出先から戻って, WordPress のコメントをチェックしたら, Akismet がエラーを吐いてて,ビックリ。おたおたして,ネットで解決策を探してるうちに,何もしないのに,ヤツは普通に動き出した。 Akismet blog によれば, API outage – November 28th なんだってサ。というわけで,今日のエラーは私のせいじゃなかったのネー。ああ,よかった。 Akismet 君,脅かすんじゃねーよ,メッ!!
ところで,本日昼前,初雪でしたワ。すぐに止んだけど。ワーーーォ。
相当前の話だが,「stream via mmshということで……。」というのを書いた。
今日,サーバ上の VLC media player を Version2.1.1 にアップデートしたら, .bat で起こしていたプレーヤがクラッシュするようになってしまった。これまでも,バージョンが変わるとクラッシュが起こることがあったが,次のバージョンでは元に戻るということが多かった。しかし,今回は, Version2.0.9 から引き続いてのことなので,少し,まじめに弄ってみた。その結果,どうやら, trancecode に WMV + WMA を使っているのがまずいらしいのがわかったので, H.264 + MP3 に変更したら,他は変えなくてもうまくいくようになった。
ここで,大問題が一つ。 IE 上でうまく動かないのだ。ライセンスの問題ですったもんだあったと認識していた(私の覚え違いの可能性もあるが…) FireFox 上でも, VLC Web Plugin の利用でうまく表示されているようなので,そのうち, VLC が IE 上でも対応してくれるかもしれないという淡い期待を抱いて今のところ放置プレイである。うちにある IE は 10 だけなのだが,古いバージョンではもしかしたら視聴可能かもしれない。 VLC の Plugin が一時期 IE 上で動いていた記憶があるので。
VLC media player を利用して,「ネットワークストリームを開く」から, mmsh://o6asan.no-ip.org:8002/ に接続すれば,簡単に視聴できる。前と変わらず,ずいぶんとタイムラグがあることとしょうもないテスト動画を使っているので,見るまでもないということは,置いておいてネ。
今回の発見を一つ。プロトコル mms (Microsoft Media Services ) の場合,前回はどうしても GUI ではうまくいかなくて,結局,コマンドラインからやったのだが,今回は, GUI でできたよってこと。配信側の手順の画像だけ載せておきまッサ。
 |
 |
 |
 |
 |
 |
 |
配信停止しました。 |
 |
徳丸さんが関連記事(新規での投稿時刻は 9:48 のようである)を書いている。表題はそのものずばり。「ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策」。
この中で,徳丸さんは hissy さんが,個人的な見解の中で, “symlink, mass deface” と書いておられたことの具体的手法だろうと,私が思ったことについて,詳しく書いてくださっている。
しかし, WordPress を使う場合 mod_rewrite がいるから, FollowSymLinks は必須だ。ということは, 共有サーバの場合,ここを必ず SymLinksIfOwnerMatch にしておけばいいということなのか。うちの場合,ユーザは私ひとりなので,ドキュメントルートの Options はデフォルトのままで, AllowOverride のほうは,デフォルトの None から FileInfo Indexes Limit に変更してある。 .htaccess で使うためだ。
LINUX を使ったときにシンボリックリンクとは便利なものだと思ったが,元来は UNIX 由来のものだろうと思う。メインフレームしか存在しなかったような時代においては,今のように不特定多数のしかも初心者に近いような人間がネット上で使用するようなことは想定外だったろうから,そのころのゆるさが残ってしまっているのだろう。
なんちゅうか,自分の住んでいるところの郵便局と,西部劇の新開地の銀行を比べてみているのような気分になってきた。
自鯖の環境を振り返ってみて,上記の件も大丈夫かなという気になってきたところである。ところで, WordPress をお使いの同好の士は,環境を最新に保つようにがんばりましょう。今回, timthumb.php の脆弱性が利用されたのであれば, timthumb.php を開発している方たちはがっくり来てると思うよ。「俺たちの努力は何だったんだ」って。まっ,何の分野でもよくある話だけどね,ありがたくないことに(爆)。
いろいろ,情報が出ているようだが,ロリさんからの詳細情報は,われわれが利用できるような意味では(具体的にどのファイルのどの脆弱性を使われたとか,サーバのどの穴を突かれたとか ― 望むほうが無理かいな),詳細には出ていないようだ。しかし,状況としては少し落ち着いてきたのだろうか。
hissy さんが今時点(朝8:55ごろ)での見解をまとめられていて,参考になるのでリンクを貼っておく。これ。
もし, timthumb.php が狙われたとすれば,脆弱情報を入手しての更新がいかに大切か,実感できると思う。私が, timthumb.php の脆弱性に触れたのは,調べてみたら 2011.08.05 のことだった。丸2年前には,アップデートが配布されているわけだから,この既知の脆弱性が残っていたとすれば,これが2年間手当てされていなかったことになる。ロリさんところのような形態のサーバでは,そういうユーザもかなりいるのかもしれない。しかし,これだけだとそのサイトだけ話になるから,他ソフトの脆弱性やサーバの不備を突かれて,これを踏み台に使える方法を見つけられてしまったということなのか。サーバの脆弱性を付かれたと言うことになれば,これはホスティングサービス側の責任が大きいだろう。フリーで気楽に使えるレンタルとなれば,『そういうユーザ』が多くなるのは止むを得ないから,ホスティング側がしっかりしないといけないわけだが,職場として考えたとき,そういう運営をする場合は,優れた技術者を集め最新のインフラを維持するようなコストはかけられないだろうな,と思ってしまう。
必然的に,サーバ群のセキュリティが,低いまま残っていく,ということになるのかもしれない。
ところで,うちの Apache の8月のログにも
”GET /~/cybercrime.php HTTP/1.1″
なるものが,21日分に残っている。しかし, Error AH00127: Cannot map GET が戻っているので,問題なかったのだろう。ちなみに, Apache のログから /cybercrime.phpが見つかったのは, 2011.4 から今まででこの日だけだった。
/w00tw00t.at.ISC.SANS.DFind:) とか 0w131 とか phpMyAdmin がらみとかは,よく見かけるんだけどナ。
そういえば,ほかに uploadify.php の脆弱性にも触れたことがある。このときは,これがらみで「PHP/WebShell.A.1[virus]」が送り込まれてきたようだった。関連の脆弱性がなかったせいか事なきを得たわけだが,なんによらず,素人の自鯖運営者としては,「この間書いたように『新しいものは,気づかれない大穴があるということもあるが,それ以上に古い既知の穴のほうが怖いよというのが,最近のスタンスと思われる。』という姿勢で行くしかないのかなぁ」と思った今回のロリさん達の事件であった。
Windows 上で, mo ファイルから po を作る方法。
以下の3つのプラグインはかなり前から開発が止まっているので,使うのをやめた。Similar Posts と Post-Plugin Library については,作者に便りをしても返事がなくなってしまったし, Picbox については,作者がはっきり開発をやめるというアナウンスをしている。
代わりに下記の2つを使うことにした。
投稿アップデート情報 追記2(1/22) 追記3 追記4(1/25)
先日,Ajax Edit Commentsの5.0.10.0へのアップデート情報が,プラグインページに表示された。短時間試してみたが, orz 状態で, 5.0.7.0. に戻した。こっちのほうが,まだ,耐えられる状態だったので。しかし,何しろ,不特定多数にコメントをいじらせる機能なわけだから,更新が止まったまま,あるいは,更新作業をまともにやる気のない作者ということになると,使い続けるのが怖いなあとなる。とはいえ,公のブログと違い,うちのような個人の知り合いが書き込むだけのブログだと,いつもコメントしてくださる方に,事後編集を可能にするプラグインというのは,捨てがたい。真剣に後継プラグインを考えなくてはいけないと思って,いろいろ調べたり,場合によっては,comment.phpを自分でいじろうかなどと,大それたことを考えていた。
ところが,2013/01/11 6:49(日本時間)付けで, WP Ajax Edit Comments is Broken からの書き込み通知メールがあって,投稿者が,なんと Ronald Huereca になっていた。驚きと期待感とともに,早速, GitHub に行き,そこにあった ajax-edit-comments 5.0.13 を試してみていた。
さらに,今朝,起きてみたら,プラグインページのアップデート版が,5.0.13.0 になっており,しかも,ここの作者が The PluginBuddy Team から Ronald に戻っている。彼らのほうで何があったかわからないが,ユーザとしては期待のできる変化だ。早速,5.0.13.0 を試してみた。まだ,若干不具合はあるようだが, 5.0.7.0. よりも楽に設置できる。uploads 内の aec ディレクトリがいらない形に戻ったようだ。今のところ, aec ディレクトリを使うバージョンから,5.0.13.0 にアップデートした場合,aec ディレクトリは手動で削除しなければ残り続ける。
すでに,Ajax Edit Comments を使っている場合は,プラグインのアップデートアナウンスがアドミンページに表示されていると思うが,新規の場合は,ここから落とせる。
12 日現在,日本語化ファイルは旧いものしか同梱されていないので, v.5.0.13.0 用をここに置いた。よかったら,試してみてください。 <<--- 新バージョンが出たので,ここのリンクは削除した (1/22)。 追記: 新バージョンはマルチサイトもサポートしている。サイトネットワーク管理者として,AECを「ネットワークで有効化」すれば,「参加サイト」のすべてで有効になる。 追記2(1/22): v.5.0.21.0 が出た。 Changelog は以下のようになっているが,
言語ファイルに関しては,私が依頼したことで,早速の対応。本当にありがたい。
というわけで,v.5.0.21.0 用の日本語化ファイルをここに置いた。
追記3(1/22):
v.5.0.24.0 が出た。 Ron の対応が早すぎて,この1年くらいとの違いに,涙が出て来る。日本語についての変更点は v.5.0.21.0 の時に盛り込み済みなので,日本語化ファイルは,変える必要なし。
追記4(1/25):
今後,最新版用の日本語化ファイルは,ここに置く。
投稿アップデート情報 追記(2013/1/4)
WordPressには,12月から1月4日まで,ブログに雪を降らせるというプラグインがある。かなり前(2007)からあるらしいが,全然知らなかった。なんでその存在に気づいたかというと,このごろこのプラグインの機能がJetpackに含まれるようになって,ダッシュボードの一般設定に「Show falling snow on my blog until January 4th.」というチェックボックスが現れ,なんだろうと思って調べたからだ。
Jetpackは便利なプラグインだが,こんな風にいろんなものが同梱されてくるので,バージョンアップになったときは気をつけておかないと,いらないものまで入ってきて困ったことになることが結構ある。まあ,この雪を降らせるという機能は面白いなと思っていた。
12月に入っても結構暖かかったのもあって,この機能を試していなかったのだが,新年も近いしOnにしてみた。
いかがですか?雪は降っていますでしょうか,我がブログに。
降り始めるまでにちょっと時間がかかるようです。
追記(2013/1/4):
雪は止みました。うっかり,「1月4日まで」と書いてしまいましたが,改めて表示されていたメッセージを見てみると,「until January 4th」なので,4日になったら止んじゃったみたいです。この辺の表現の微妙なニュアンスがいつまでたっても,鬼門です (^^;)。
ここのところ,ちょっとネットラジオづいていて,しばらく止めていた配信を復活させた。
この新しいサイトで,ダッシュボードのメニューの動きが悪い。例のNoScriptのサイトの一覧に,gravatar.comというのがあって,ソースを調べてみると,<script type=’text/javascript’ src=’http://s.gravatar.com/js/gprofiles.js?ver=2012Octaa’></script>が挿入されている。
しかし,こんなものを挿入した記憶がなかった。( gprofiles.js?ver=2012Octaa) って,こんな奴らしい。「スワッ,マルウェア!!」とは思わなかったが,気になって調べてみたら,犯人は,Jetpackの「Gravatar ホバーカード」だった。Jetpackはかなり前から利用しているが,親ブログのBBS以外はアバターは使わない設定にしてるし,何よりこやつを有効にした記憶がない。
「Gravatar ホバーカード」を停止にしたら,挿入されていたタグは消えたけど,困るなあ,こういうの。まぁ,マルウェアじゃなくてよかったけど,勝手に挿し込まれたこれが汚染されてたりすると,困ったことになる。手動で確認してから「有効」にしたからって,大丈夫って保障はどこにもないけど,それでも,知らないうちに動いてるというのは,どうもねぇ。まあ,パソコンなんてそんなんばっかりと言えば言えるが……ブツブツ。
【2016.06.01時点の話】
公式からのダウンロードは,フリーバージョンでも,レジストしないとできなくなってしまった。それもかなり細かい情報まで記入を求められる。
そんなこんなで,うちのネットラジオ局はやめちまった。
【2014.09.20時点の話】
Radionomy に売られた(アセッ)あとの SHOUTcast DNAS を使った「新・ネットラジオのはじめ方」を書いた。新しく自前ネットラジオ局を建てる場合には,参考になるかも……。
【2014.06.26時点の話】
すっかり忘れてて追記が遅くなってしまったが, SHOUTcast 2 Tools のダウンロード先が SHOUTcast Home にきちんとできている。次のリンクページからダウンロードできる。BroadcastNow。
【2014.02.26時点の話】
AOL が Winamp と Shoutcast を手放した関係で, SHOUTcast 2.0 Tools , Winamp のダウンロード URL が変わっています。「WinampとShoutcast。」をお読みください。
2013.10.11 の我が家の検索ワードに「windows 7でシャウトキャスト放送はできるのか」というのがあったので,現時点の o6asan’s netradi (もうありません – 2016.6.1) の環境を書いておきます(汗)。
sc_serv2_win32_07_31_2011.exe のインストール場所は,デフォルトの C:Program Files は避けて,別パーティションを切って入れています。
———————————————————————————————————————————————-
随分久しぶりのnet radioネタ。
apollo23さんからコメントをいただいたのだが,どうやらネットラジオをローカルでCDプレーヤーみたいに使えればいいなということらしい。そこで,SHOUTcastサーバをローカルで建てるという話になって,コメントでやり取りしていたのだが,プログラムの仕様がチョコチョコ変わっていて,どうも説明が難しい。何しろ,「ネットラジオのはじめ方。」は私の覚え書的記事で,画像も入っていない。結局,私自身,最新版をインストールしなおしてみることにした。
ローカルでCDプレーヤー的に使うということであれば,SHOUTcastサーバはprivate設定にし,インターネットからアクセスできないようにすればいいと思うので,
ということになると思う。このうち2.3.は,インターネットに公開するSHOUTcastサーバでも,public設定にしなければ同じである。 さて,Win上に最新版でサーバを建ててみよう。(注)この先の話は,Windows OS上でのものである。また,構築の途中で,ファイアーウォールからのメッセージが出る場合があるが,自分が設定中のプライベートアドレスに対するもののみ接続を許可してほしい。
|
図1 図2  図3  図4  図5  図6  図7  図8  図9  図10  図11  図12  図13  図14 
|
これで,SHOUTcastサーバが,一応,構築できた。ここまで,うまくいったら,常時稼働させるSHOUTcastサーバはサービスとして運用した方がいいと思うので,コマンドプロンプトを起動して,SHOUTcast フォルダに移動し,
sc_serv.exe install sc_serv 0 0 sc_serv_simple.conf
で,サービスとして登録する。(Install as a Service参照)
サービスを開始する。
net start sc_serv
コマンドプロンプトを閉じる。
また,登録直後は,手動での「開始」「停止」になっているので,コントロールパネルから,自動に変更しておいた方が便利かもしれない。
