遅ればせながら, Logjam の話。

投稿アップデート情報  追記

 昨日, 8 時くらいに帰宅したのだが,今年,初の蛍を見た。まぁ,時刻的問題もあるから,昨日から飛び始めたとは限らないけど。

Server Test1 で,本題。 21 日に “TLSに脆弱性「Logjam」 – 国家レベルなら1024ビットまで盗聴可能” というのを読んで, Guide to Deploying Diffie-Hellman for TLS に行った。特に何も対策せずに,テストしてみたんだけどさ, 2014.Oct.28 (= OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局) のままで,右図の結果が出た。んで,「まっ,いいか」となった。

 その夜,くりくりさんから, Logjam についてのコメントをいただいた。そんで「記事。何とか,がんばってみます」と返信したので,今,がんばってるところ。ヘヘッ。

 最初にテストをした時点では,うちのサーバは,下の Cipher Suites をサポートしていた。

  • ECDHE-RSA-AES256-GCM-SHA384
  • ECDHE-RSA-AES128-GCM-SHA256
  • ECDHE-RSA-AES256-CBC-SHA384
  • ECDHE-RSA-AES128-CBC-SHA256
  • ECDHE-RSA-AES256-CBC-SHA
  • ECDHE-RSA-AES128-CBC-SHA
  • DHE-RSA-AES256-GCM-SHA384
  • DHE-RSA-AES256-CBC-SHA256
  • DHE-RSA-AES256-CBC-SHA
  • DHE-RSA-CAMELLIA256-CBC-SHA
  • DHE-RSA-AES128-GCM-SHA256
  • DHE-RSA-AES128-CBC-SHA256
  • DHE-RSA-AES128-CBC-SHA
  • DHE-RSA-SEED-CBC-SHA
  • DHE-RSA-CAMELLIA128-CBC-SHA

 実のところ,ほとんどいらないんだよね,こいつら。だって,うちの SSL サーバのユーザは私だけで,私は,最新のブラウザしか使わんのだもん。ホンでもって,使ってるのは ECDHE-RSA-AES128-GCM-SHA256 だけなんス。この際, SSLCipherSuite を下に書き換えることにした(爆)。
   SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256
 当たり前だけど,このコンフィグは,ほかの人の役には立たない。現実的にコンフィグを知りたい人は, Guide to Deploying Diffie-Hellman for TLS を見に行ってくだされ。 Apache 2.4.8 以降と OpenSSL 1.0.2 以降を使っている場合は, SSLOpenSSLConfCmdor ディレクティブで,直接 DH params ファイルを指定できる。そうでない場合には, SSLCipherSuite と SSLProtocol を代わりに使ってやって, Logjam attack を回避することになる。

Sever Test2 実のとこ, ApacheLounge の HTTPD はいまだに OpenSSL 1.0.1 なんだよね。というわけで, SSLOpenSSLConfCmd は使えんかった。まぁ, SSLCipherSuite が上記のようにキチガイじみてる(汗)ので,変更後のテスト結果は,右図のような感じになった。

Another Test   別の Logjam Attack チェッカーでやってみたら,⇒みたいになった。

 おまけだけど, Apache 2.4 で OpenSSL 1.0.1 以降を使ってる場合は, SSLProtocol all は +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2 の意味になる。 Apache 2.4.7 以降を使っている場合は, aNULL, eNULL and EXP ciphers are always disabled になっているんだそうだ。

 いつもながら piyolog さんのまとめが出てましたね。「Logjam Attackについてまとめてみた

追記:
 The Logjam Attack page には, Google Chrome (含 Android ブラウザ), Mozilla Firefox, Microsoft Internet Explorer, 及び Apple Safari はすべて Logjam attack に対して修正を配備と書いてあるのだが,現時点でも (午前 9:45),当該ページに FireFox 38.0.1, Google Chrome 43.0.2357.65 あるいは SeaMonkey 2.33.1 でアクセスすると Warning! Your web browser is vulnerable to Logjam and can be tricked into using weak encryption. You should update your browser が出る。 Good News! Your browser is safe against the Logjam attack が戻ってくるのは, Internet Explorer 11.0.19 でアクセスしたときだけである。
注意) この件,他のブラウザおよびバージョンではチェックしていない。

覚え書-#24。

 いくつかのサーバソフトをアップデートした (OS は Win7 HP SP1 x86)。

  • MariaDB 10.0.17 —->> MariaDB 10.0.19 (Changelog)
  • PHP 5.6.8 —->> PHP 5.6.9 (Changelog)
  • phpMyAdmin 4.4.6 —->> phpMyAdmin 4.4.7 (Changelog)
  • sc_serv2_win32_09_09_2014.exe —->> sc_serv2_win32-latest.exe (Ver. 2.4.7)
    shoutcast-dsp-2-3-4-windows.exe —->> shoutcast-dsp-2-3-5-windows.exe
    注) ファイルのダウンロードに,有効なメールアドレスが必要である。

ウギッ, .htaccess のドットが一個落ちてたぜ。

 今年も,ボチボチ蛍の季節が来るなぁ,とか思いながら,去年はいつ頃だったっけ,と我がブログを調べてたんだが……。去年の記事上のビデオが見れないじゃん。えっ,どうしてよ。

 それについては,タグを <object> から <video> にして見えるようになったんだが,よく調べたら, flv ファイルが全部ロードされないみたい。どうなっとんの?

 えっと, flv の不具合については,常々 BPS を疑うことにしている,アヘッ。で,案の定 .htaccess で,ドットが 1 つ落ちてましてん。 flvplayer\.swf としなくてはいけないのに, flvplayer\swf になってた。ウグッ!

 てなわけで, flv は,無事ロードされるようになりましたとさ。オソマツ。

ツツジ三昧。

 わが町は,まさに,春たけなわ。本日はお仕事移動の道々,花の写真を撮ってみた。全部ツツジよン。何輪かはすでに枯れてるけど,それは笑って許してやって。 (~_^)。撮影技術の拙いのは置いといてぇーー,いかがです,これ???

  • CIMG4860
  • CIMG4861
  • CIMG4862
  • CIMG4863
  • CIMG4864
  • CIMG4865
  • CIMG4866
  • CIMG4867
  • CIMG4868
  • CIMG4869
  • CIMG4870
  • CIMG4871
  • CIMG4873
  • CIMG4874
  • CIMG4879
  • CIMG4880
  • CIMG4882
  • CIMG4883
  • CIMG4884
  • CIMG4885
  • CIMG4886
  • CIMG4887
  • CIMG4888
  • CIMG4889
  • CIMG4890
  • CIMG4891
  • CIMG4892

WordPress 上で utf8mb4 を使う話。

 昨日,WordPress 4.2 がやってきた。 WordPress の Updates ページから更新したが,我が家は,マルチサイトタイプなので,その後, Upgrade Network が必要である。うちの SSL は自前認証局を使っているので, Upgrade Network をやる前に, wp-includes/certificates/ca-bundle.crt に自前 CA のデータを書き加えてやっておかないといけない。同様に下記の 2 行も wp-includes/class-http.php に加えてやる必要がある。これは,クライアント認証をクリアするためね。

  • curl_setopt( $handle, CURLOPT_SSLCERT, 'clientcert.pem の絶対パス' );
    curl_setopt( $handle, CURLOPT_SSLKEY, 'clientkey.pem の絶対パス' );

 この辺の話は,必要なら「WordPressでの「SSL3_READ_BYTES:sslv3 alert handshake failure」を解決。」を参照してください。

 ところで, WordPress 4.2 によると, WordPress は utf8mb4 をサポートするようになったようだ。ということで, JIS X 0213 の第 3 ・ 4 水準漢字の 4-byte になる下記の文字も記事内で使えることになった。ということは,いろんな絵文字も使えるわけだ。
 実は, 2013‎.5‎.22 に,この件やってみたんだけど,記事内では下記の文字は表示できなかった覚えがある。いや,スンバらしい。
𠀋 𡈽 𡌛 𡑮 𡢽 𠮟 𡚴 𡸴 𣇄 𣗄 𣜿 𣝣 𣳾 𤟱 𥒎 𥔎 𥝱 𥧄 𥶡 𦫿 𦹀 𧃴 𧚄 𨉷 𨏍 𪆐 𠂉 𠂢 𠂤 𠆢 𠈓 𠌫 𠎁 𠍱 𠏹 𠑊 𠔉 𠗖 𠘨 𠝏 𠠇 𠠺 𠢹 𠥼 𠦝 𠫓 𠬝 𠵅 𠷡 𠺕 𠹭 𠹤 𠽟 𡈁 𡉕 𡉻 𡉴 𡋤 𡋗 𡋽 𡌶 𡍄 𡏄 𡑭 𡗗 𦰩 𡙇 𡜆 𡝂 𡧃 𡱖 𡴭 𡵅 𡵸 𡵢 𡶡 𡶜 𡶒 𡶷 𡷠 𡸳 𡼞 𡽶 𡿺 𢅻 𢌞 𢎭 𢛳 𢡛 𢢫 𢦏 𢪸 𢭏 𢭐 𢭆 𢰝 𢮦 𢰤 𢷡 𣇃 𣇵 𣆶 𣍲 𣏓 𣏒 𣏐 𣏤 𣏕 𣏚 𣏟 𣑊 𣑑 𣑋 𣑥 𣓤 𣕚 𣖔 𣘹 𣙇 𣘸 𣘺 𣜜 𣜌 𣝤 𣟿 𣟧 𣠤 𣠽 𣪘 𣱿 𣴀 𣵀 𣷺 𣷹 𣷓 𣽾 𤂖 𤄃 𤇆 𤇾 𤎼 𤘩 𤚥 𤢖 𤩍 𤭖 𤭯 𤰖 𤴔 𤸎 𤸷 𤹪 𤺋 𥁊 𥁕 𥄢 𥆩 𥇥 𥇍 𥈞 𥉌 𥐮 𥓙 𥖧 𥞩 𥞴 𥧔 𥫤 𥫣 𥫱 𥮲 𥱋 𥱤 𥸮 𥹖 𥹥 𥹢 𥻘 𥻂 𥻨 𥼣 𥽜 𥿠 𥿔 𦀌 𥿻 𦀗 𦁠 𦃭 𦉰 𦊆 𦍌 𣴎 𦐂 𦙾 𦚰 𦜝 𦣝 𦣪 𦥑 𦥯 𦧝 𦨞 𦩘 𦪌 𦪷 𦱳 𦳝 𦹥 𦾔 𦿸 𦿶 𦿷 𧄍 𧄹 𧏛 𧏚 𧏾 𧐐 𧑉 𧘕 𧘔 𧘱 𧚓 𧜎 𧜣 𧝒 𧦅 𧪄 𧮳 𧮾 𧯇 𧲸 𧶠 𧸐 𧾷 𨂊 𨂻 𨊂 𨋳 𨐌 𨑕 𨕫 𨗈 𨗉 𨛗 𨛺 𨥉 𨥆 𨥫 𨦇 𨦈 𨦺 𨦻 𨨞 𨨩 𨩱 𨩃 𨪙 𨫍 𨫤 𨫝 𨯁 𨯯 𨴐 𨵱 𨷻 𨸟 𨸶 𨺉 𨻫 𨼲 𨿸 𩊠 𩊱 𩒐 𩗏 𩙿 𩛰 𩜙 𩝐 𩣆 𩩲 𩷛 𩸽 𩸕 𩺊 𩹉 𩻄 𩻩 𩻛 𩿎 𪀯 𪀚 𪃹 𪂂 𢈘 𪎌 𪐷 𪗱 𪘂 𪘚 𪚲

 ということで,「私,𩸽の開きを焼いたのが大好きなのよ」なんちゅうこともブログにかけるわけだ。ハハ。おっと,書き忘れるところだった。もちろんだけど, SQL Server の utf8mb4 サポートは当然ながら,必須ダヨ。

覚え書-#23。

 いくつかのサーバソフトをアップデートした (OS は Win7 HP SP1 x86)。

  • MariaDB 10.0.16 —->> MariaDB 10.0.17 (Changelog)
  • PHP 5.6.7 —->> PHP 5.6.8 (Changelog)
    注) <php_root> 直下に lib というディレクトリが増えた。 bug #65406 の関連。
  • phpMyAdmin 4.3.10 —->> phpMyAdmin 4.4.3 (Changelog)
    注) config.sample.inc.php から下記の行が削除されていた。
    • * default display direction (horizontal|vertical|horizontalflipped)
      */
      //$cfg[‘DefaultDisplay’] = ‘vertical';
      /**
  • ActivePerl 5.20.1.2000 —->> ActivePerl 5.20.2.2001
  • WordPress 4.1.1 —->> WordPress 4.1.2
    注) このアップデートは自動で行われた。

Viki.com の Qualified Contributor…フーム。

 年明けからこっち,現実世界の生活スタイルが変わってしまった。外出が多くなり,時間が細切れになる。おまけに,細切れなのに待ち時間は長いときている。そんなわけで,時間つぶしとして,ネットでドラマを見る機会が多くなった。そうこうしているうちに BR3 さんとこの紹介にあった「神のクイズ (신의 퀴즈)」という韓ドラに,どっぷりはまってしまった。紹介がシーズン 4 だったので,それから見たのだが,ほかのシーズンも見たくなってネットで探して視聴した。ただ,シーズン 4 以外は日本語字幕版がなかったんだよね。仕方ないから,英語・中国語字幕版で見た。英語字幕なんかだと, Subscene あたりにたくさんあるんだけどなぁ。

 探してみると分かるけど,日本語字幕(ソフトサブ)って,ほんと少ないよ。あっても,クオリティがいまいちだし。ところがね,今年の新ドラマ「キルミー・ヒールミー (킬미힐미)」の字幕で,とっても出来の良いのを見つけたもんで,どこのものか聞いてみたんだ。 Viki 製ということだった。 Viki.com の「キルミー・ヒールミー (킬미힐미)」はここダヨ。

 勇んで, Viki に行った。「神のクイズ (신의 퀴즈)」のページ ( s1 s2 s3 s4 ) もすぐに探し出せたんだが,やっぱ,シーズン 4 にしか日本語字幕はなかった。そればかりか,地域問題でビデオにたどり着けなかった。 Grrrr 。

 住んでる国のせいでコンテンツが見れないとき,Viki.com では「申し訳ありません。この動画は現在、お住まいの地域ではご利用いただけません。 お気に入りに追加しておくと、利用可能になった時に通知を受けることができます。 この動画を視聴する方法についてご確認ください!」というメッセージが出る。

 メッセージ内のリンク先に行って,まじめにページを (Viki U: Learn How to Subtitle!) 読んでみた。なんと, Qualified Contributor (QC) というのになれば,国に関係なく,コンテンツの利用ができるようじゃん。スゲー!!

 ということで,興味の方向が字幕探しから Viki の QC になることに移ってしまった (^_^;)。 QC になるには下記のどれかがいるらしい。

  1. 少なくとも 3,000 文の字幕,あるいは, 2,000 個のセグメントを作成していること。
  2. チャンネルマネージャ,あるいは,モデレータから推薦されていること。
  3. 新コミュニティメンバーの手本となる行動をとっている,つまり, Viki コミュニティガイドラインを順守していること。

 上記 3 つのうちだと,私にとっていっちゃん楽そうなのは, 1 だ。というわけで,「神のクイズ (신의 퀴즈)」に日本語字幕をつけちまおうということに。字幕探しからの,なんちゅう,脱線。まっ,いいけど。

 Viki には,「字幕エディタ」というのがあって,簡単に字幕がつけられる。しかし,地域問題は依然として足を引っ張り,最初は「字幕エディタ」も使えなかった。
 解決方法としては,ライセンスが有効な国に引っ越すというのがあるな。いや,冗談ス(爆)。字幕のために,そんなことできるわけない(汗)。
 やっぱ, IP 偽装という話になるよね。毎度,プロクシを探し回るのも嫌だったので,今回は,フリー VPN サービスのひとつを利用した。これね (FlyVPN)。無料お試し版はいろいろ制限があるが, IP にかかわる制限は,幸か不幸があまり気にならなかった。使用中のモバイルルータは,アクセスのたびに IP が変わるもので。

 このおかげで「字幕エディタ」が使えるようになったので,字幕作成を始めた。 3/30 にようやく 3000 を超えたので, Qualified Contributor (QC) Application Form を書いて,送っといたんだ。

 で,4/14 ,「VikiのQCになりました!」ってのが来た。ヤッター!

 ところで, Viki においても,日本語字幕は多くはないし,すべてのクオリティがいいわけでもない。まあでも,少なくとも,国に関係なくコンテンツの利用ができるようになったわけだから \(^o^)/。

 今までに,「神のクイズ シーズン 2」の第 1 話から第 5 話の字幕が完成した。本当のところシーズン 1 のをやりたいんだけど, QC になったにもかかわらず, 1 についてはいまだに例のメッセージが出る。なんでヨ? *ため息*

今日の鳥さん-ハクセキレイ3枚+動画

 本日,メチャ風強し。加えて,雨。しかーし,春の雨だねぇ。あったかダヨ~ン。

 白鶺鴒がうろちょろしとったんで撮ってみた。あやつら,雨・風にも負けず元気。可愛いノォ!!

白鶺鴒#1 白鶺鴒#2 白鶺鴒#3 白鶺鴒#4

本家のお世話-#114。(PHP5.6.7へアップデート)

投稿アップデート情報  追記(4/14)

 Windows 版の PHP5.6.7 が Mar-19 23:50:34UTC に出ていた。結構な数のバグフィックスと CVE-2015-0231 (bug #68976), CVE-2015-2305 (bug #69248), CVE-2015-2331 (bug #69253) へのパッチが含まれているようだ。
 CVE-2015-0231 については,以前の PHP5.6.5 でも修正が入っていた覚えがあるのだが,この脆弱性に対する問題はまだまだ残っているのだろうか。まっ,とにかく,アップデートした。(サーバ OS : Windows7HP+SP1(x86)).

 ところで,新バージョンは OPcache に関するいくつかのバグフィックスを含んでいた。もっとも, Bug #67937 ではなんら新しい報告はないので,あの件に関しては何も変わっていないのかもしれないが,一応,試しに OPcache をサーバ上で有効にしてみた (Mar-29@6:55)。吉と出るか凶と出るか。ドキドキ。

 インストールについて詳しい情報が必要な場合は,「PHP 5.5.16 から PHP 5.6.0 への移行」をご覧ください。

追記(4/14):
 自鯖上の OPcache だが,あれ以来 2 週間以上ちゃんと動いている。なんでかは解んない(汗)。でも,パフォーマンスが良くなって,嬉しいッ!!

桃の節句も過ぎて。

 我が家では,いまだ梅の花が満開ですが(図 1 ,図 2 ),桃の節句も過ぎ,巷には桃の花やら杏の花やら目立ってきました。桃の節句と言えば,今年はひな壇になるチロルチョコレートを,ひと箱もらいましたよ。図 3 みたいなのです。

図 1 白梅

図 1 白梅

図 2 紅梅

図 2 紅梅

図 3 ひな飾り

図 3 ひな飾り

 そんなこんなで,春の詩を詠じたくなっちゃいました。白居易(樂天)の「春風」を選んでみましたが,いかがでしょうか?

亦 薺 櫻 一
道 花 杏 枝
春 楡 桃 先
風 莢 梨 發
爲 深 次 苑
我 村 第 中
來 裏 開 梅