@Blog

高校生だったら．今でも変わらないもの．#雑記

2024.07.19

Logging

おはようございます．ふと思い出したことの中で自分が高校生か高校卒業後だったかな？パソコンを祖父に買ってもらった．最初のパソコンはソニーのデスクトップVAIOだった事を覚えている．

高校卒業後あたりから、独学でHPなどを趣味で作り出し最終的にバックエンドの開発をするまでになったのだけども．もし今、高校生だったら自分は何をしているのだろうかと思うと、やっぱりcodeを書いているだろうなと思います．

今だったら、人工知能などのことに興味をもっているかもしれない．むかし、HPを作るにはPerl言語というものを使用して掲示板などを構築するのが一般的だった．今ではいろいろな言語でサイトを構築することが出来るのだけども、その当時はPerl言語が一番流行っていた．その後、動的サイトを構築するのにActionScriptというものを使用するようになっていたんだけど、脆弱性が発見されて直ぐに下火になって今ではほぼ枯れた．

そんな感じでプログラム言語には流行りがある．今ならPython言語を学んでいる方が良いらしい．ただ、WEB系は今でもPHP言語が手堅い、PHP言語とReact言語、あとTailwind（CSSフレームワーク）などを学んでいると何とかなると思います．

流行りはあるけど、いま自分が高校生だってもプログラミング好きには変わらないだろうなって．

明日へ続く．

タグ

ActionScript, Code, CSSフレームワーク, Perl言語, PHP言語, Python言語, React言語, tailwind, ソニー, デスクトップVAIO, プログラミング好き, プログラム言語, 下火, 人工知能, 手堅い, 掲示板, 独学, 祖父, 脆弱性, 言語,

【過去】地図を共有するアプリが個人情報を垂れ流していた今もアプリは健在みたい．

2024.06.30

Logging

おはようございます．若者たちに人気だった地図を共有するアプリが個人情報を垂れ流していたことがありましたよね．アプリ名は「NauNau（ナウナウ）」でしたね．

良くありがちなのは非公開と公開の設定ミス．あり得ないと思いきや開発側からするとあり得る話しになると思いますが、そもそも非公開と公開っていの二種類しかないのでこういう事態になるだろうと思っています、開発側のサーバー設定がデフォルト非公開とかに設定になっていれば防げたかも知れませんが．因みにNauNauはそんな単純なものでは無さそうです？

ちゃんと非公開にしていてもニコニコ動画のようにセキュリティーの脆弱性から侵入する場合もあり、何とも言えないですね．ニコニコ動画も7月1日に個人情報を公開される事になるでしょう．可哀想．

公開された情報に接触出来ないようにすればある一定の保護にはなると思います．それが出来るのは日本ではNTTになるわけです(抜け道として衛生通信があります)．

一般の人々が知らないことが世の中にはあると思います．ネットを制するものが世界を・・・．

明日へ続く．

タグ

NauNau, NTT, アプリ, アプリ名, サーバー設定, セキュリティー, デフォルト非公開, 一定, 世, 事態, 人々, 保護, 地図, 抜け道, 脆弱性, 若者たち, 衛生通信, 設定ミス, 開発側, 非公開,

新着25記事の配列を取得する弁々。

2024.02.05

Logging

おはようございます、WPで新着25記事の配列を取得する方法は下記の通りになりますが、WP外から新着記事を取得するには、どうしたら良いですかという話を過去にも書いたかもですが改めて書こうと思います。RSSで取得する方法もありますが、それはナンセンスかと思います、外部サーバーからならその方法がベストかもしれないですが、自サイトでは、そんな事をしなくても良いです😌。

        // 新着25記事の配列を取得する
        $new_posts = get_posts([
            'post_status' => 'publish',
            'posts_per_page' => 25,
            'orderby' => 'date',
            'order' => 'desc',
        ]);

下記のファイルを呼び出せばWPの関数はだいたい使用可能になります。脆弱性のコードを書かない限り安全かと思います。このファイルはWordPressのディレクトリ直下にあります。このファイルを呼び出せば前述の通りWP関数を使用できるようになります。

wp-load.php

明日へ続く。

タグ

$new_posts, desc&#39, get_posts, orderby&#39, post_status, posts_per_page, publish&#39, WordPress, wp, wp-load.php, WP外, ディレクトリ直下, ナンセンス, ファイル, 前述, 外部サーバー, 脆弱性, 通りWP関数, 配列, 関数,

オニギリペイ🍙と歩む道。#闇の奥は深いぞ #笑えない話

2022.09.12

Logging

おはよう御座います🙇。脆弱性の動画（徳丸先生の動画を）をどんどん見ています。

昔、勤めていた会社にはイロイロと脆弱性があり、それが今でも残っている気がします。例えばこれは消えていると思いたいのですが、クレジット決済のログをサーバーに蓄積出来るようにしていました。

これ本当はしたら駄目なんですけどね。やっちゃっているです、パーミッション対策や鍵かけているですけども元に返っていたら危ういですね、蓄積データは年々溜まっていきます。これを辞めたいと言ったのですが、また決済が失敗したら駄目だからという事で残った脆弱性です。これを辞めないと言ったのは社長ですから仕方がありません。

自分は社長に結構意見を言っていたので煙たい存在だったかも知れません。入社当時は役に立ちたいという思いがありましたが、段々と疑問を持ちはじめていきました。一番の信頼が薄れていったのは仕様を教えてくれなかった事にあります。どういう様に動作すれば正しいのか、それが分からない状態でリリースしてお客様からクレームが来たこともあります。

そういう日々の積み重ねが大きくなり、社長との関係が希薄になりシステムに影響していったように思えます、自分がもう少しニュアンスを変えて話していたら違っていたかもと猛省しています。

言葉遣いは大事ですよ。昔の職場に戻れるなら戻りたいですが、そうもいかないような分かれ方をしていますからね、無理ですね。システムからカート回りまで、今でも頭に入っているので自分なら１週間で全店舗のシステムを改修出来ますが、後任がどこまで出来るかは分からないです。

タグ

いろいろ, おしゃべりひろゆきメーカー, カート回り, クレーム, サーバー, パーミッション対策, ひろゆき, ログ, 仕方, 入社当時, 分かれ方, 少しニュアンス, 後任, 徳丸先生, 段々, 職場, 脆弱性, 蓄積データ, 言葉遣い, 鍵,

若気の至り若気の過ちか？Ｍｒ.ROBOT🤖

2022.09.11

Logging

こんばんは、深夜便で東京に向かってます（嘘です）。

今日は緊急で動画廻してます（記事を書いています）。私が昔書いたコードに大きな脆弱性が合ったので、そのコードの穴だけ塞ぎました。まだ、色々な所に穴があるかもしれないですが・・・。

この脆弱性に関しては知っていたのですが、昔のコードをそのままにしていたのを失念していたのです、それが大きな過ち…。仕事では重大インシデントになりますね😱。

<?php
 function defence_xss($data=""){
    if(is_array($data)){
        foreach ($data as $key => $value) {
            $data[$key] = strip_tags($value);
            $data[$key] = htmlspecialchars($data[$key],ENT_QUOTES);
        }
    }else{
        $data = strip_tags($data);
        $data = htmlspecialchars($data,ENT_QUOTES);
    }
    return $data;
}

今回、塞いだのは初歩の脆弱性です、、、POSTやGETで送られるデータに悪意のあるコードなどを埋め込んでハッキングを行う手法です。またセッションジャックとかそういうのもありますので、気になる方は調べてみてください。

追記して書いときます。昔勤めていた会社でも何度か、この手の手法でハッキングに合いました。脆弱性が解消されているかは分かりません。XSS攻撃は防げても、これではSQLインジェクション攻撃は防げません、昔のコードで動いているとしたら修正箇所は無数にあるので一日では直せないでしょう。

昔勤めていた会社はShopifyへシステムを移行しているようですが、それが良いのかは分かりません、自分だったら物足りなさを感じると思います😌。

タグ

array, as, data, defence, foreach, function, gt, htmlspecialchars, if, is, key, lt, Mr, php, quot, ROBOT, strip, tags, value, xss, インシデント, コード, それ, 今日, 仕事, 動画, 嘘, 失念, 所, 昔, 東京, 深夜便, 私, 穴, 緊急, 脆弱性, 色々, 若気, 記事,

お気づきかと思いますが、サーバーを密かに変えました。（密かではないですけど。）

2022.01.08

Logging

お気づきかと思いますが、サーバーを密かに変えました。変えたのは年末あたりです、それから裏と表でサーバーをゴニョゴニョして何とか運用している感じです。変えた理由は経費削減ということが一番の理由ですね😌。

変えたことにより表示速度が若干早くなっているかのように思えます、サクラレンタルサーバーでは土台はnginx + Apache2.4系だったらしいので「.htaccess」が使用できていたのだと思いますが、現在、運用しているサーバーは nginxで動いております。 nginx上でApacheをどうやって動かせばよいのか、知見がないのでnginxだけ動いております。調べればやり方が書かれているサイトがあると思います。

12月にlog4jという脆弱性が見つかった事により、ApacheやJAVAなどに影響を与えているようです、そんな事もあったので今回はApacheサーバーを避けてnginxで構築したわけです。IPを調べるとどこのサーバーを使用しているか分かると思いますが、敢えてどこのサーバーのどのプランを使用しているかの公表は控えさせてもらいます。

因みにサーバーが落ちてもメールサーバーは別サーバーを使用しているので影響はないようにしています。今回分かったことはクラウドと言われているサーバーは、クリック一つでいろいろ出来るようになっているけれども、それを使用すると別途お金が発生するように設計されていたりしてます。なので自分はそこらへんお金を使いたくないので手動で対応しています。

結局のところ、VPSでゴリゴリとサーバサイド知見がある人にはAWSやGCPというサービスはポチポチ押すだけで、サーバー構築できるけど、もったいないと思うだけなのかもしれません。AWSやGCPの良い所は可用性だなって思えます。そしてオンプレと違ってサーバーが落ちてもAWSやGCPの障害のせいに出来ることかもしれません。

強者になりたい今日このごろでした・・・現場からは以上です。

タグ

12, 2.4, 4, Apache, htaccess, java, log, nginx, こと, ゴニョゴニョ, サーバー, サイト, さくら, やり方, レンタル, 一, 上, 事, 今回, 使用, 削減, 土台, 年末, 影響, 感じ, 構築, 現在, 理由, 知見, 経費, 脆弱性, 若干, 表, 表示, 裏, 速度, 運用,

お気をつけて。

2021.02.28

Logging

zip358で検索するとzip358.comが終了しましたというサイトが何件か表示されますが、それをクリックするとweb attackでブラウザの脆弱性よりパソコンに侵入しようとしますのでお気をつけてください。なので、zip358.comとアドレスバー（URLバー）に入力することを強くオススメします。

ちなみにzip358.comが閉鎖するとか考えていないし、アメーバブログとかに移行するつもりもないです。グーグルやyahoo検索でも普通のサイトが標的になるということがあるので、必ずパソコンにはウィルススキャンのソフトを導入することをおすすめします。例えばノートンというソフトやウィルスバスターとかですかね。自分が思うにノートンは結構優秀なソフトだと思います。

たまに自分の作ったexeソフトもウィルスと間違って削除されることもありますが・・・。

という事で、くれぐれもお気をつけてください。

タグ

358, attack, com, exe, url, web, Yahoo, zip, アドレス, アメーバ, ウィルス, ウィルスバスター, おすすめ, お気, グーグル, クリック, くれぐれ, こと, サイト, スキャン, ソフト, それ, たま, つもり, ノートン, バー, パソコン, ブラウザ, ブログ, 事, 何件, 侵入, 優秀, 入力, 削除, 導入, 普通, 検索, 標的, 移行, 終了, 脆弱性, 自分, 表示, 閉鎖,

Electronの脆弱性でアレをtrue設定はNGですよね。

2020.11.23

Logging

Electron(エレクトロン)でrequire（りくわいあ）というものを使用するとエラーになります。Electronの昔のバージョンはこれが使用できたんだって今はこれを脆弱性対策のため、OFF（false）にしている。その設定をtrueにするとOK何だけど、これは公式では認めてない不正解の書き方だとさ。

function createWindow() {
    mainWindow = new BrowserWindow({ width: 800, height: 600 , webPreferences: {
        nodeIntegration: true
	}});

じゃどうするれば良いのか？調べた結果、これが良いみたいです?。下記の書き方はちょっと面倒くさいけれども、こう書かなくては駄目だとさ。requireを使用しない場合はこんな感じで書かなくても良いです。

const path = require('path');
function createWindow() {
    mainWindow = new BrowserWindow({ width: 800, height: 600 , webPreferences: {
        nodeIntegration: false,
        contextIsolation: true,
        preload: path.join(__dirname, "preload.js")
	}});

const { contextBridge, ipcRenderer} = require("electron");
const request = require('request');//使ってないけど?


contextBridge.exposeInMainWorld(
    "hoge_hoge", {
        send: (data) => {
           consloe.log(data);
           document.getElementById("hoge").innerHtml = "Hey!! " + data;
           ipcRenderer.send("Hey!! " + data);
        },
        receive: (data) => {
                consloe.log(data);  
                //ipcRenderer.on(channel, (event, ...args) => func(...args));
        }
    }
);

<button id="btn">Hey!!</button>
<span id="hoge"></span>
<script>
	document.getElementById("btn").addEventListener("click",(e)=>{
		window.hoge_hoge.send("hogeO!!");
	});
</script>

タグ

600, 800, BrowserWindow, const, createWindow, Electron, false, function, Height, mainWindow, new, NG, nodeIntegration, off, OK, path, require, true, webPreferences, Width, アレ, エラー, エレクトロン, これ, ため, バージョン, もの, リグ, 下記, 不正解, 今, 何, 使用, 公式, 場合, 対策, 感じ, 昔, 書き方, 結果, 脆弱性, 設定, 駄目,

HTTP1.0の場合、PHPファイルとか外部からダウンロード可能ってご存知ですか？

2017.08.02

Logging

HTTP1.0の場合、PHPファイルとか外部からダウンロード可能ってご存知ですか？
サーバー環境がそうなっていればPHPのファイルなんてあるツールを使用すれば
根こそぎダウンロードが可能なのです。
「怖や怖や・・・」
ネットの脆弱性とか、知らないひとが大半だと思います。
じぶんも知っている人からすれば知らない方に分類されると思いますが、
知れば知るほどネットをしたくなくなりますよね。
ネットは便利な半面・・・
脅威がいっぱいあるですってことだけは
日頃から認識していたほうが良いのかもしれないです。
脆弱性の対応の本などが出版されていますが
逆に言えば脆弱性を突く方法を教えているようなものですからね。
自分は今までそういう本は避けてきましたが
この頃、読み始めました・・自分の場合、こういう脆弱性が在るだと
言う事を知識として持っておくことは、何か起きた時に役に立ちますからね。
ちなみにchromeブラウザのアドレスバーに
chrome://net-internalsと入力するとサーバー環境がHTTPのバージョンが
何か分かったりします。
HTTP1.0の場合、PHPファイルとか簡単にダウンロード出来てしまうだろうけど
それはグレーなのかそうではないのかは自分は知らないですが
やらないことの方が賢明だと思います。

タグ

chromeブラウザ, HTTP1.0, net-internals, PHPファイル, Real World HTTP, アドレスバー, インターネット, ウェブ技術, ご存知, サーバー環境, じぶん, バージョン, 半面, 外部, 怖, 根こそぎダウンロード, 脅威, 脆弱性,

明日、JSコードを書きます。

2017.06.09

Logging

明日、JSコードを書きます、そしてそのサンプルコードを
公開します。JSでもゴリゴリと書くと便利なんだよというところを
実感したいのですけど・・・・。
じぶん、JSはググる程度の知識しかなく、いままで
ゴリゴリ書いたことがないのですね、そんな自分がサンプルコードを
書いてみます。JSで何が出来るかと言えば動的なページが作れたり
するわけです。一昔前はFlashで行っていたことがFlashには
脆弱性があるとか何とか言われてJSにあれよあれよと取って代わり今では
JSサイトが殆どでFlashサイトなんて見かけなくなりました。
実際、FlashのActionScriptでコードを書いたほうが
簡単で書きやすいと思っているのですが、いまはJSが覇王です・・・。
だだ、あと数年もすればオブジェクト指向になっているでしょうと思いたい。
実際、そんな動きが出てきています。
 

タグ

ActionScript, B01AZ5A9H8, Flash, Flashサイト, JSコード, JSサイト, オブジェクト指向, サンプルコード, じぶん, フロントエンドエンジニア, ページ, 動き, 実際, 必須知識, 殆ど, 脆弱性, 覇王,

監視される社会になるのか。IOTと人工知能

2016.11.04

Logging

IOTとはモノをインターネットに繋ぐ技術です。
例：WEBカメラ、IP電話
そういう物がネットに繋がった状態になってきています。
そして今、IOTの脆弱性を突き、ハックされたIOTがサーバー攻撃に
使われたりする世の中になりつつあります。
ネットを介してWEBカメラやIP電話と言ったもの傍受することが
可能だということです。そこに人工知能と言うものを
用いれば、生活を監視する事さえ可能になるのかと
思います。国がIOTのバックドアを作り
人工知能の技術を使い、国民を監視するという事も
可能になるかと思います。
おそらくアメリカや中国は、国の検閲に
こういう技術を使用できるレベルに有るのではないかと
思っています。
映画の話が・・・・もう映画では収まらない
世の中になってきています。
このまま行けば、窮屈な社会になるじゃないかなと
思います。それは日本も例外ではないと思っています。

タグ

B00DACMNOQ, Blu-ray, IoT, IP電話, WEBカメラ, イーグル・アイ, インターネット, サーバー攻撃, スノーデン, バックドア, ファイル, 世の中, 人工知能, 技術, 検閲, 社会, 脆弱性,