IPAからご連絡

会社が運営してるサイトに「クロスサイトスクリプティングできるよ」ってIPAから連絡があった。

検索キーワードに「<script>alert(1)</script>」とか入れて、反応したらアウトってやつで、運営サイトは前任者が作ったもので、ブラウザでソース見たら、パスワードが見えるとか、ちょっとセキュリティに関しては甘かった。

サイト表示する時に、タグで使う<>とかを&lt;&gt;って変換して表示するのがお約束なのだが、初歩の初歩だから忘れないで欲しいな 🙁

IPAって組織があって、協力者が不具合を見つけて報告し、攻撃者の被害を未然に防いでくれる仕組みだけど、有り難いのう。

これなんかは、IPAに報告した方が良かったな。

SSL証明書の期限切れ警告

Let’s encryptからSSL証明書期限切れの警告メールが来た。
家のサーバーのSSLの証明書は cron で自動的に更新するようになっているのだが、2月の初旬に切れるようだ。

サーバーにログインして調べてみると、名前が引けないので、bind9のdaemonをリスタート。

# systemctl restart bind9.service

そして、SSLの証明書更新。
# certbot renew

これで解決。相当長期間名前が引けない状態だったみたい。

最近、プロバイダのDNSでは、特定サイトの名前解決ができないとか、制限を掛けていたりするので、家のサーバーはDNSのルートサーバーから直接情報を得て無制限に使えるようにしてるんだな。

Webデザイン業界に蔓延る悪癖

なんか、外部のデザイン系からHTMLを貰うと、必ず変なPATHになっている。

../../../../common/img/common/illust.png

相対で ../ を4つか5つ必ず入れてくるけど、サブディレクトリで開発やってる者にとっては一々置換しないといけないので、迷惑この上ない。

サーバールートなら、/common/img/common/illust.png と書くならまだ分かるが、相対PATHで、これでもかと ../ を入れる理由がさっぱり分からない。

恐らく、指定したファイルがサーバーの設定により、見つからないと表示される Not Found恐怖症の類だと思うけど、必死な書き込みにwwwが増える草メーターみたいに ビビリメーターとでも呼ぶか 🙂

ホワイトガソリン

ベンジンの在庫が少なくなったので、今年の2月にホワイトガソリンをamazonで 2,574円で買っておいた。

500mlのベンジンは600〜800円くらいだが、このホワイトガソリンは、500mlあたり321.75円。

今日、ハクキンカイロに入れて使っているが、カイロ用のエビスベンヂンなどと使い勝手は変わらない。

今見たら、3,300円に値上がりしてたけど、それでも500mlあたり412.5円と安い。

4リットル缶のままだと、使い勝手が悪いので、エビスベンヂンの空き瓶に入れていて、ライター用にZIPPOオイルの空き缶にも入れてある。

非常用燃料として、ホワイトガソリン一本にしたいが、コンロが5千円くらいの中華の安物は★3以下と評価が低く、メーカーものは1万円以上とお高い。

ガスと違って、揮発させる為のプリヒーティングとか、結構面倒くさいのも難点。

まあ、当面はガスとホワイトガソリンの両建てでいきますか。

OPPO Reno7 AのUSBテザリング使えねー

車載Raspberry Pi Zero 2 Wの通信回線で、povo 2.0 の128kbpsを ASUS Zenfone Max Pro M2 で行なっていた。

スマートフォンの機種変更したので、OPPO Reno7 Aだったら、5Gも使えるし、いざという時に課金すれば高速通信にできるので、Zenfoneと入れ替えた。

しかし、その時から、モバイル通信が全く行えなくなり、外部からSSHで繋げず、VPNで接続してカメラで状況を見るのもできなくなった。

どうにもおかしいので、Reno7 Aを外して、PCに繋いでテスト。

ふむふむ、WiFi接続時は USBテザリングでネットワーク通信できるけど、モバイル通信だと、一切通信できなくなると。

もうね、アフォかと、バカかと。

確かに取説には「WiFiルータのように使えます」って書いてるから、WiFiルータになれば、謳い文句通りだけど、モバイル通信をUSBテザリングできないってのは、頭おかしいだろ。

やっぱASUSだな。高いけど(´・ω・`)

【追記:2684年8月5日】
OPPO Reno11 Aで試してみると、IIJmio のSIMでUSBテザリングはできた。

OPPO Reno7 Aはpovo 2.0低速通信でやったけど、まさか遅いから駄目って事は無いだろうし、こいつだけ腐ってるって事なんだろうな。

【/追記:2684年8月5日】

GMOのお客様お問い合わせのヤベえシステム

客からメールが届かないと連絡があり、調べてみると、gmo-rbl.jp がブロックしていた。

まあ、社長がSPAM送ってるせいかもしれんが(苦笑)、一応総合窓口のお問い合わせから解除してくれるようお願い。

https://www.gmo.jp/contact/general-inquiries/

すると、postmaster@gmo.jp さんからエラーメールが6通もやってきた。

中を見ると、どうやら、From: にわしのメールアドレスを入れて、各担当者に送付するシステムのようで、ウチの会社のDMARCで、From: の詐称は reject ってポリシーにしてるから、そのせいで拒絶されたと。

もうね、アフォかと、バカかと。

確かに「返信」ですぐに問い合わせした人にメール送れるから、楽ではあるだろうけど、今日日、差出人詐称メールを排除する仕組みができてるのに、そのシステムはねーだろ。

GMOのお問い合わせ担当者のメールアドレス59件ゲットだぜ!
要らんわっ! (^^;

担当者メールアドレス流出してまっせ、From:に客のメールアドレス入れるのやめなはれって担当者全員にメール送ったったけど、1週間経ってもガン無視で情報リテラシーねーなあ(笑)。

こういうシステム作ってる会社ってちょっとどうかと思うわ。
個人的に余り関わらないようにしよう。

減らないエラーメール

わしは、迷惑メールが嫌いだが、社長の命令で、スパムメール配信システムを作った。

複数のメールリストを、スケジュール予約したタスクで、クソメールを配信するのだが、大量のエラーメールが返って来ていて、サーバー側でエラーになったメールアドレスを自動で配信停止にする処理は組んである。

しかしながら、200件位から一向に減らない。

エラーログ見ると、??? とかいう文字列が見えるので、これは漢字が使われているようだ。

PHP だと、漢字が ? に変換されてしまうので、元の文字が分からなくなって、メールアドレスをキーにした配信停止処理が破綻してしまっていて、ゴミアドレスに対する配信を止められない。

登録されているメールアドレスを確認すると、

3. メールアドレス
[ルアドレスないです。

とか、URLとか、末尾に全角空白がくっついてるとか、とんでもないものが入ってる。

後、MacintoshとかiPhoneユーザーにありがちな、記号でない半角サイズのマイナス( – )

わしの作ったシステムだと、メールリストは、ある程度信頼性のあるものが入ってる前提で、CSV読み込み高速化の為に、登録時にメールアドレスの正当性は確認していない。

よもやこんなクソゴミが大量に入っていようとは(笑)

システムとしては、全角→半角変換、空白(20h)の削除、末尾のピリオドを削除した上でチェック処理にかけて、メールアドレスとして登録するという処理を入れた。

本来、これはゴミを回収しない為に、メールアドレス収集ツールがやるべきものだが、社長が使ってるメールアドレス収集ツールがクソ過ぎるな。

【関連】

エラーメール通知のおかしさ

Skypeグループ通話不具合

こんなん初めて見たわ。

しかも、問題解決の何の役にも立たない「問題が発生しました。」の一言のみ。

まぁ、Microsoft に買収されてから、中身をかなり弄り倒してるみたいだから、その分、不具合も増えていくんだろうな。

今回、GIMPで背景にモザイクを掛けるって方法が解ったので、収穫はあったな 🙂

新車内ソーラーシステム発電状況

※注意 raspistill で撮った2592×1944ピクセルの超巨大画像(2.6MB)なので、モバイル回線でクリックしないように。

13.6V なので、車のバッテリー60Ahを充電しつつ、30,000mAhモバイルバッテリー充電と、携帯電話充電と、Raspberry Pi Zero 2 W+GPSモジュールが動かせてるな。

この画像はGIMPでシャープネス加工して見やすくしたものだけど、文字が細いから、高解像度にしないと読み取れないのが課題だな。