Inside ASENS

この記事をブックマークする :

タガヤっす。

明日はある会社さんでセキュリティ研修をさせていただきます。
以前、OSMCでセキュリティセミナーの講師をさせていただいたご縁で実現しました。

◆

セキュリティセミナーでもしゃべったことなんですけど、FTPを運用されてる会社さんは気を付けた方がいいというニュースが、先日リリースされていました。

セキュリティの第一人者であるLACさんのリリースだったのですが、アタックの傾向が変更したとありました。

そもそも攻撃にはブームと言っていいような傾向がありまして、いろんなツールが出回っていますが、比較的効果の高い攻撃方法がブームとなるようです。

みなさんも聞いたことがあるかも知れませんが、ガンブラーと呼ばれるFTPをターゲットにした攻撃手法が、現在最も行われているアタックのひとつだそうです。

そもそもガンブラーってなんなのかというと。
日本ではGENOウィルスと呼ばれるウィルスの一種なのですが、WEBを閲覧することで感染し、感染したPCにあるアカウント情報を攻撃者に送信するというものです。
このすべての流れをガンブラーと言うようです。

現在、日本の商取引でFTPを利用されています。
セミナーでお話させていただいたときにも警鐘を鳴らしたのですが、利用している運送業者がFTPだったり、主要大手モールなどもFTPを利用されており、FTPを使わないということができないらしいのです。

FTPで様々な情報のやり取りを行っている。
まさにガンブラーが目指しているターゲットなのです。

FTPのアカウント情報が漏れるということは、上記の方法でやり取りしている情報がすべて持っていかれるということを意味しています。

今はまだ、WEB改ざんぐらいの軽微な被害だけのようですが、今後はこの手の方法で個人情報やその他の重要情報が漏洩していくことが、比較的容易に予想できます。

◆

じゃあ、諦めるしかないのか？というと、
そうでもないケースもあるようです。

ガンブラーが増えていると言う事は、ターゲットがサーバではなく、クライアント、つまりみなさんが普段お使いのPCがターゲットになってるということなので、比較的簡単に対策を講じることができます。

仕事用のブラウザ設定として、セキュリティレベルを上げたり、ID/PASSなどを保存しないようにしたり、クッキーを定期的に消去したり。

できることはたくさんありますが、まず知ること、意識することが重要だなーって、改めて考えさせられました。

明日はそういうお話をしたいと思います^^

この記事をブックマークする :

アマノです。

以前サワヒサがGoogle Waveを打ち合わせに使うことにしましたで
エントリしているようにASENSとお客様との打合せに
GoogleWaveを使っていました。

まだ出たばかりのサービスで手探りで使っていましたが、
しばらく使ってみての感想をまとめてみます。

＜概要＞
GoogleWaveは簡単に説明すると
『本人じゃなくても書いた事を編集できる掲示板』です。
掲示板とは違う点としてはスレッドに参加するのは
招待制でメンバーを追加していき、
そのメンバーのみ観覧、追記、編集ができます。
また、画像やファイルも貼り付けて共有する事もできます。

＜メリット＞
・誰が何処を編集しているのかをリアルタイムで見れる
・Wikiのように自由に編集ができるので見やすくできる
・説明を読まなくても何となく使えるインターフェース

＜デメリット＞
・画像が入っていたりするとものすごく反応が遅くなる
・編集が多いスレッドを後で見直すと話の流れが分かりづらい
・Contacts（フレンドリストのようなもの）が使いづらい
・標準では定期的にチェックしないと更新が分からない

まとめとしては、打合せの内容の議事録的なものや
簡単なWiki的な使い方ならアリかも？って感じです。
リアルタイムなやり取りは断然Skype等の方が使いやすいし
編集ができてしまうので記録に残したいやり取りはメール等になります。

まだ新しいものなのでこれからに期待ですかね？

この記事をブックマークする :

以前、Google Waveを使ってみたというエントリで否定的な意見を書きましたが、食わず嫌いダメ！ということで、遠方のお客さんとの打ち合わせで本格的にGoogle Waveを使うことになりました。

ちなみに今までは「Skype」「メーリングリスト」「電話」でやりとりしていました。

今後の運用方法は

Skype：緊急性の高い会話
電話：テキストで伝わらない情報のやりとり
Google Wave：仕様等の議事録
メーリングリスト：Waveが停止したりなくなったら困るような重要度の高い情報の議事録

みたいな感じで使い分けると思います。

それから、Google WaveはSkypeのように発言があっても告知してくれないので、告知用にGoogle Wave Notifierをインストールしてます。（MacにはWaveboardという便利なクライアントソフトがあるようです）

Skypeは不要な発言が残って履歴が見づらいし、メーリングリストは時間軸で管理してるので最終決定事項を掘り起こしにくいという欠点がありました。

これらの欠点をGoogle Waveが補完してくれるのか、それとも使いづらさが勝って元の方法に戻るのか、それは今から判断します。

この記事をブックマークする :

タガヤっす。

Firefoxをバージョンアップしたら、便利だったプラグインが動かなくなることって多いですよね？

ボクも困ってたのですが、あっさり解決したので、その方法をエントリしておきます。

◆

/Users/USERNAME/Library/Application Support/Firefox/Profiles/xxxxxxxx.default

にプラグインの本体がインストールされてます。

Macの場合、ランダム変数でフォルダ名が書かれているため、しらみつぶしで以下のファイルを編集しまくりましょう。

install.rdf

xmlns:NC="http://home.netscape.com/NC-rdf#"
xmlns:RDF="http://www.w3.org/1999/02/22-rdf-syntax-ns#">
em:id="{ec8030f7-c20a-464f-9b0e-13a3a9e97384}"
em:minVersion="3.0"
em:maxVersion="3.7a1pre" />
em:name="Tab Mix Plus"
em:id="{dc572301-7619-498c-a57d-39143191b318}"
em:version="0.3.8.2"
em:type="2"
em:description="Tab browsing with an added boost."
em:creator="ONEMEN"
em:homepageURL="http://tmp.garyr.net"
em:iconURL="chrome://tabmixplus/skin/tmp.png"
em:aboutURL="chrome://tabmixplus/content/about.xul"
em:optionsURL="chrome://tabmixplus/content/pref/pref-tabmix.xul">

ボクが愛して止まないTab Mix Plusを例にしてみました。

問題になってる部分は、「maxVersion」というエレメントです。
ここでFirefoxのいくつのバージョンまで対応するかどうかの範囲指定をしているようです。

ボクはここを以下のように書き換えます。

maxVersion=”3.*”

これで、バージョンが３の間は動くように設定できます。
大抵はこれで動くようになります。

なくては困るプラグインが動かなくなった場合など、一度お試しください。

なお、設定ファイルをいじるので、あくまで自己責任でお願いしますネ。

この記事をブックマークする :

アマノです。

IE（特に6以下）は、Web関連の仕事をされている方なら
ほとんどの方が知っているように他ブラウザとは
違う動き（バグ？仕様？）が多々あります。

その中で、書かれているのが見つからなかった
CSSの透過(filter:alpha)のちょっとした罠についてです。

このCSSは要素を半透明にしてz-indezが下にある要素を
透過して表示します。
この透過のCSSの書き方はブラウザによって大きく違い、
IE系では filter:alpha(opacity=透過率) と表記し
CSS第三水準では opacity 属性で指定します。

ところがこの filter:alpha ですが、
display の要素によって動かない場合があるようです・・・
特に jquery や protoype.js の表示・非表示の機能を使うと
display 要素が思ったものと違う場合があるので注意が必要です。

今回は透過についてだけ書いていますが、
多分この罠は filter 属性自体のものだと思われます。
ほんとに独自の機能というのはいやになりますね・・・

この記事をブックマークする :

タガヤっす。

Macbookを使い始めて1年以上経ちました。
もうMacbookなしは考えられません。

しかし世の中のシェアはWindowsが多くを占めていて、サービスによってはWindowsしかサポートしてないところも、まだまだ多く存在しています。ネットバンクとか。

だもんで、会社の銀行口座をいじるためにWindowsを使っていましたが、そのためだけにノートPCを独占してるのもいかがなものか？という意見もあったものの、今まで無視してきたわけですけど、VMWareを購入したからには、言い訳ができない状況になっていました。

銀行用の電子キーも更新する時期が近づいてきてますので、そのタイミングでWindowsノートを解放すべく、VMWareにWinXPをインストールしてみました。

◆

すげー簡単だったので、インストール方法は書きませんw
誰だって簡単にできるはずですから。

ただ、Windows Updateに数時間掛かりました(汗)
Sleipnirも忘れずにインストールしといた。

これでWindows環境がボクのMacbookに入りました。

今、VMWareでインストールしてるOSは、

・Ubuntu（趣味）
・Kubuntu（趣味）
・Ubuntu Server（軽いサーバとして）
・BackTrack3（ペネトレテスト用）
・Windows XP（ネットバンク対応）

になりました。
いずれUbuntuを消して、CentOS（仕事用）入れる予定です。

ちゅうかOS6つも要らんと思うんだけど、それぞれに用途があるんだよなー。一本化できねーのかなあ。

この記事をブックマークする :

タガヤっす。

ついさっき、ボクが愛用しているThunderbirdのアップデートを行って困ったことになりました。どうやって解決したかメモとして残しておきます。

◆

アップデートしたらえらい見た目が変わってビックリ。
すると、マスターパスワードを聞かれました。

ん？



そんなの設定した覚えはございませんが？

片っ端からボクが設定しそうなパスワードをねじり込むように撃ち込みまくったのですが、まったく通用しません。自分のセキュリティ意識の高さに乾杯ですよ。あ、完敗か。

あきらめの早いボクは、どうやったらマスターパスワードを無かったことにできるか調べました。

そのやり方をメモっておきます。

◆

ツール ー エラーコンソール の コードに以下のコマンドを入力します。

openDialog(“chrome://pippki/content/resetpassword.xul”)

リターンすると、リセットするかどうかのメッセージが表示されます。

メールアカウントのパスワードを再入力しなければならなくなりますが、それぐらいはちゃんと保存してますので、えいやっ！でリセットしてしまいます。

あとはマスターパスワードを再設定しておいて終了です。

◆

あー、ビビった。

この記事をブックマークする :

ふと思ったのでポスト。

「はい」を押す意味よく考えて、ワンクリック不正請求の相談急増
http://internet.watch.impress.co.jp/docs/news/20091203_333110.html

IPAによると、11月はワンクリック不正請求の相談件数が過去最悪だったそうで、「はい」をクリックする意味をよく考え、安易にクリックしないよう呼び掛けているそうです。

でもね、

「このサイトに登録しません」
↓
安易に「いいえ」をクリック
↓
登録しちゃったことに
↓
請求くる
↓
(ﾟдﾟ)ﾏｽﾞｰ

となる場合もあるんじゃないかな。

ないんでしょうか。

要するによく読まずにクリックするのがダメなんじゃないかと。

インターネットは自己責任の世界ですからね。

便利さの裏にひそむワナに気を付けましょう。

この記事をブックマークする :

#fc0のizuizu（飲み会の妖精）からGoogle Waveに招待してもらったので使ってみました。

最初は「Google Wave＝Googleの新しいコミュニケーションツール」くらいしか予備知識がなかったので、ログイン直後は何をしていいかわかりませんでした。

今のところわかっているのは、

• Google Wave＝メール＋wiki＋チャットみたいなもん
• 使うにはGoogleアカウントと利用者の招待が必要
• Wave＝スレッドのこと
• Blip＝レスのこと
• Waveにはwikiやチャットのような書き込みができる
• 複数人で画像やファイルの共有もできる
• WaveはGmailみたいにフォルダ管理できる
• Waveを公開することもできる

くらいです。

ぶっちゃけると、あえてGoogle Waveでコミュニケーションしなくてもいいんじゃ・・・という感想しかありませんｗ

でもこれだけ話題になっているツールなので、使い込んでいくと色々使う理由が出てくるんだと思います。

Google Waveについては
http://completewaveguide.com/guide/Google_Wave_%E3%82%B3%E3%83%B3%E3%83%97%E3%83%AA%E3%83%BC%E3%83%88%E3%82%AC%E3%82%A4%E3%83%89

でジーナさんとアダムさんが日本語で解説してくれているので、興味がある方は読んでみてください。ちなみに僕はまだ読んでませんｗ

それから招待枠が8つあるので欲しい方はコメントorメールください。
そしていっしょに色々実験して勉強させてくださいｗ

この記事をブックマークする :

タガヤっす。

さて、先日痛い目に合ったPostgresのポート問題の件。
ボクは以下のように変更して対処しました。

本来ならpostgresql.confから値を取得した方がいいのですが、Red Hat Linux系は、/etc/sysconfig/にシステム的な設定を用意しておくというお作法があるので、それに従うというのがシンプルでいいかと思いました。

◆

# Set defaults for configuration variables
PGENGINE=/usr/bin
PGPORT=5432
PGDATA=/var/lib/pgsql
if [ -f “$PGDATA/PG_VERSION” ] && [ -d “$PGDATA/base/template1” ]
then
echo “Using old-style directory structure”
else
PGDATA=/var/lib/pgsql/data
fi
PGLOG=/var/lib/pgsql/pgstartup.log

# Override defaults from /etc/sysconfig/pgsql if file is present
[ -f /etc/sysconfig/pgsql/${NAME} ] && . /etc/sysconfig/pgsql/${NAME}

export PGDATA
export PGPORT

◆

起動スクリプトを参照すると、
以上のように書いています。

/etc/sysconfig/pgsql 以下に postgresql というファイルを作成し、
PGPORTを設定します。

# echo “PGPORT=xxxxx” > /etc/sysconfig/pgsql/postgresql


うーん、やっぱりコンフィグファイルから抜き出して反映したいなー。

でもこれで、フイにアップデートされてもポートが違うなんてことは回避できそうです。