【今日のニュースから】Amazonのやらせレビューなんとかならんのか

Amazon ロゴ

先日義実家に行ったときに義母が「Amazonで買ってみた包丁が全然切れない」とこぼしていたので見てみたら、確かに格好は良いけれど付いているのは刃というよりは鉄板で、これを切れるようになるまで研ぐのは相当手間掛かりそうだなあ(電動の研ぎ機が必要なのでは)という感じだった。なんだこれは。それを告げて返ってきたリアクションは「5,000円ぐらいしたのに」「レビューもたくさん付いてたのに」ということで、気になって買ったという商品を見てみたら、無銘の包丁に☆5のレビューが3,000件ぐらい付いてて、うひーってなった。純粋な心で欲しいものを探していれば、これだけ評価されてたら安心だっつって買うよなあ。普通。Webの酷さに慣れて擦れてしまった自分の感覚だけで購入した義両親を責める気はおきない。悪いのは彼らではなく、どう考えたって偽レビューで消費者を釣る出品者の方だ。

続きを読む

AWSの料金が未払いだった件について解決 -> Amazonカードのセキュリティが厳しくなってた

銀色のクレジットカードのイラスト 先日、AWSの料金が未払いになっててクレジットカードを切り替えて何とかしたと言う話を書きました。 なぜかAWSの料金が未払いに(クレジットカードが使用不能に) | mutter Amazonからは「事情はクレジットカード会社に聞いてね」といわれたので、クレジットカード会社(三井住友カード)に問い合わせていたのですが、電話が掛かってきました。 担当者曰く、

今現在、世界的に、Amazonカードを使ってAmazonで買い物をする場合に不正利用が多くなっておりまして、セキュリティレベルを上げていました。その影響でお客様のAmazonの決済が失敗してしまっていたようです。本日制限を解除いたしましたので、もう一度決済をお確かめいただけますでしょうか。
なるほど、そういうことだったのね。個人的な疑問としては、ショッピングとしてのAmazonとAWSとでは同じAmazonでも請求元が違うし、ショッピングで不正利用が多いのはわかるけどAWSは関係ないんじゃねえのと思って聞いてみたんですが、三井住友カードの人はショッピングサイトとAWSの違いがよくわからず説明とお詫びがもう一度始まってしまったので諦めました。三井住友カード的にはどっちも同じAmazonという認識みたいです。そうなのか。 ネットでの買い物のほとんどをAmazonでしているし、メリットを生かすためにAmazonカードをメインで使ってて実際便利なんですが、まさかそういうリスクがあったとはなあ。まあ「Amazonでの利用に限って」ということなので、電気代が落ちなくて電気止まるとかそう言うことになるわけではないんですけど。 何はともあれ解決して良かったです。 同じようなことになった人はカード会社に聞いてみましょう。

どうでも良いけどクレジットカード会社って電話好きだよな

緊急性がある可能性を考えてってことかも知れないけど、メールで問い合わせてるならメールで返答してくれれば良いんですけどね。それほど緊急性はないからメールで聞いてるんでね。カード会社に問い合わせる人ってそれだけ切迫してる人が多いってことなのかもな。限度額いっぱいとか、紛失したとか。中の人たちもお疲れさまです。

続きを読む

ログインユーザーでメールログを閲覧出来るようにする

プログラミング・コーディングのサムネイル画像 メールログを監視してbouncedとなったメールアドレスに対して何らかの処理を行うということをしたいのだけど、ログの解析は何とかなるとしてもそもそもメールログが読み込めない。考えてみれば当然のことで、メールログって基本的にroot権限なんですよね。そして600。

$ stat /var/log/maillog
Access: (0600/-rw-------)  Uid: (    0/    root)   Gid: (    0/    root)
このままだと不便なのでログインユーザーでメールログを読めるようにしたい。ただセキュリティ的な意味で誰でも読めるみたいなことにはしたくないので、ちょっとひねって、グループで管理することにしてみました。やってみた手順はこんな感じ。
  1. ログ閲覧ユーザー専用のグループを作成する

    # groupadd logadmin
  2. ログインユーザーをログ閲覧ユーザー専用グループに追加する
    # usermod -a -G logadmin vagrant
  3. メールログのパーミッションとグループを変更する

    # chmod 640 /var/log/maillog
    # chgrp logadmin /var/log/maillog

  4. ログローテーションの設定を変更する
    # vi /etc/logrotate.d/syslog
    
create 640 root logadmin ← endscriptの直下に追加

  5. ログインし直して確認
こうすることでメールログファイルは所有者である「root」に閲覧と書き込みが、「logadmin」グループに所属しているユーザーには閲覧のみが認められるようになります。で、そのグループにログインユーザーを登録しておけば、ログインユーザーがメールログを読めるという寸法。 ついでにログローテーションの設定を変更して、ローテーション後に作成される新ファイルのパーミッションも変えるようにしておきます。 パーミッションを変える以上どうしたってセキュリティは下がるわけですが、変更を最低限にすることでまだマシかなあと思うのですがいかがでしょうか。ダメかな。

参考

Linuxねた帳: 一般ユーザでログを参照する syslogのアクセス権限を変更する : What Would Jesus Do?

続きを読む

ブログをSSL化しました。

03_01.jpg 自動的にリダイレクトするようにはなってますが、今後は以下のURLでアクセスしてください。 よろしくお願いします。 https://nplll.com 長いこと「やらなきゃなー」と思いつつ面倒で放置していたんですけど、ちょっと時間が取れそうなタイミングが合ったのでえいやっとやってみました。結果から書くと、SSLに対応するだけだったらくっそ簡単なので、コマンドライン打つのに抵抗が無い程度の人はみんな今すぐやったら良いと思う。もっと早くやれば良かった。うちの環境は、ムームードメイン+さくらVPSなんだけど、さくらのSSLを使えば超簡単にできるのでオススメ。価格も年972円と超安い。 具体的な作業手順はこちらを参考にしてください。 SSL証明書を取得しよう – Qiita さくらVPSにSSL証明書を導入しHTTPS通信の構築 – Qiita サイト認証とか確認とかクローラー巡回のタイミング次第で10-30分程度の時間が掛かる場合もあるけれど、順を追ってやっていけば大丈夫。

続きを読む

【フィッシング】パスワードがクラックされて身代金が要求されました!【ネタです】

ph.png 誤爆することも少ないので普段あんまりGMailの迷惑メールフォルダは見ないんですが、なんとなしに開けたらこんなメールが来てました。長めの黒塗りは僕のメールアドレス、短い黒塗りはパスワードです。日本語がだいぶ怪しいですがこの後にこういう記述があり、

あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!) あなたのカメラのプログラムを使用してスクリーンショットを作成しました。 その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。 これらの写真を連絡先に送信すると素晴らしいことがあります。 しかし、あなたがそれを望んでいないと確信しています。 したがって、私は沈黙のためにあなたからの支払いを期待しています。 私は$861が良い価格だと思います! Bitcoin経由で支払う。 私のBTCウォレット: 12ziVv4aQkZTA1gj86Y9uYQByG4CcdVcTA
インカメラをクラックしてお楽しみ中のあなたのスクショを撮影した、ばらまかれたくなかったらBTCウォレットに$861支払えと言う要求のようです。 残念ながら僕の使用しているPCにはカメラは付いていないので、そもそもスクショを撮られることが無いですし、確かに記述されているパスワードは遠い昔どこかのサイト(アキバ系のPCパーツショップ?)で登録したパスワードのように思えますが、基本的に全てのサイトでパスワードを変えているので流出してもあまり困らないし、どこのサイトのものかもよくわからないので実害が全くなく、全然驚けませんでした。殆どの人は僕と同じように馬鹿らしいと一蹴するでしょうが、
  • 同一のパスワードを使い回していて表示されているパスワードに心当たりがある
  • PCにカメラがある
  • PC使用中に人に言えない行為に及んでいることについて、身に覚えがある
  • 心配性
などの条件が当てはまる人であったら心配にもなるかも知れません。身代金要求って最近流行ってるって聞くしな……万が一……とか言って。 間違っても振り込まないよう、身に覚えがあっても振り込む前に警察に一度相談してみるようにしてください。大丈夫だと思いますけど、ネットに不慣れな高齢者だと色々ある可能性があるので。うちの親父とか大丈夫かな。

続きを読む

サイトをSSLに対応させないとGoogle Chromeに怒られるようになるらしい

全てのHTTPサイトに「保護されていません」の警告、「Chrome 68」リリース – ITmedia エンタープライズ

米Googleは2018年7月24日、通信の内容が暗号化されないHTTPサイトについて、同日リリースしたWebブラウザ安定版の「Chrome 68」からは、全てに「Not secure(保護されていません)」の警告を表示すると発表した。  これは、WebのHTTPS暗号化を推進するGoogleが以前から予告していた措置。バージョン67までのChromeでは、HTTPサイトはアドレスバーのURLの左側に「i」のアイコンが表示され、クリックすると「このサイトへの接続は保護されていません」という警告が表示されていた。  これに対してChrome 68からは「i」のアイコンに加えて、「Not secure(保護されていません)」の文字が表示される。

マジかー。 ずっと対応しないとなあと思いながらもつい面倒で放置していた、自サイトのSSL問題。確認ウィンドウが出るとか、ページ遷移前に警告画面が表示されるとか、もっと派手にやるのかなと思ったけど、以外と大人しいのね。 ユーザー登録もコメント欄すらないので特に困らないと言えば困らない(フォーム送信するのはブログの管理ツールくらい)けど、まあでもそのうちもっと警告が大きくなるかも知れないし、ここらで対応しておく方がいいかな。。 幸い、今は無料で十分な機能を持つSSL証明書発行サービスがあるらしいので、次の休みにやろうかなと思います。こういうとこがレンタルサーバだと楽なんだけどなー。まあでもその自由が好きでVPSにしてるわけだから。自分で設定しないと。この面倒さ加減も趣味としては楽しみの一部ではあるね。

参考にする予定のサイト

Let's Encrypt 総合ポータル さくらVPSにSSL証明書を導入しHTTPS通信の構築

続きを読む

AWSのMFAを解除しないまま機種変更してしまった【\(^o^)/】

AWS

  1. iPhone機種変更
  2. 新iPhoneの「Google Authenticator」をチェックして設定が復元できているのを確認
  3. 旧iPhoneをリセット
  4. 翌日出社
  5. 新iPhoneの「Google Authenticator」を見てAWSの設定がないことに気付く
  6. MFA認証出来なくてAWSにログイン出来ない
  7. \(^o^)/
マジか。 しかもタイミング悪いことに、管理者が連休を取っていて翌々日まで出社しない。 「設定が復元できているのを確認」て書いてるけど、確認したのはGoogleのものだけ。手動で追加したものは復元されないんだって。 マジかー

続きを読む

LastPassのBASIC認証が効かないときは

basic.png パスワードの管理については、ローカルのメールソフトにメモ書きしていた時代、サービスの頭文字と共通の4-6文字を使っていた時代、ブラウザに保存させていた時代など色々あるのですが、最近ではもっぱらパスワード管理サービスの「LastPass」を使って管理しています。 LastPass|パスワード マネージャ、自動フォーム入力、ランダム パスワード ジェネレータ、安全なデジタル ウォレット アプリ ChromeでもFirefoxでも動き、iPhoneでもアプリを通じてパスワードを管理することが出来てとても便利です。この導入のおかげで、自分が覚えやすいパスワードを設定することがなくなり、まあ今どきはランダムな文字列なら強いとは限らないわけですけど(cf. あのパスワード規則、実は失敗作だった – WSJ)、だいたい12文字から16文字程度のサービス毎に異なったパスワードを設定するようになって、どこかで何かあっても芋づる式にログイン情報を抜かれるということはなくなりました。 (その代わり、自分で覚えなくなったけど) LastPassはじめパスワード管理サービスについては、紹介する記事はたくさんあると思うのでそちらを見ていただくとして、LastPassを使っていて唯一不便を感じるのは、ブラウザのBASIC認証(上記画像のようなダイアログ)に対応していないこと。いつかのリリースで対応したとか、対応する設定があるとか読んだ気がするんですけど、それらしき場所をいじっても対応してくれないので多分対応してません。

で、どうするか

セキュリティ維持を考えるなら「諦める」一択なんですけど、今どきBASIC認証使ってるところなんて大してセキュアな場所ではないことが多いので、逆に割り切って、ブラウザで管理することにしたらいいんじゃない?(セキュアな場所では使わないでくださいね) 通常、LastPassでパスワード管理している時は、ブラウザのパスワードマネージャはオフにしていると思います。パスワードマネージャをオフってことはパスワードを管理しないって言う意味と思いきや、Chromeの場合、新規のパスワードを保存しなくはなりますが、既に保存しているパスワードは自動入力します。それでいいのかと思いますが、そういう仕様です。 というわけで、
  1. 「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オンにする。
  2. パスワードを保存したいサイトにアクセスしてBASIC認証
  3. パスワードを保存
  4. 「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オフにする。 ← 忘れずに
という手順でBASIC認証のユーザー名とパスワードを保存することで、次から自動で入力してくれます。 LastPass使ってないじゃん! まあでも、BASIC認証のユーザー名/パスワードくらい、良いんじゃないですかね。ええ。

続きを読む