cles::blog

AbuseIPDB という IP ブラックリストを使い始めてみました。

例えばフィッシング等であればフィッシング対策協議会や Google に URL を報告することができますが、毎日やってくる ssh brute force などは適当な報告先がないので困っていたんですよね。

ちなみにサーバの ssh はそもそも公開鍵認証でしかログインできないようにしてありますし、SSHGuard で防御してあるので、単純な brute force では破られないようにはなっています。

AbuseIPDB - IP address abuse reports - Making the Internet safer, one IP at a time

AbuseIPDB is a project dedicated to helping combat the spread of hackers, spammers, and abusive activity on the internet.
Our mission is to help make Web safer by providing a central blacklist for webmasters, system administrators, and other interested parties to report and find IP addresses that have been associated with malicious activity online.

というわけで、先ほどやってきた ssh ログにあるサーバを調べてみるとバッチリ掲載されているのが確認できます。

金融庁がみずほに対する行政処分を公表していました。
システムに対するガバナンス上の問題として以下のような記述があり、なかなか手厳しいです。
ソフトウェア開発は文化だという議論もあるので、改革には時間がかかることは間違いありません。

みずほ銀行及びみずほフィナンシャルグループに対する行政処分について：金融庁

当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。
（１）システムに係るリスクと専門性の軽視
（２）IT現場の実態軽視
（３）顧客影響に対する感度の欠如、営業現場の実態軽視
（４）言うべきことを言わない、言われたことだけしかしない姿勢

慣れないとちょっと難しいウェブサーバの CORS ヘッダの設定。

原理と設定方法については「オリジン間リソース共有 (CORS) - HTTP | MDN」を一通り読めば大丈夫ですが、XMLHttpRequest などを使って実際のリクエストをしてみると上手く動かないということが多々あります。そんなときには curl でプリフライトリクエストを模したリクエストを送ってみると原因を確かめやすいです。

オリジンの https://example.com から https://example.jp/hoge にリクエストを送信する場合、curl のコマンドでは以下のように表すことができます。

上記のコマンドを実行すると以下のような結果を得ることができます^*1。

上記でリクエスト>とレスポンス<で、同じ内容が帰ってきていれば問題ありません、
例えば Origin: と Access-Control-Allow-Origin:、Access-Control-Request-Method: と Access-Control-Allow-Methods:、Access-Control-Request-Headers: と Access-Control-Allow-Headers: の部分の対応をチェックすることになります。

• ^*1: schannelのログは除いています。

COCOA v1.4.0^*1 でアプリが強制終了する不具合が出ているようなのでメモ。

• コロナ接触確認アプリ「COCOA」、バージョンアップで起動不能に　iPhone版、Android版ともに - ITmedia NEWS

あまり起動しないソフトですが、起動してみると確かにすぐに落ちてしまいますね。
すぐに修正版がリリースされるとは思いますが COCOA は 2 月にちゃんと動作していなかったということで大顰蹙を買っていたので、ケチがつきっぱなしという感じですね。

• ^*1: 新型コロナウイルス接触確認アプリ（COCOA) COVID-19 Contact-Confirming Application｜厚生労働省

技術的な内容をググると、上位のいくつかは Stack Overflow の機械翻訳サイトだったりするのがウザくてしょうがなかったので、１つ１つuBlacklistで対処していたのですが、そういうサイトの URL をまとめたリストを提供してくれている人を見つけたのでメモ。

• arosh/ublacklist-stackoverflow-translation: Stack Overflow の機械翻訳サイトの除外用フィルタ

ありがたく活用させていただこうと思います。

MS が Windows 11 Enterprise の開発用 VM イメージを公開していました。

容量は 20GB で VMWare、Hyper-V、VirtualBox、Parallels の各プラットフォームに対応したものが公開されています。
VM の有効期限は 2022 年 1 月 9 日までですが、Windows 11 にアップデートしようか迷っている場合のお試しには良い選択肢になりそうです。

• Windows 10 仮想マシンをダウンロードする - Windows アプリ開発

新しくセットアップしたマシンに TeraTerm で接続しようとしたら公開鍵認証が通らないので困ってしまいました。

† 2023/02/28 追記

rsa-sha2-256/512 に対応した TeraTerm5.0b1 が登場しています。

• ^*1: チケット #36109: rsa-sha2-256, rsa-sha2-512公開鍵アルゴリズムのサポート - Tera Term - OSDN

日本政策金融公庫が公開している売り上げアップにつながる写真の撮り方ガイドが TL で話題になっていたのでメモ。

政策金融公庫なので、売上＝客数×客単価のようなことから始まり、料理写真は反逆光で撮りましょうとか、レフ板を活用しましょうみたいな写真のノウハウ本のような内容が合体しているのが面白いですね。

出版物を見てみると、写真の撮り方だけでなく、商売のノウハウ的なものをいろいろ発信していたんですね。

2013 年からプレミアムアカウントで使っていた LastPassですが、$12/年 でずっと使えていた年次更新が一方的に無効化されてしまったので、これを機に Bitwarden に乗り換えることにしました。

実装が OSS で進められているというちょっと珍しいソフトウェアです。

• Bitwarden

Yubikey などが使いたい場合にはプレミアムアカウント（$10/年）にする必要があります。

LastPass は値上げにもかかわらずここ数年ほとんど機能拡張もされず、サポートのやる気もないですし、3月のサービス改悪の評判もよくなかったので、$3/月で使い続ける理由があまりなかったというのが正直なところです。

Bitwarden Open Source Password Manager | Bitwarden

Bitwarden offers the easiest and safest way for teams and individuals to store and share sensitive data from any device.

† LastPass からの移行は簡単

LastPass からの移行は単純にデータをエクスポートしてインポートするだけです。
公式のマニュアルにも丁寧に説明されているので、このとおりの手順で問題ありません。
添付ファイルを使っている場合には、そこは手動で移行する必要があります。

• Import Data from LastPass | Bitwarden Help & Support

今のところ UI の違いを除いては同じような機能が揃っているという印象です。
LastPass と違って Basic 認証に対応しているので、やっと MultiPass Disarmed からも卒業できます。

デュアル SIM iPhone は技適不適合？という話がありましたが、Google のフラッグシップスマホ Pixel 6 も「技適不適合」リスト入りしてしまったようです。

iPhone の問題と同じくこちらもデュアル SIM の緊急通報に関するもの。
このあたり国際的に見て仕組みが特殊とかそういう理由があったりするのでしょうか。

Pixel 6が「技適不適合等」リスト入り　一部のデュアルSIM環境で緊急通報できない恐れ - ITmedia NEWS

デュアルSIMを利用する際に「データ通信専用SIM」と「音声通話可能なSIM」を組み合わせ、データ通信専用SIMをモバイルデータ通信用の回線に設定して使用すると、110／118／119など緊急機関への発信ができない事象が確認された。