2013年も!みなさんに!お世話になりましたm(_ _)m
今年一番の大事件は生年月日を晒したことですねー。
ちなみに去年一番の大事件は本名をネットに晒したことでした←
つらつらと自分メモとして一年を振り返っておきます。
特におもしろいことは書いてないです(ヾノ・ω・`)ナイナイ
2013年12月31日火曜日
2013年12月18日水曜日
Androidの脆弱性(まとめ版)
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 について見つけたいきさつを記事にしました。
こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。
【原因】
WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。
このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです)
【何ができてしまうか】
JVNに書かれている通り
【あかんコード】
Androidのソースを追っていて「!!!」となったのはこの一行。
お察しください。
【対策】
個人的にはWebView全般に影響があることよりも標準ブラウザに穴があるということの方がインパクトが大きい気がしています。危険なアプリを入れなくても、普通にブラウザを使っているだけで悪意あるコードが実行されたりブラウザが持っている情報(Cookieなど)が抜かれてしまうので。。
こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。
【原因】
WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。
このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(Android版ChromeはWebViewを使っていないので問題ないです)
【何ができてしまうか】
JVNに書かれている通り
Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。なのですが、標準ブラウザでできてしまうことの一例を具体的に挙げてみます。
- Intentを飛ばして他アプリを起動できる
- Androidの端末情報を読み込まれてしまう(Android.os.BuildやWi-Fi情報など)
- アクセスしただけでこっそりファイルをダウンロードされる
- 外部ライブラリを実行できる(任意のネイティブコードを実行できる)
- こっそりダウンロードと組み合わせたら…((((;゚Д゚))))
- 標準ブラウザが保持しているCookieやユーザ名・パスワードを読み込まれてしまう
- それをAjax等でサーバに送ることもできるので…((((;゚Д゚))))
【あかんコード】
Androidのソースを追っていて「!!!」となったのはこの一行。
お察しください。
【対策】
- 最新版OSを使ってください。各メーカーが提供している最新OSを使ってください。
- 標準ブラウザを使わないでください。Android版Chromeなら大丈夫です。WebViewも使われていないはずです。※他のブラウザソフトは表示エンジンにWebViewを使っている可能性があるので安全とは言いきれません。
個人的にはWebView全般に影響があることよりも標準ブラウザに穴があるということの方がインパクトが大きい気がしています。危険なアプリを入れなくても、普通にブラウザを使っているだけで悪意あるコードが実行されたりブラウザが持っている情報(Cookieなど)が抜かれてしまうので。。
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。
不肖私が昨年9月にIPAに届け出たものです。
これまでは情報非開示依頼があったので多くを語ることができませんでした。
ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。
周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m
当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。
不肖私が昨年9月にIPAに届け出たものです。
これまでは情報非開示依頼があったので多くを語ることができませんでした。
ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。
周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m
当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。
2013年12月12日木曜日
大都会にコメダができたそうな
大都会岡山 Advent Calendar 2013 12日目です。
「あれから1年」というネタを書こうと思っていたけれど、今年はあまり大都会とご縁がなかったのでテーマを変えて。
11月28日にオープンしたコメダ珈琲店 岡山大福店で大都会進出を果たしたコメダ珈琲店の紹介をします☆
「あれから1年」というネタを書こうと思っていたけれど、今年はあまり大都会とご縁がなかったのでテーマを変えて。
11月28日にオープンしたコメダ珈琲店 岡山大福店で大都会進出を果たしたコメダ珈琲店の紹介をします☆
2013年12月2日月曜日
お好み焼きの後日(?)談
すごい広島 Advent Calendar 2013 2日目の3部作(1 2 3)を踏まえて、お昼ごはんでリベンジしてみました。
2枚分のお好み焼き粉だったので半分残った材料を使っただけ。
あ、今日ももやしはないです(買い物に行ってないから)
2枚分のお好み焼き粉だったので半分残った材料を使っただけ。
あ、今日ももやしはないです(買い物に行ってないから)
お好み焼きが大好きです
広島とは何のゆかりもない私ですが、広島(のお好み焼き)に心を惹かれて
今年は5回も広島に(お好み焼きを食べに)行きました。
あ、牡蠣も好きです(^q^)
そんなわけで不肖ワタクシが すごい広島 Advent Calendar 2013 2日目を書かせていただきます。
大阪風お好み焼きはまぁあれはあれでいいんだけど、そうやないねん。もっとこう、繊細なおいしさが欲しいの。そして大阪にはおいしい広島風お好み焼きを食べられるお店が少ない!(少なくとも自宅や会社の近所にはない)
「自分でお好み焼き作れば広島まで食べに行かなくてもいんじゃね?」
ということで広島風お好み焼きを作ることになりました。
今年は5回も広島に(お好み焼きを食べに)行きました。
あ、牡蠣も好きです(^q^)
そんなわけで不肖ワタクシが すごい広島 Advent Calendar 2013 2日目を書かせていただきます。
大阪風お好み焼きはまぁあれはあれでいいんだけど、そうやないねん。もっとこう、繊細なおいしさが欲しいの。そして大阪にはおいしい広島風お好み焼きを食べられるお店が少ない!(少なくとも自宅や会社の近所にはない)
「自分でお好み焼き作れば広島まで食べに行かなくてもいんじゃね?」
ということで広島風お好み焼きを作ることになりました。
2013年10月27日日曜日
郵便物の再配達の申し込み
何度も何度も何度も言うけど郵便局の再配達申し込みがわかりにくくてダメダメで、使うたび腹が立つので吐き出したいと思います。
でもモンク垂れるだけではアレなので「Webサービスとか作るならこういうところ気をつけようよ」みたいな要望も少々。
でもモンク垂れるだけではアレなので「Webサービスとか作るならこういうところ気をつけようよ」みたいな要望も少々。
2013年5月27日月曜日
シュークリーム
諸君 私はシュークリームが好きだ
諸君 私はシュークリームが大好きだ
カスタードシューが好きだ
ホイップシューが好きだ
ダブルシュークリームが好きだ
クリームシューが好きだ
プチシューが好きだ
エクレアも好きだ
洋菓子店で スーパーで
カフェで コンビニで
土産物屋で ファミレスで
この地上で売られるありとあらゆるシュークリームが大好きだ
シューと共に口に広がるクリームの味が好きだ
たっぷりつまったクリームが押し出されてきた時など心がおどる
※シュークリームのマイブームは今週いっぱいくらいで終わるんじゃないかと思います。
2013年5月15日水曜日
WebDAVでディレクトリのリネームと削除
久しぶりの更新、久しぶりの技術ネタ。
(会社ホームページに技術ブログを作ってこれからは技術情報はそこに書こうというプランが昨年11月から計画されていて全く進んでいない)
Apache 2.4.4 でWebDAVサーバを立てました。
ファイルのアップロード、リネーム、削除 ⇒ OK
ディレクトリの作成 ⇒ OK
ディレクトリのリネーム、削除 ⇒ NG
…あれ?
httpd.conf は基本的に Apache 2.2.x までと同等の設定をしていて特に何も変えていません。
もちろんこれまではディレクトリのリネーム・削除も含めてちゃんと動いていました。
ログを見てみると、リネーム時のMOVEメソッドや削除時のPROPFINDメソッドに対して 405 Method Not Allowed が応答されている模様。
しかもよく見るとディレクトリ指定なのに /index.html に対するアクセスになっているような… おや?
ぐぐってみたらIssueが登録されていました。
Bug 54914 - mod_dir DirectoryIndex breaks WebDAV PROPFIND / DELETE / MOVE
mod_dir が悪さしてる…
今回のサーバは DirectoryIndexディレクティブを使わない(暗黙の index.html を必要としない)構成だったので
LoadModule dir_module modules/mod_dir.so
をコメントアウトして無事WebDAVでのディレクトリリネーム&削除ができるようになりました。
早く直ってほしいですねー。
※WebDAV関連でぐぐったとき出てくる記事が軒並み古くて今回の 2.4.4 固有の症状にたどり着くまでに時間かかった… みんな最新版ApacheでWebDAVなんかしないのかしらん?
(会社ホームページに技術ブログを作ってこれからは技術情報はそこに書こうというプランが昨年11月から計画されていて全く進んでいない)
Apache 2.4.4 でWebDAVサーバを立てました。
ファイルのアップロード、リネーム、削除 ⇒ OK
ディレクトリの作成 ⇒ OK
ディレクトリのリネーム、削除 ⇒ NG
…あれ?
httpd.conf は基本的に Apache 2.2.x までと同等の設定をしていて特に何も変えていません。
もちろんこれまではディレクトリのリネーム・削除も含めてちゃんと動いていました。
ログを見てみると、リネーム時のMOVEメソッドや削除時のPROPFINDメソッドに対して 405 Method Not Allowed が応答されている模様。
しかもよく見るとディレクトリ指定なのに /index.html に対するアクセスになっているような… おや?
ぐぐってみたらIssueが登録されていました。
Bug 54914 - mod_dir DirectoryIndex breaks WebDAV PROPFIND / DELETE / MOVE
mod_dir が悪さしてる…
今回のサーバは DirectoryIndexディレクティブを使わない(暗黙の index.html を必要としない)構成だったので
LoadModule dir_module modules/mod_dir.so
をコメントアウトして無事WebDAVでのディレクトリリネーム&削除ができるようになりました。
早く直ってほしいですねー。
※WebDAV関連でぐぐったとき出てくる記事が軒並み古くて今回の 2.4.4 固有の症状にたどり着くまでに時間かかった… みんな最新版ApacheでWebDAVなんかしないのかしらん?
2013年1月1日火曜日
あけましておめでとうございます
ᗘᐨᘙᐥᘑᐨ々ᔹᐓᕀᐓᕶᐓᕌᐓᓽᐓᔦᐓᓺᐓᓬᐓᓟᐓ。
ᓧᐓᕼᐤᐕᐰᔁᐓᗓᐹᔝᐓ、ᗱᐰᔂᐓᕴᐤᘺᐟᔥᐓᙑᐮᔔᐓᔑᐓᓮᐓᔦᐓ。
ᓰᐓᔁᐓᓦᐓᓻᐓᐞᐴᗲᐟᔂᐓᕃᐦᓗᐓᗏᐦᔒᐓᔕᐓᓪᐓᓷᐓᓷᐓ、ᒩᐩᖊᐹᔂᐓᔕᐓᓙᐓᖝᐷᔔᐓᓹᐓᓗᐓᓲᐓᓻᐓᓗᐓᓙᐓᓞᐓ「ᓪᐓᔚᐓᓙᐓᓟᐓᓽᐓᓗᐓᓽᐓ」ᓻᐓᘍᐹᑪᐷ?ᓪᐓᓹᐓᓗᐓᔑᐓᓪᐓᓲᐓ。ᕴᐤᘺᐟᓟᐓᙜᐪᓪᐓᓤᐓᔟᐓᔃᐓᓇᐽᕴᐤᔥᐓᓻᐓᔞᐓᓪᐓᓞᐓᓽᐓᓗᐓᔦᐓᓳᐓᔠᐓᓙᐓᓽᐓᖏᐓᓻᐓ。
ᓺᐓᔕᐓ。ᒩᐩᖊᐹᓴᐓᔚᐓᓶᐓᓻᐓᙣᐭᕬᐫᓟᐓᖬᐣᔢᐓᔝᐓᔑᐓᓪᐓᓲᐓᔀᐓ?
ᗜᐹᔟᐓᕴᐤᔁᐓᓗᐓᔞᐓᕌᐓᕙᐓᕀᐓᓽᐓᗡᐨᓻᐓᖭᐠᑾᐤᓬᐓᔟᐓᔃᐓᑡᐷᓾᐓᓽᐓᔟᐓᔞᐓᔦᐓj
ᕩᐟᘙᐥᔂᐓᓰᐓᓶᐓᓴᐓᔥᐓᖝᐯᖮᐧᓪᐓᓹᐓᕀᐓᕺᐓᖀᐓᕀᐓᕺᐓᖀᐓᓪᐓᓹᐓᔒᐓᔛᐓᓙᐓᓞᐓᓽᐓᖏᐓo(゚Д゚ = ゚Д゚)o
ᓧᐓᕼᐤᐕᐰᔁᐓᗓᐹᔝᐓ、ᗱᐰᔂᐓᕴᐤᘺᐟᔥᐓᙑᐮᔔᐓᔑᐓᓮᐓᔦᐓ。
ᓰᐓᔁᐓᓦᐓᓻᐓᐞᐴᗲᐟᔂᐓᕃᐦᓗᐓᗏᐦᔒᐓᔕᐓᓪᐓᓷᐓᓷᐓ、ᒩᐩᖊᐹᔂᐓᔕᐓᓙᐓᖝᐷᔔᐓᓹᐓᓗᐓᓲᐓᓻᐓᓗᐓᓙᐓᓞᐓ「ᓪᐓᔚᐓᓙᐓᓟᐓᓽᐓᓗᐓᓽᐓ」ᓻᐓᘍᐹᑪᐷ?ᓪᐓᓹᐓᓗᐓᔑᐓᓪᐓᓲᐓ。ᕴᐤᘺᐟᓟᐓᙜᐪᓪᐓᓤᐓᔟᐓᔃᐓᓇᐽᕴᐤᔥᐓᓻᐓᔞᐓᓪᐓᓞᐓᓽᐓᓗᐓᔦᐓᓳᐓᔠᐓᓙᐓᓽᐓᖏᐓᓻᐓ。
ᓺᐓᔕᐓ。ᒩᐩᖊᐹᓴᐓᔚᐓᓶᐓᓻᐓᙣᐭᕬᐫᓟᐓᖬᐣᔢᐓᔝᐓᔑᐓᓪᐓᓲᐓᔀᐓ?
ᗜᐹᔟᐓᕴᐤᔁᐓᓗᐓᔞᐓᕌᐓᕙᐓᕀᐓᓽᐓᗡᐨᓻᐓᖭᐠᑾᐤᓬᐓᔟᐓᔃᐓᑡᐷᓾᐓᓽᐓᔟᐓᔞᐓᔦᐓj
ᕩᐟᘙᐥᔂᐓᓰᐓᓶᐓᓴᐓᔥᐓᖝᐯᖮᐧᓪᐓᓹᐓᕀᐓᕺᐓᖀᐓᕀᐓᕺᐓᖀᐓᓪᐓᓹᐓᔒᐓᔛᐓᓙᐓᓞᐓᓽᐓᖏᐓo(゚Д゚ = ゚Д゚)o