情はわかってるので、ふだんはそういう記事を見つけても記者さん苦心したんだろうな、とあたたかい目で見るようにしている。が、いくらなんでもこれはひどい。噛み砕いて説明するのに苦心したのはすごくよく伝わってくる。しかしその挑戦にもかかわらず素人さんが理解できる内容になっているとは到底思えないし、わかりやすい説明のために専門用語を使っていないため、そっち方面を理解している人に対してさえ意味不明。この記事の内容を事前に知っていた人(=記事を読む必要がない人)が何度か読み直して「ああ、あのことか」と気がつくのがやっと。誰に対しても存在する価値のない記事になっちゃってる。もうすこし何と

stealthinu 2017/07/26

最後オチがいい﹃でも、DNSSEC ってクソだよね？: はい。でも現状それしか方法ないんでしかたないです﹄KSKロールオーバーの件。DNSSEC使って無くても影響すんのか。 ●security ●dns

リンク

デカいメールヘッダ | どさにっき

■ デカいメールヘッダ _ うーん。→ ︻Exchange Onlineに関するお知らせ︼ヘッダーサイズの超過によって Exchange Online からのメール配信に失敗する場合がある _ MS の Office365 はリレーするメールに長大なヘッダを付加するのはよく知られていることなんだけど、最近は肥大化がさらに進んで、受け取り側で headers too large で蹴られるような事態になってるそうで。このお知らせにある例では、32KB が上限だったようなんだけど、32KB って小さすぎる値じゃないよねぇ。 _ 調べてみたところ、sendmailのデフォルトがまさに MaxHeadersLength=32768 だった。つまり、意図してヘッダサイズを小さな値に制限していなくても、sendmailをデフォルトのままで使っていればそれだけで O365 からのメールの受け取り

stealthinu 2017/07/06

えーっ…　Office365がバカでかいメールヘッダを付けるせいで受信側でheaders too largeで蹴られることが起きてるらしい。でエラーが発生したMTA側がヘッダーサイズでかくせよと言ってるとのこと。ふあー。 ●mail

リンク

PHP の mail() 関数で FizzBuzz | どさにっき

■ PHP の mail() 関数で FizzBuzz _ といってもループはできないので数値は生のリストで与えるんだけど。 $ php -r 'mail("","","","","-be \${tr{\${map{1:2:3:4:5:6:7:8:9:10:11:12:13:14:15:16:17:18:19:20:21:22:23:24:25:26:27:28:29:30:31:32:33:34:35:36:37:38:39:40:41:42:43:44:45:46:47:48:49:50}{\${if={\${eval:\$it em%15}}{0}{FizzBuzz}{\${if={\${eval:\$it em%3}}{0}{Fizz}{\${if={\${eval:\$it em%5}}{0}{Buzz}{\$it em}}}}}}}}}{:}{\\n}}");' 1 2 Fizz 4

stealthinu 2017/05/19

PHPのmail関数からサーバのeximの文字列展開機能使って色々できちゃうという実験。これは…　あまりに自由すぎて文字列展開機能自体を殺さないとこの穴塞げないのでは？

リンク

どさにっき

■ exim で php のメール送信でコード実行される件。 _ 昨年末から続いている PHP でメール送信するところでリモートからコード実行できちゃう一連の脆弱性の話。これまでは主に sendmailがターゲットだったけど、 PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があったという話が。Host ヘッダからコード注入するとか何を食ったらそんな発想に至るのかまったく想像の埒外なんだけど世の中いろんなこと考える人いるなぁ。ちなみに Host ヘッダの細工で、コード実行以外にも wordpress に認証なしでパスワードリセット要求もできるらしいよ。 _ で、これとは別件なんだけど、やっぱり PHP のメール送信でコード実行される脆弱性が先月Squirrelm ailに見つかってる。解説としてはこっちの方がわかりやすいかな。以下

stealthinu 2017/05/15

PHP経由でsendmail/eximで任意コマンドを実行できる脆弱性について。Hostヘッダからコード注入やsendmail -Cで添付のコンフィグファイル実行など。文字列展開機能みたいな思想自体が潜在的脆弱性を持つという指摘。

security
php

リンク

SSH のホスト鍵検証 - どさにっき

■ SSH のホスト鍵検証 _ 子供のころ遊んだよね、忍者ごっこ。﹁アイコトバをいえ！やま！﹂﹁かわ！﹂ _ これ、セキュリティ的に重要な要素なんだけど、みんな忘れちゃったのか無視してるんだか。他人に知られてはならない重要な情報を伝達するにあたっては、まず相手が味方であることの確認からはじめなければならない。忍者の合言葉というのは、その味方の確認なわけだ。相手確認をサボって本来情報を伝えるべきでない相手に伝えてしまったら暗号化する意味がない。オレオレ SSL がダメなのは、この確認ができないから。そして、SSL だけではなく、SSH でも当然接続先の確認は必須である。 _ この SSH の接続先検証に関するオプションが StrictHostKeyChecking。これをnoにする(検証しない)というのは、 SSL でいえば接続先の証明書を検証しない(不正な証明書でも気にせず接続する)

stealthinu 2017/04/12

vulsの穴の件。やまやさん、前にさわった時に見つけてて作者にも連絡してたとのこと。さすがだった。 ●security

リンク

サブドメイン管理者が親ドメインの SSL 証明書を取得する：どさにっき

■ サブドメイン管理者が親ドメインの SSL 証明書を取得する _ 中国最大級の認証局﹁WoSign﹂がニセの証明書を発行していたことが判明。サブドメインの管理権限がある人が親ドメインの SSL 証明書が取得できちゃったんだって。この問題、他のCAでもあるんだよね、実は。 _ 具体的に言うと Let's Encrypt がそれ。この記述。example.com ドメインの所有者かどうか判断する方法のひとつとして、_acme-challenge.example.com の TXT レコードに指定のトークンを記述せよ、というのが挙げられている。ということで、ユーザが自由にサブドメインを作れるサービス上で _acme-challenge というサブドメインを作成すれば親ドメインの証明書を発行してもらえる。今回の WoSign の件のように任意のサブドメインでいけるわけではなく、ラベルにアン

stealthinu 2016/09/12

サブドメイン管理者が親ドメインのSSL証明書取得できちゃう件Let's Encryptというサービスでも出来ちゃうらしい。やまやさんが実際に自分のドメインで実験して試して報告済みだが対応されてないっぽい。

security
dns

リンク

どさにっき

■ postqueue -j _ postfix 3.1 でキューを JSON 形式で出力できるようになった件。もすこし詳しく。 _ 実際の出力はこんな感じ。jqをかませて読みやすくしてるけど、実際はキュー1個につき1行で出力される。 % postqueue -j | jq . { "queue_name": "hold", "queue_id": "3qDrfV1xKRz3Ztt", "arrival_time": 1456819639, "message_size": 286, "sender": "MAILER-DAEMON", "recipients": [ { "address": "foo@example.com" }, { "address": "bar@example.net" } ] } この例では recipients の配列が冗長に見えるけど、これは強制的にキューか

stealthinu 2016/03/09

postfix作者のWietseさんがGoogleに転職してるとの指摘。というか元々IBMにいたんだ。

postfix

リンク

apache 多重拡張子 - どさにっき

2015年2月23日(月) ■ apache 多重拡張子 _ mod_mime の多重拡張子の扱いって常識じゃなかったのか。apache をインストールしたことある人ならば、manual/hoge.html.ja という二重拡張子を持つファイルが存在してることはドキュメントを読まなくても知ってるはずだと思うんだけどなぁ。AddHandler/AddType/AddCharset/AddLanguage/AddEncoding/AddOutputFilterはいずれも拡張子によって挙動を変えるわけで、単一の拡張子しか扱えないとすればこれらのディレクティブは排他にしか使えなくて困るじゃないか。 _ で、これはセキュリティの懸念があるから使うなというのがよくわからん。hoge.php.jpg というファイルをアップロードされて、それをそのままダウンロードしたらそいつが PHP スクリプトとして

stealthinu 2015/02/24

『むしろ、PHP の実行を \.php$ に限定した結果、hoge.php.bak みたいにサーバ上に残ってる古いファイルの中身が丸見えになっちゃうことを心配した方がいいんじゃ』なるほどな指摘

security

リンク

Superfish - どさにっき

2015年2月20日(金) ■ Superfish _ オレオレCA証明書をつっこんで HTTPS なサイトにMITMで広告つっこむよ、と。 _ うーん。セキュリティゲートウェイやアンチウイルスソフト、あるいは Web アプリケーションの開発補助ツールでも同じような動作をするものが多いので、このやりかたを批判するとしたらこういう製品もすべて批判することになっちゃうんだよなぁ。かるくぐぐってみただけでこんなに見つかった。ほかにもまだまだいっぱいある。Superfish は広告追加というユーザにはとくに益のない目的でやってるので叩き放題だけど、こういう製品の場合はセキュリティ向上やら開発やらという大義名分があって、実際わりと広く受け入れられてるんだよね。自分としてはそういう目的であってもひじょーに気持ち悪くて勘弁願いたいんだけど。 _ アンチウイルスの場合、通信経路に割り込むのではな

stealthinu 2015/02/23

Superfishの件、オレオレCA証明書をデフォルトで勝手に仕込んでつっこむのが一番の問題点、と思っていたのだが、RHEL5にも入ってたのか…　うあー、これはLenovoのこと叩けんな…

リンク

どさにっき

2015年1月11日(日) ■ 赤城山 _ 登ってきた。快晴無風の申し分ない天気。やっぱり関東にある山は冬でも天候が安定していてよろしいですな。何年か前の夏に登ったことはあるけど、そのときは曇っていて景色がほとんどわからんかった。が、今回はグンマーの街並みから遠くの山々まで見渡せる。いやー、すばらしい。お昼過ぎたら曇っちゃったけどね。 _ 黒檜山中腹から大沼、地蔵岳方面霧氷山頂のちょっと向こうにある展望台から谷川岳方面 2015年1月18日(日) ■ 雲竜瀑 _ 行ってきた。2年ぶりかな。まだちょっと時期が早いかなーとも思ったけど、そのぶん人も少ないだろうということで。 _ で、行ってみたらやっぱりまだ早かった。道中は川を覆う氷が発達してないから渡渉が片道で10回を越えたし、氷柱群はまだ成長してないし、雲竜瀑は完全結氷のちょっと手前だし。とはいえ、やっぱり絶景。もう何度も来てるので最初

stealthinu 2015/01/19

「こんなの」の写真がこえええ。確かに山歩いててこんなのに出くわしたら超絶びびるわ。

リンク

はてなブックマーク

タグ

ブックマーク / ya.maya.st (126)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス