BLOGTIMES
«Prev || 1 · 2 · 3 · 4 · 5 · 6 ·... | | Next»
2021/11/28

足立区にある B-29 のタイヤ

tokyo  usforces  B-29 
B-29 のタイヤ - 足立区にある B-29 のタイヤB-29 のタイヤ - 足立区にある B-29 のタイヤ

足立区に墜落した B-29 のタイヤがあるというのは Twitter などで何度か目にしていましたが、調べてみたら舎人駅から歩いてすぐの場所だったので、見物しに行ってみました。

噂通り農地の角に半分地面に埋まって放置されていますが、70 年以上前に墜落したとは思えないほど綺麗に原形を留めています。これは指摘されなければ、廃タイヤを活用した公園の遊具と見分けがつかないと思います。

B-29のタイヤが残っています|足立区

現在も民有地である農地の一角に確かにタイヤは残っています。平成10年発行の『足立風土記稿 地区編4・舎人』に記載があり「GHQの記録を調べなおしたところ、昭和20年5月26日の墜落と公式記録が残っていた」そうです。ちなみに搭乗員は全員死亡したとのこと。墜落場所は現在の入谷のトラックターミナルあたりのようです。


    at 11:35 |
    2021/11/27

    設定がまずいクラウドサービスは早ければ数分で攻撃される

    intrusion  ssh 

    設定がまずいクラウドサービスは早ければ数分で攻撃されるというパロアルトのレポートを見つけたのでメモ。

    この調査ではクラウド上にハニーポットを設置して、リモートデスクトップ(RDP), SSH, SMB, Postgress に対してどのような攻撃が行われるかを調べたようです。設置された 320 個のハニーポットのうち 80%が 24 時間以内に危殆化され(compromised)され、はやければ数分という場合もあったようです。また、特に攻撃が多かったのは ssh という結果になっています。

    2004 年にクリーンインストールした Windows PCをファイアーウォールなしでインターネットにつないでおくと、20 分で何らかのウィルスに感染してしまうという話がありましたが、15 年も経つとそれが数分という単位になっていることに驚きます。

    参考


      at 23:49 |
      2021/11/27

      AbuseIPDB を使い始めてみた

      antispam  ssh  phishing  blacklist 
      AbuseIPDB - AbuseIPDB を使い始めてみた

      AbuseIPDB という IP ブラックリストを使い始めてみました。

      例えばフィッシング等であればフィッシング対策協議会Google に URL を報告することができますが、毎日やってくる ssh brute force などは適当な報告先がないので困っていたんですよね。

      ちなみにサーバの ssh はそもそも公開鍵認証でしかログインできないようにしてありますし、SSHGuard で防御してあるので、単純な brute force では破られないようにはなっています。

      AbuseIPDB - IP address abuse reports - Making the Internet safer, one IP at a time

      AbuseIPDB is a project dedicated to helping combat the spread of hackers, spammers, and abusive activity on the internet.
      Our mission is to help make Web safer by providing a central blacklist for webmasters, system administrators, and other interested parties to report and find IP addresses that have been associated with malicious activity online.

      というわけで、先ほどやってきた ssh ログにあるサーバを調べてみるとバッチリ掲載されているのが確認できます。

      Nov 27 21:45:44 server sshd[24780]: Invalid user sue from 47.100.203.120 port 39792 Nov 27 21:45:44 server sshd[24780]: input_userauth_request: invalid user sue [preauth] Nov 27 21:45:44 server sshd[24780]: Received disconnect from 47.100.203.120 port 39792:11: Normal Shutdown, Thank you for playing [preauth]

        at 22:14 |
        2021/11/26

        金融庁がみずほに対する行政処分を公表

        fsa  banking 

        金融庁がみずほに対する行政処分を公表していました。
        システムに対するガバナンス上の問題として以下のような記述があり、なかなか手厳しいです。
        ソフトウェア開発は文化だという議論もあるので、改革には時間がかかることは間違いありません。

        みずほ銀行及びみずほフィナンシャルグループに対する行政処分について:金融庁

        当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。
        (1)システムに係るリスクと専門性の軽視
        (2)IT現場の実態軽視
        (3)顧客影響に対する感度の欠如、営業現場の実態軽視
        (4)言うべきことを言わない、言われたことだけしかしない姿勢


          at 23:50 |
          2021/11/26

          curl で CORS の設定を確認する

          ajax  javascript 

          慣れないとちょっと難しいウェブサーバの CORS ヘッダの設定

          原理と設定方法については「オリジン間リソース共有 (CORS) - HTTP | MDN」を一通り読めば大丈夫ですが、XMLHttpRequest などを使って実際のリクエストをしてみると上手く動かないということが多々あります。そんなときには curl でプリフライトリクエストを模したリクエストを送ってみると原因を確かめやすいです。

          オリジンの https://example.com から https://example.jp/hoge にリクエストを送信する場合、curl のコマンドでは以下のように表すことができます。

          curl -H "Origin: https://example.com" -H "Access-Control-Request-Method: GET" -H "Access-Control-Request-Headers: Content-Type, Authorization, X-Requested-With" -X OPTIONS -v "https://example.jp/hoge"

          上記のコマンドを実行すると以下のような結果を得ることができます*1

          > OPTIONS /hoge HTTP/1.1 > Host: example.jp > User-Agent: curl/7.55.1 > Accept: */* > Origin: https://example.com > Access-Control-Request-Method: GET > Access-Control-Request-Headers: Content-Type, Authorization, X-Requested-With < HTTP/1.1 200 OK < Date: Fri, 26 Nov 2021 3:36:09 GMT < Server: Apache/2.4 < Access-Control-Allow-Origin: https://example.com < Access-Control-Allow-Methods: GET < Access-Control-Allow-Headers: Content-Type, Authorization, X-Requested-With < Access-Control-Max-Age: 5 < Access-Control-Allow-Credentials: true < Content-Length: 0 < Content-Type: text/html

          上記でリクエスト>とレスポンス<で、同じ内容が帰ってきていれば問題ありません、
          例えば Origin:Access-Control-Allow-Origin:Access-Control-Request-Method:Access-Control-Allow-Methods:Access-Control-Request-Headers:Access-Control-Allow-Headers: の部分の対応をチェックすることになります。

          • *1: schannelのログは除いています。

          at 16:55 |
          2021/11/25

          COCOA v1.4.0 でアプリが強制終了する不具合

          android  ios  covid19  mhlw 
          COCOA v1.4.0 Android - COCOA v1.4.0 でアプリが強制終了する不具合

          COCOA v1.4.0*1 でアプリが強制終了する不具合が出ているようなのでメモ。

          あまり起動しないソフトですが、起動してみると確かにすぐに落ちてしまいますね。
          すぐに修正版がリリースされるとは思いますが COCOA は 2 月にちゃんと動作していなかったということで大顰蹙を買っていたので、ケチがつきっぱなしという感じですね。


          at 23:48 |

          Stack Overflow の機械翻訳サイトを uBlacklist で除外する

          antispam  firefoxquantum 
          uBlacklist の設定 - Stack Overflow の機械翻訳サイトを  uBlacklist で除外する

          技術的な内容をググると、上位のいくつかは Stack Overflow の機械翻訳サイトだったりするのがウザくてしょうがなかったので、1つ1つuBlacklistで対処していたのですが、そういうサイトの URL をまとめたリストを提供してくれている人を見つけたのでメモ。

          ありがたく活用させていただこうと思います。


            at 20:55 |
            2021/11/24

            MS が Windows 11 の開発用 VM イメージを公開

            windows11  esxi 

            MS が Windows 11 Enterprise の開発用 VM イメージを公開していました。

            容量は 20GB で VMWareHyper-VVirtualBoxParallels の各プラットフォームに対応したものが公開されています。
            VM の有効期限は 2022 年 1 月 9 日までですが、Windows 11 にアップデートしようか迷っている場合のお試しには良い選択肢になりそうです。


              at 22:39 |

              TeraTerm はまだ rsa-sha2-256/512 に対応していない

              teraterm  ssh 

              新しくセットアップしたマシンに TeraTerm で接続しようとしたら公開鍵認証が通らないので困ってしまいました。

              いろいろ試してみたところ、通らないのは RSA だけで ECDSA とかは普通に通るので、さらに謎だったのですが、 OpenSSH 8.8 から rsa-ssh がデフォルトで無効化された話を思い出したので、TeraTerm のトラッカーを調べてみると残念ながらまだ rsa-sha2-256/512 に対応していないというオチ*1でした。

              OpenSSH 8.8 Release Notes

              This release disables RSA signatures using the SHA-1 hash algorithm by default. This change has been made as the SHA-1 hash algorithm is cryptographically broken, and it is possible to create chosen-prefix hash collisions for

              今回はネットに曝さない内部用のサーバなので、ひとまず sshd_config に ssh-rsa に対応させる設定を書いて回避することにしました。

              /etc/ssh/sshd_config

              PubkeyAcceptedKeyTypes +ssh-rsa

              at 21:43 |
              2021/11/23

              政策金融公庫の「写真の撮り方ガイド」

              banking  reference 
              売り上げアップにつながる写真の撮り方ガイド - 政策金融公庫の「写真の撮り方ガイド」

              日本政策金融公庫が公開している売り上げアップにつながる写真の撮り方ガイドが TL で話題になっていたのでメモ。

              政策金融公庫なので、売上=客数×客単価のようなことから始まり、料理写真は反逆光で撮りましょうとか、レフ板を活用しましょうみたいな写真のノウハウ本のような内容が合体しているのが面白いですね。

              出版物を見てみると、写真の撮り方だけでなく、商売のノウハウ的なものをいろいろ発信していたんですね。


                at 20:13 |
                «Prev || 1 · 2 · 3 · 4 · 5 · 6 ·... | | Next»