読者です 読者をやめる 読者になる 読者になる

伊達要一の書棚と雑記

伊達要一の読んだ本の紹介と書評、それと雑記

今日のはてブ(2016/11/03)(2)

f:id:yohichidate:20141228094720p:plain

1テーマ1記事でクイックな更新を心がけます(心がけるとは言っていない)。

以下の記事の続きとなります。

yohichidate.hatenablog.com

実は盲点だったWebサービスの悪意あるアップデート

HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

周知兼ねてブクマ。自動的にアップデートされるようなサービス・アプリケーションってこういう部分が色々と難しい。

2016/11/03 16:11

Google Chrome拡張機能というと、使う人はガリガリ使うけどそうじゃないと案外放置だったりするわけですが。

今回の件を簡単にまとめると、かなり人気のあるChrome拡張機能「HTTP Headers」*1マルウェアが仕込まれてアップデートされ、色々なWebサービスのIDやパスワードが抜かれていたという話です。

詳しい技術的な話ははてブした先に書いてあるので省きます。
ここで書きたいのはWebサービスの安全性というところです。

Chrome拡張機能自体、PCにインストールするわけではなくてブラウザ上に機能を追加するという仕組みです。当然OS上に何か新しいアプリケーションを導入するわけじゃないので、インストールの警告も出ないわけで。オープンソースのソフトウェアなんかであれば、通常インストールする際にWindowsでもLinuxでも特権昇格をしないと出来ないわけで、一応仕組み上怪しいものを弾くことができるけど、これはそれも出来ない。
知らぬ間に悪意あるアップデートが仕込まれてIDやらパスワードを抜かれているという寸法です。

自動アップデートされるソフトウェアって増えているけども、Webサービス系を中心に関してはこの手の対策が等閑になっているきらいがありますね。はてブ先にも書いてますね。

自動アップデートされるソフトウェア全般において、これは避けようのない事故なんですかね?(問題提起)

HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

例えば大概のOSにインストールソフトウェアであれば、setup.exeを叩くときに明示的にアップデートに気づけるんですよ。これはアップデートでも同じで、モジュールをダウンロードするところまでは自動的に動いてもsetup.exeが実行される段階で止められる。そこでアップデート内容を確認して怪しければインストールしないで済む。
ところがWebサービス系の場合はそれも無いんですよね。事実このHTTP Headersでもアップデートについての表示が出なかったわけですし。

これ、Chrome拡張機能に限った話じゃなくて、例えばInternet Explorerの後継であるEdgeも拡張機能を持っているしFirefoxなんかもそうですね。同じような問題が発生しないという保証はどこにもありません。
恐ろしいことだと思いますよ。昨日まで普通に使っていたサービスがいきなり悪意あるものにすり替わる。ちょっとしたホラー小説みたいですよ。
同時にコミュニティ的に「こんな機能作ってみたよ」というノリで拡張機能を公開するというエコシステムだったところが、将来的にiOSのアプリケーションのように事前にGoogle等の審査を受けないと公開できないだとか、公開するためには一定金額を支払う必要があるとか、コミュニティを毀損する方向になりかねない。

マルウェアが仕込まれてしまう可能性があるということの恐怖も去ることながら、そういう形でエコシステムが破壊されてしまってWebの世界がつまらないものになるということも恐怖もあるあたり、真剣に考えないと拙いことだと思います。

*1:HTTP通信で送受信される情報を表示する拡張機能

FDCloneを使ってLinux仮想マシンのファイル管理をラクラク化(1):導入と日本語化

f:id:yohichidate:20141228094821p:plain

仮想マシン全盛の時代だからこそファイラが流行る

仮想マシンの利用が企業だけじゃなくて一般人*1でもごくごく当たり前の世の中になりました*2
コンピュータを趣味とする社会人*3や学生*4でも気軽にそして廉価にサーバ資源を操作出来るようになり、楽しい幻想郷ITライフを送れるあたり大変に喜ばしいことであります。

一方、こういった仮想マシン上のサーバ資源を操作する際はどうしてもTerminal*5経由でCUIを叩く必要があります。これ自体はさほど苦にならない*6ものでありますが、一方でWebサーバなどで大量のファイルが保管されていたり、アプリケーションの実行ログが大量にあったりすると一覧するのがしんどいことになります。Terminalで覗けるファイルの数には限りがありますからね。さらに面倒なのがディレクトリの移動です。いちいちcdコマンドで移動するのは正直タルいわけで。

これは大昔のパーソナルコンピュータ*7でも同様の問題があって、MS-DOSという一見さんお断り的なOSを操作するときにも悩ましい問題でした。その解決策のひとつが「ファイラ*8」です。
GUI全盛となった現代では半ば死語になっているきらいもありますが、どっこい仮想マシン全盛の世の中で再び流行るのではないかと睨んでおります。

流行る云々はさておき、便利なので入れてしまいましょう。というわけで本日はMicrosoft Azure*9上のUbuntu Server 16.04 LTSにFDCloneを導入して日本語化するところまでやってみたいと思います。
このFDCloneは名前からも分かる通りMS-DOS時代の必須アプリと呼ばれた「FD*10」のクローンアプリです。クローンアプリというと今いちピンと来ないかもしれませんが、異なる動作環境で元のアプリと同じような挙動を再現した別物のアプリと思ってください*11。要するにFDっぽくLinux環境のファイル管理が出来るソフトということです。

そうそう、忘れてはなりません。大いなる元ネタであるこのFDを開発された出射厚さんは2004年11月7日に逝去されました。
現代にも残る大いなる遺産を残した先人に感謝を。その魂の平穏なることに祈りを。

なお、CentOSの場合(マシン上でのコンパイルが必要)は別の機会にご紹介しようと思います。事前準備が結構ややこしいので。今回はお手軽バージョンということで。

*1:そりゃ逸般人の間違いだろ、と呼ぶ声あり

*2:意見には個人差があります((c)さだまさし

*3:斜壊塵だろ、と呼ぶ声あり

*4:我臭ェだろ、と呼ぶ声あり

*5:Windows環境からだとTeraTermPuTTYなどがある

*6:意見には個人差があります((c)さだまさし

*7:日本だとPC-8801だとかPC-9801とかの時代のマシンですな

*8:壊了ではない

*9:AWSでもさくらのVPSでもないのは私がMicrosoftに魂を囚われているから

*10:もちろんフロッピーディスクでもマツダRX-7でもない。

*11:厳密な定義を話すとバイナリの互換性やらエミュレーションとの相違とか、そもそもパクリ云々の話が出て来るので省略

続きを読む

今日のTechMemo(2016/10/13):Visual Studio 2015 Community の日本語化

カテゴリがTechMemoになってますが、自分が詰まったところを記録するためのメモ帳代わりです。

f:id:yohichidate:20141228094821p:plain

とりあえずメニューが全英語は面倒くさいので日本語化をしたいです。というわけで困ったときにQiita頼み。

qiita.com

ほとんど答えがありました。続きを読む以降は車輪の再発明状態の個人的メモ。上記リンク先のパクり状態です。

続きを読む

本日の更新(2016/10/06)

昨日「ネタがありません」とか書いたら、MSのパッチで環境を吹き飛ばされました。ネタは無くてもネタの神様には愛されているのかもしれない、伊達要一です。

f:id:yohichidate:20141228094821p:plain

2016年10月のWindowsセキュリティ更新プログラムは様子見が吉(2016/10/06 20:57現在)

2016/10/06 20:57現在、Windows系のセキュリティ更新プログラムの適用は見送った方が無難です。場合によっては「PNP_DETECTED_FATAL_ERROR」による無限ループに陥り、マシンのクリーンインストールが必要になる可能性があります。






というわけで、MSのパッチに環境を吹き飛ばされました(大事なことなので2回書いてやる)

いや、ね。実のところズボラな性格もあって今までは半月遅れくらいで適用してたんですよ。その上で64bit環境というのもあってオプションも入れていたんですね(64bit用モジュールがオプションでしか配信されないことがままあるので)。たまたま、今日は早めに配信に気づいたのでまとめて入れたら「PNP_DETECTED_FATAL_ERROR」=>再起動=>「PNP_DETECTED_FATAL_ERROR」の無限ループを食らってこのザマです。

一応Panasonicのマシンってリカバリ領域がSSDの中に入っていてマシンそのものは立て直せたのですが、この後の環境構築が無茶苦茶憂鬱です。
いっそ、立て直した後はマシンの中身は最小限にしてやろうかとおもってもいます。

正直、秀丸等最低限のソフトウェアを入れ直すだけでも非常に面倒で、今から気が重いです。

というわけで、暫くは(最悪半月くらいは)様子を見た方がよいでしょう。久々にしくじりました。

【ソフトウェアアップデート】MARS for MS-DOS ver5.14 /MARS for Windows Version 0.12

f:id:yohichidate:20141228094821p:plain

世間では北陸新幹線の開業が騒ぎになっていますが、その影で並行在来線第三セクターになったりと運賃計算界隈もかなり変動が起きています。

ってなわけで、以前に紹介したMARSのアップデート情報です。

yohichidate.hatenablog.com

yohichidate.hatenablog.com

基本的には北陸新幹線開業とそれに伴う第三セクターへの路線譲渡/開業に伴うところが中心ですが、連絡運輸規定周りの情報が不足しており、推測による実装の部分もかなり残っている感じです。まあ、この辺りは追々修正がかかる感じということを承知の上で使えばいいでしょうね。

個人的にはそこまでマニアックな経路を使うこともそうそう無いので、それほど困ることは無いんですが。

以下、添付ドキュメント「marsw012.txt」より引用です。

続きを読む