カテゴリー
everyday life

Trusteer Rapport をインストールしてみた。

 初めに,余談つうか,本日のメインイベント(呵呵大笑)。

 鷹くーん。日本一ーー\(^o^)/。

 今年一,というか,今年初のいい出来のセッツンを見せてもらったし。しかし,すっきりしない決まり方だったワイ。サファテは,来季は大きな試合に投げさせたらいかんね。いや,こんな日に文句を言ったらいけません。
 鷹のみなさま,おめでとうございます。今季もありがとうございました。

 さらに,余談。
 笑っちゃった。出演の黒ニャンコ,かわいい!! 関係ないか (^o^)。
 「iPhone 6 Plus」「iPad mini 3」のTouch IDを偽造指紋で突破、ついでに猫の肉球でも認証OK。 本文に,「あくまでパスワード入力を省くための便利なツールの 1 つとして考えたほうがよさそうとのことです。」とあるが,その程度のもんなんだねぇ。

 ところで,表題の件。
 三菱東京UFJ銀行のダイレクト(インターネットバンキング)を使っている。ふと思い立って,UFJが前からおすすめの「無料のウィルス対策ソフト」を入れてみた。実体は IBM の Trusteer Rapport だった。「他のセキュリティソフトウェアとの互換性」となっているが, Rapport は基本的にネットバンキングでの危険性回避に特化しているようなので,他のセキュリティソフトウェアとの併用が望ましいらしい。我が家でのインストール時は,特に特別な操作は必要なかった。

Trusteer Rapport
Trusteer Rapport

カテゴリー
Windows

OpenSSL で作る SANs 対応かつ SHA256 使用の自前認証局。

The same article in English
投稿アップデート情報  追記(10/28)

 今回の騒ぎ“Qualys SSL Labs – Projects / SSL Server Test” をやったとき,テスト結果にやらオレンジやらが乱舞していた (^_^;)。
 
||赤いの||

  1. Trusted : No NOT TRUSTED <<---- これは,自前認証局を使っているせいなので,自信をもって無視する(笑)。
  2. IE 6 / XP No FS 1 No SNI 2 : Protocol or cipher suite mismatch : Fail3 <<---- うちの SSL サーバのユーザは私だけで,私は IE 6 / XP なんぞ使わないので,これも無視。
  3. Fail3 “Only first connection attempt simulated. Browsers tend to retry with a lower protocol version.” なんだそうだ。うちの SSL サーバはより低レベルのプロトコルは受けつけないが,これも別に問題なし。
  4.  というわけで,赤いのについては何もやらなくてよし。

||オレンジの||

  1. Prefix handling : Not valid for “www.o6asan.com” :CONFUSING
  2. Signature algorithm : SHA1withRSA : WEAK
  3. Chain issues : Contains anchor <<---- Ivan Ristić“Chain issues Contains anchor” で書いていたことを根拠に,無視。
  4. Not in trust store <<---- これも自前認証局のせいなので,無視。
  5. Downgrade attack prevention : No, TLS_FALLBACK_SCSV not supported
  6. Forward Secrecy : With some browsers

 オレンジのについては, 1, 2, 5, 6 について対処する必要がありそうだ。まずは, 5 と 6 から。 1 と 2 は証明書そのものを作り変えないといけないので,後回し。

  1. Apache 2.4.10 (httpd-2.4.10-win32-VC11.zip) を 10/20 バージョンにアップデートした。この版は openssl-1.0.1j を使ってビルドされてて,1.0.1j は TLS_FALLBACK_SCSV をサポートしたから。
  2. httpd-ssl.conf において, SSLHonorCipherOrder on をアンコメントし, SSLCipherSuite Directive の値を変更。
    HIGH:MEDIUM:!aNULL:!MD5

    EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256
    EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP
    !PSK !SRP !DSS

       参考 : Configuring Apache, Nginx, and OpenSSL for Forward Secrecy
    ↓ RC4 関連で, 12/23 に下記に変更した。
    EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384
    EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH
    EDH+aRSA !RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS"

       Ref : RC4 in TLS is Broken: Now What?

    SSL サーバがモバイルや旧世代の OS/browser をサポートしなくてはいけない場合は,それらに合わせた設定もする必要が生じる。うちのは,関係ないけど。
  3. この作業後,テストしたら, “Downgrade attack prevention : Yes, TLS_FALLBACK_SCSV supported”“Forward Secrecy : Yes (with most browsers) ROBUST” に変わった。

 次は, 1 と 2。
 1 は自前認証局の Common Name が o6asan.com だけだからだ。で,新しいのは, o6asan.com も www.o6asan.com もサポートさせないといけない。しかし,我が家の SSL サーバ用の IP は,一つしか割り当てる気がないよという問題がある。これに対処するために, SNI(Server Name Indication) を使う。 8 月ごろに,くりくりさんが取り組まれていた。まあ,まだすべての OS/browser がサポート完了しているわけではないが……それでも,かなりましになってきたのは確か。ワイルドカード証明書か SAN かということになるが, SANs で行くことにした。だって,うちの SSL サーバに任意のサブドメインを受け入れさせる必要はないでしょ。これについては Apache からも制限できるとはいえ,必要のない扉を大きく開けるのはポリシーに反する。
 2 は前の証明書を作ったときに OpenSSL の default を使ったからである。デフォルトだと,今もかわらず SHA1 を使うようになっている。今回は, default_md = sha256 にして,こさえるワ。
 28 日,改めて Server Name Indication を読み込んでいたのだが, SNI と ワイルドカード証明書か SAN は次元の違う話のようだ。難しいなぁ。

 openssl.cnf (← この標準の名称のままで行く) を Apche24conf から c:openssl-1.0.1x-winxxssl (← OpenSSL をフルでインストールすると,ここがデフォルト) にコピーして,以下のようにカスタマイズする。

    一行アンコメントし,いくつか値を変更する。

  1. dir = ./demoCA —->> dir = X:/demoCA <<----絶対パス
  2. default_crl_days = 30 —->> default_crl_days = 365
  3. default_md = default —->> default_md = sha256
  4. default_bits = 1024 —->> default_bits = 2048
  5. # req_extensions = v3_req —->> req_extensions = v3_req
    何行か追加する。
  1. [ v3_req ] のエリアに subjectAltName = @alt_names を追加。
  2. [ v3_ca ] エリアの直前に以下を追加。
    [ alt_names ]
    DNS.1 = example.com
    DNS.2 = www.example.com

     
    必要なドメインを DNS.1, DNS.2, DNS.3, … のように追加できる。
  3. クライアント証明書も必要な場合は, openssl.cnf の最後に以下を追加する
    [ ssl_client ]
    basicConstraints = CA:FALSE
    nsCertType = client
    keyUsage = digitalSignature, keyEncipherment
    extendedKeyUsage = clientAuth
    nsComment = "OpenSSL Certificate for SSL Client"

 さて,新自前認証局の作成をしよう。(参考 : 本家のお世話-#68)

    ||自前 CA 作成||

  1. X:/ に myCA フォルダを作る。
  2. private と newcerts という 2 つのフォルダと index.txt を myCA に作る。
  3. cmd.exe を 管理者として実行。
    pushd X:myCA
    echo 01 > serial
    openssl req -new -keyout privatecakey.pem -out careq.pem
    openssl ca -selfsign -in careq.pem -extensions v3_ca -out cacert.pem
    copy cacert.pem (Drive_SV):Apache24confssl.crt
    copy cacert.pem my_ca.crt

      注)(Drive_SV) というのは,自宅サーバ上のサーバウェア用パーティションである。

    ||Server 証明書作成||

  1. pushd X:myCA
    openssl genrsa -out server.key 2048
    openssl req -new -out server.csr -key server.key
  2. 次のコマンドで CSR 内の SANs を確認する。(中にちゃんと ‘Subject Alternative Name’ があるかな?)
    openssl req -text -noout -in server.csr
  3. openssl ca -in server.csr -out server.crt -extensions v3_req
    copy server.key cp_server.key
    openssl rsa <cp_server.key> server.key
    copy server.key (Drive_SV):Apache24conf
    copy server.crt (Drive_SV):Apache24conf
    ||Client 証明書作成||

  1. pushd X:myCA
    openssl req -new -keyout client.key -out client.csr
    openssl ca -policy policy_anything -extensions ssl_client -in client.csr -out client.crt
    openssl pkcs12 -export -in client.crt -inkey client.key -out clientcert.p12

   SANs 作成参考リンク : FAQ/subjectAltName (SAN), Multiple Names on One Certificate.

 やっと,「 SANs 対応かつ SHA256 使用の自前認証局」が出来た。満足じゃ!!

カテゴリー
everyday life

自分が ban くらっちゃった。

 さっきモバイルで自分とこにアクセスしたら, ban くらっちゃいました。えーっとか思って,モバイルルータの電源切ってアクセスしなおしたら,大丈夫でした。

 自分のところの直前に, mojo さんのところでも同じ羽目になりましたが,これも電源再投入後の IP だと大丈夫でした。

 誰か mopera のゾーンで,よからぬことをやってたヤツがいたらしい。 2ch とかで,よく規制をくらったとか聞きますが,自分は初体験でした。

 しかし,なんといっても,我が家から締め出されたのに,ビックラしたワ!!

カテゴリー
WordPress

カールはプードル飼ってるのかな?

The same article in English
投稿アップデート情報  追記(10/26)

 前記事で, “POODLE” の件を書いた。その後, SSLv3 fallback attack POODLE というのを読んで, WordPress 上の cURL のことが気になりだした。

 curl_setopt( $handle, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1); というオプションを curl_setopt で見つけたが, WordPress Core Scripts のどこに入れるのが一番いいのかがわからない。で, WordPress Forums に topic を建ててきた。現在,回答待ちです。

追記(10/26):
 cURL が確かに TLSv1.2 を使っていることを確認できたので,さっき, topic を [resolved] にしてきた。 Apache の SSL のログに %{SSL_PROTOCOL} を入れて調べた。 class-http.php に CURL_SSLVERSION_TLSv1 on the file を入れる必要はないようだ。サーバのコンフィグがちゃんと出来てれば,クライアントは安全にアクセスできるんだね。もちろん,クライアントのソフトが TLS に対応してないとかじゃ話にならんけど。

 何はともあれ,(*´▽`*)。

カテゴリー
Windows

覚え書-#20。

The same article in English
投稿アップデート情報  追記(10/18)

 もう, “POODLE” 問題(つまり, CVE-2014-3566)には,対処した? OpenSSL のオフィシャルでも, OpenSSL Security Advisory [15 Oct 2014] が出てる。

 サーバ管理者としては下記のことをやった。
 今のところ, 1.0.1j でビルドされた Apache Lounge 版の Zip が手に入らないので, “SSL v3 goes to the dogs – POODLE kills off protocol” にあった回避策をやった。

 httpd-ssl.conf に SSLProtocol All -SSLv3 を書き加えて, httpd.exe をリスタートした。やる前は, SSL Server Test で “This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C” だったが,回避策後は, “This server is not vulnerable to the POODLE attack because it doesn’t support SSL 3” になった。実のところ,うちでは, Apache 2.4 と OpenSSL 1.0.1 を使っているので,うちの mod_ssl の場合, ‘SSLProtocol all’ は ‘SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2’ ということになる。これは SSLProtocol Directive に記述がある。

 ユーザとしては,ブラウザで SSLv3 を停めた。
 やり方は,これも How to protect your browser にあった。英文だが,図もあってわかりやすい。日本語のサイトでは, IE, FireFox, Chrome の 3 つともの説明があるところを見つけられなかった。

追記(10/18):
 PHP 5.6.1 —>> PHP 5.6.2 ChangeLog.
 phpMyAdmin 4.2.9.1 —>> phpMyAdmin 4.2.10 ChangeLog.

カテゴリー
everyday life

早く通り過ぎてくれないかな?

The same article in English
投稿アップデート情報  追記

台風 19 号 10/12 9:00 ~ 10/13 8:30
台風 19 号
10/12 9:00 ~ 10/13 8:30
 テレビの速報で流れたが,台風 19 号は 8:30 ごろ,枕崎あたりに上陸したらしい。

 夕べっから,雨戸をしめ切って家にこもっている。今んとこ,暴風警報,大雨注意報,雷注意報,洪水注意報が出てる。夜半には激しい風の音を聞いたが,今はすごく静かで,雨もほとんど降っていない。嵐の前の静けさでっか。

 台風の進路が予想より南にずれたので,我が町への影響は少なくなったと思う。しかし,速度が少し上がってきたね (30 km/h)。

 早く通り過ぎてくれないかな?

追記:
 今(14:00過ぎ),雨戸を開けた。台風時以外は,いつも開けたままなのだ。

 「大山鳴動して鼠一匹」 今年,こんなんばっかり。まぁでも,災害のないのは,ありがたい話だ。 「天災は忘れたころにやって来る」だから,横着構えないようにしないと!!

 19 号はまだまだ力があるし,気を抜かないで,お気をつけください。

カテゴリー
everyday life

月と天王星。

The same article in English

 FHさんから, 10/8 の月食の写真をいただいた。なんでかってっと, FHさんがホームページにアップしていた画像に「すごいなぁ。いいなぁ。(;一一)」と羨望の眼差しを送ったからである(滝汗)。

 というわけで,その中の 5 枚を掲載する。でもって,彼の画像の中に天王星を発見したのだ。今度は,絶対間違いないから。賭けてもいい(爆)。

 5 枚中 3 枚ではっきり見える。あの晩の天王星の等級は, 5.7 くらいだったらしい。でも,月が暗くなるとだんだん見やすくなってくるのが,画像上でよくわかる。おもしろいね。

午後 6 時 25 分
午後 6 時 25 分
午後 6 時 32 分
午後 6 時 32 分
午後 6 時 58 分
午後 6 時 58 分
午後 7 時 8 分
午後 7 時 8 分
午後 7 時 37 分
午後 7 時 37 分
撮影者: FHさん
撮影場所: 京都市
台風 19 号 10/11 9:00 ~ 10/12 8:30
台風 19 号
10/11 9:00 ~ 10/12 8:30

 ところで,また,台風が来てる。今までのところ,我が町は被害にあっていないのだが,備えはしなくっちゃ。「備えあれば患えなし」。本当に患えなしに終わってくれればいいんだが。

 それにしても,すごい雨雲だ。

カテゴリー
Linux

Puppy Linux (Precise-571JP)

The same article in English
投稿アップデート情報  追記(10/10)
月食
月食 (午後 9 時 1 分)

夕べの月食,見れました?ほとんど,見逃しちゃったよ,加えて,写真も普通の下弦の月にしか見えない 1 枚しか撮れなんだ。その画像上に星が見えるんだ。これ,天王星だろうか?ずいぶん調べたけど,分からない。国立天文台の話も,皆既月食の間のことしか書いてないし。一晩でここまで位置関係が変わるとかあるかな。どなたか教えてくださいませ。

さて,本題。

Puppy Linux (Precise-571JP) を LOOX T93B 上で, SHOUTcast server に使おうと思って,試していた。結論を先に言うと,あきらめたんだけどね。ずいぶん久しぶりに, Puppy をインストールした。前回のときのバージョンは, 5.01 の英語版だった。今回, Precise-571JP はすごく練れて使いやすくなっていた。 Puppy って,いいディストリだと思う。軽いし,高スペックを要求しないし,それでも, LOOX T93B では低スペック過ぎたらしい。

実のところ,Shoutcast サーバは走ったし放送もできたんだが,どうしても音跳びが直らなかった。 Puppy のデフォルトのサービスもいくつか止めたりしてみたんだが。

モバイル用の OS として, USB に入れた Precise-571JP はいかが?

By StellaNavigator 10
By StellaNavigator 10

追記(10/10):
残念! 上の画像の星は,天王星ではなかったです。あれからまた調べましてね。 StellaNavigator 10 という優れものがありました。すごい!! 使わせてもらったのは,体験版でーす(汗)。

カテゴリー
Windows

Windows で使える jpegtran 用上書き bat ファイル。

The same article in English
投稿アップデート情報  追記(2016/10/29)

 ご存知, jpegtran , UNIX/LINUX 系ではどうか知らないが, Windows で使うとすごーく不便。元フォルダに上書きしてくれる bat ファイルを,自分用に作ってみた。
@echo off
setlocal enabledelayedexpansion
pushd %~dp0
for %%a in (%*) do (
set OutFile=%%~na%%~xa
jpegtran -copy none -optimize -outfile !OutFile! %%a
for %%b in (!OutFile!) do set fileSize=%%~zb
if !fileSize! LSS %%~za (copy !OutFile! %%a>nul)
del !OutFile!
)
popd
exit
 この bat は,基本的には,作られたファイルで元ファイルを上書きする。ただ,ときどき元ファイルよりサイズが大きくなる場合があるので,その場合は元ファイルを残す。 1 遍に処理できるファイル数は高々 100 程度。その辺は, cmd.exe の文字数制限のせいのような気がする。

 bat ファイルの使い方:

  1. テキストエディタを使い上記のコードで bat ファイルを作る。名前は, ‘jpegtran.bat’ ナンチャラ。ここから落とした txt ファイルの拡張子を bat に変えて使っても OK 。
  2. 作った bat ファイルを jpegtran.exe と同じフォルダに入れる。
  3. 最適化したい jpeg ファイルを, bat ファイルのアイコンにドラッグ&ドロップする。
  4. 以上

 もしこの bat を利用される場合は,「上書きするので,元ファイルは残らない」ということに留意してください。

 サイトの jpeg ファイルを全部最適化した。おかげさんで, PageSpeed Insights の図に関する小言も消えたし,パチパチ。

参考:
   1. DOS コマンド一覧
   2. Jpegtran のヘルプ

追記(2016/10/29):
 結構需要のある記事なので,使い方の追記を書くことにした(爆)。基本的には, jpeg ファイルを jpegtran.bat 上にドラッグ&ドロップするだけなのだが,以下のような使い方もできる。
 jpegtan.exe と jpegtran.bat の入ったフォルダは PC 内のどこにおいてもよい。ただ,デスクトップに jpegtran.bat のショートカットを作っておくと便利である。ショートカットは bat 自身と同じように使える。
 この bat は,処理したい jpeg の入っている範囲で検索をかけて見つかったものを「すべて選択」してドラッグ&ドロップすれば,一括処理も可能である。

カテゴリー
Windows

php.net のサーバのいくつかに何かあったらしい。

The same article in English
投稿アップデート情報  追記(10/2)

 本日, qa.php.net につながんなくて,アレっと思ったら, PHP 5.6.1 の Zip も サイト から消えていた。

 PHP のオフィシャルで何があってんだ。ググって見たら,下記の記事を発見。

 劇薬 ShellShock の副作用でっか?いや,勿論冗談です。しかし,本当に何があってんだろ。 PHP 5.6.1 の Zip を引っ込めたってことは当該ファイルに何らかの汚染があったのか。

 新しくファイルをインストールするときは,一生懸命危険性はないかチェックする。 PHP 5.6.1 の Zip についても同様に事前チェックした。しかし,さっき,もう 1 回チェックしなおした。うちのは大丈夫そうだ。もちろん, 100% の保証はないが……

 公式サイトには,何の発表もないようだ。いつになったら,正式の発表があるのかだろうか?

追記(10/2):
 PHP 5.6.1. Zip は, Oct-02 02:43:40UTC 付で戻ってきた。新旧の Zip の確認はできていないが,今から出かけなくてはいけないので,後でやってみるつもり。しかし,相変わらず公式のアナウンスは何もない。(午後 2:05)