管理画面でウィジェット等の操作ができないのがWAFのせいだったので
サーバはlolipop。 基本認証もかけていたから、てっきり認証系だと思いこんでた。403だったし。
おかしいなー認証ちゃんと外してるのになーとかいろいろやってて。 なぜか返事が200だったり403だったりして、ん?認証が外れてないのではなく、別の要因なのか?と気がつくのに時間食ってしまった。
そうか、ロリポのWAFを有効にしていた、と思い出して無効にしてみる。 これが無効に変えてから実際無効になるまでちょっと時間食ったけど、しばらくしたら200が返ってきたのでビンゴだった。でも無効にしたままは困るので、有効に戻しておく。
必要なのは admin-ajax.php なので、そいつだけ xss 系のフィルタを外してやることにした。
wp-admin/.htaccess に、以下の記述を追加した。
<Files admin-ajax.php> SiteGuard_User_ExcludeSig xss-tag-1 Allow from all Satisfy any </Files>
allow from をもっと限定してやると良いのかもしれない。 まあとりあえずメモ。
情報モラル講演におけるFUDとアカウント保全について考える #safewebkids #AdventCalender2018
このエントリーは『どんな「情報モラル/リテラシー」啓発をしたい・聞きたい? Advent Calendar 2018』の2日目の投稿です。昨日、1日目の記事は id:hanazukin の『「情報モラル」を「運用回避」にしたくない件』でした。
FUD という言葉を聞いたのはそこそこ前になる。
FUDとは、Fear, Uncertainty and Doubt の略で、直訳すると「恐怖、不安、疑念」のことだとある。これを利用して商売をしているのが、巷でよくある「不安商法」にあたる。
この感情を刺激しすぎると、怖くなって何らかの行動に結びつくだろう。実際に情報モラル講演でこれをやられると、慌ててアカウントを消してしまうという事が起こったりするんじゃないか。
グーグル地図に家庭訪問先 うっかり公開、後絶たず
http://www.asahi.com/edu/student/news/TKY200905080194.html
過去にこういう事が(この事件だけではなかった)起こっていた時、確か続きがあったように記憶してる。アカウントを消してしまったことで連携先のデータが公開されたままに残ってしまい、どうにもできなくなった、というものだったと思う。 アカウントを消したら連携先のデータがどのように扱われるんだろうか。サービスによって違うんだろうけど。
OAuth の普及によって、利用者はまるで同じサービスを使っているかのように錯覚することも多そうだ。こういったアカウント連携を利用しているサービスは、このアカウント保全について意識が及びにくいんじゃないだろうか。
子どもたちがよく利用していたツイキャスのヘルプには、次のようなページが用意されている。
ツイキャスを退会する前にTwitter・Facebook・Instagramを退会してしまいました
https://twitcasting.tv/indexsupport.php?pid=1576
サービス提供者となる事業者も、サービス立ち上げ時には利用者を増やすことに普請すると思うので、こういった利用者のリテラシー不足によるトラブルは想定していなかっただろう。未熟なサービスは、利用されることで機能改善され、こういった細かい対応をしていくことになるんだろうな。利用者も未熟なら、サービスも未熟な場合、賢明な使い方を一体誰が気づかせてくれるんだろう。
何故か「数年すれば消える、埋もれる」と言っている講師も存在する。それは明らかに間違っている。息子の周囲を見守るようになってから、かれこれ6年以上は経っているけれど、その間に何度もアカウントを乗り換えていった子のアカウントはまだ残されている。おそらく機種変やメアド、電話番号の変更も予想され、今となっては消せなくなってるだろう。個人情報の公開非公開に無頓着で幼なかった頃の投稿がそのまま残されてる。
また、子どもたちはなぜかアカウント名に「リムって」「消します」「ログアウト」などという名前に変えて、そのアカウントから去っていく。中には投稿やフォローやフォロワーをすべて消して去る子もいるけど、少数。おそらくサービスを終了するまでは消えないだろう。アカウントの保全について子どもたちは実に無頓着なんだよね。
実際にアカウントを退会しようと思った時には、丁寧に連携先を探し、ひとつひとつ退会処理をし、最終的に主となるアカウントを削除する、ということが必要になる。これはモラルの問題じゃないし。どちらかといえば消費者問題、且つセキュリティの分野の話になるのかな。ってことは情報モラルの話からは外れるんだろうか。いやいや。啓発に含めておきたい話のはず。
冷静沈着にこういう事をしようと思うと、ある程度時間も必要で、結構めんどくさいんだよね。 とあるセキュリティの講座で、投稿は定期的に見直して適宜消していこう、という内容のお話があった。
FUDなんか必要ないので、そういう「保全」という点を強調していった方がいいと思ってるところ。
ちょっととりとめないのは今日一日熱だして寝てたせい、ってことにしよう。頑張って書いたぜw
<覚書> post_content から見て Gutenberg を使うかどうか考える
Wordpress5.0 を入れてみた。
お馴染みの「Hello World!」の初期データの post_content を見てみたところ内容はこんな感じになっている。
<!-- wp:paragraph --> <p>Welcome to WordPress. This is your first post. Edit or delete it, then start writing!</p> <!-- /wp:paragraph -->
パラグラフにわけられたコンテンツをどうやって実現してるのかなーと思っていたら、新しい記法となったみたい。
https://grow-group.jp/archives/2038/
PEGパーサってのか。なるほど。
これをみて、MovableTypeの記法が頭に浮かぶ人もいるのかもなぁと思いつつ、今回の新エディタへの移行は手戻りできないものであることを認識した。
更新前バックアップは必須だ。
https://ja.wordpress.org/2018/11/04/things-to-know-before-using-wordpress-5-0/
既存のサイトであらかじめ Classic Editor プラグインを有効化しておけば、 WordPress 5.0 に更新した時に従来のエディターがブロックエディターに置き 換わる動作を回避することができますので、従来のエディターを継続利用する と決断された方は Classic Editor プラグインを事前に有効化することを忘れ ないようにしてください。
ここにすごく重要な事が書かれていたので、再掲しとく。
次の更新では
新エディタへ移行するつもりが無いのであれば、ClassicEditorを必ず有効にしてから更新しなければならない。
追記 2019/1/19 色々やってみたけど、ここまで厳密じゃなくてもいいように見えた。まあ、大丈夫ぽいよ。
今までであれば、割と何も考えずにpost_contentに入っていたHTMLタグを使えたけど、今後、もしWordpressから他のCMSに乗り換えようなんてときが来たら、データの移行についてGutenberg記法を注意深く読み解く必要がある。
また、post_content を直接表示するような処理があった場合、この記法による余計なタグが出力されるだろう。
the_content() の処理は今まで以上に面倒になるんだろうなあ。
古いものをたくさん抱えている身としてはちょっと悩ましい。
あなたのパスワードが侵害されました (***@****.***)
こんにちは! 私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。 あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。 もちろん、それを変更したり、すでに変更したりすることができます。 しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。 私に連絡したり、私を見つけようとしないでください。それは不可能です。 私はあなたのアカウントからメールをあなたに送ったので、 あなたの電子メールを介して、私はあなたのオペレーションシステムに悪質なコードをアップロードしました。 私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、インターネットリソースへの訪問の完全な履歴を保存しました。 また、あなたのデバイスにトロイの木馬をインストールしました。 あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、身代金を求める。 しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。 私はあなたの幻想にショックを受けている! 私はこれのようなものを見たことがない! だから、あなたがサイトで楽しむとき(あなたは私が何を意味するか知っています!) あなたのカメラのプログラムを使用してスクリーンショットを作成しました。 その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。 これらの写真を連絡先に送信すると素晴らしいことがあります。 しかし、あなたがそれを望んでいないと確信しています。 したがって、私は沈黙のためにあなたからの支払いを期待しています。 私は$781が良い価格だと思います! Bitcoin経由で支払う。 私のBTCウォレット: **************************** あなたがこれを行う方法を知らない場合 - Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。 指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。私のウイルスはあなた自身のオペレーティングシステムからも削除されます。 私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後でメッセージを受け取ります。 私はあなたに支払いのための2日間を与える(正確に48時間)。 これが起こらない場合 - すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します! あなたが妨害しないように、あなたのデバイスはブロックされます(また、48時間後) ばかなことしないで! 警察や友人はあなたを確実に助けません... p.s. 私はあなたに将来のアドバイスを与えることができます。 安全でないサイトにはパスワードを入力しないでください。 私はあなたの慎重さを願っています。 お別れ。
メールヘッダー見ると、
> Received: from [77.77.116.11] (unknown [77.77.116.11])
とある。IPアドレスをwhoisすると、
> country: IR
イラン。
これがなんでスパムフィルタに引っかからないのかが謎い。
2018/10/14 #関西インターネット老人会で呑んできた〜
なんとなく流されてスタッフで参加してきました。
楽しかったんだけれども。すっげー楽しかったんだけれども。呑みすぎました。
ごめんなさいごめんなさい。
スタッフとしてはいつも動きが悪い私なので右往左往しつつ、会計を @kakodawa さんと一緒にやって、経費出して、あれー?とかいいつつ、レシートと突き合わせ、追加のピザ代の算段をし、@hanazukin がぱぱぱぱーっとてけとーに追加ピザ頼んで、収支概ね少しだけ余るくらいのとんとんで終わり、無事に終了したのでした。
カンパの箱用意していったら、さすがの老人会、参加する学生分がすぐ集まりました。途中、「ピザ食べすぎたからー」って言って追加入れてくれる方も居て、若者が愛されてる感すごい。みんな優しい。最初は yasudaセンセーが「学生分は僕が全部出してもいいから」とか言ってたんだけど、みんな学生を支援したい気持ちは同じみたいですヨ。学生のみんなはお腹一杯ピザ食べてくれたかな。
yasudaセンセーがプロジェクターとマイクも持ってきてくださったので、その分のレンタル料も浮いたから、かなり飲食に回せました。京都の一等地でこんなことできるんだーとちょっと浮かれてしまった。冷蔵庫ついてて、レンジもあって、飲食できる会場すばらしい。ゴミ袋の分別とかも現地についてから職員さんに聞いてもらってテケトーに袋を分け、お酒は冷蔵庫からテケトーに取ってもらい、@hanazukin が残量をTwitterに流し、お酒もピザもだいたい完食完飲。ソフトドリンクが若干残ったくらいかな。
で、BYOD&F なので、私は私の食べたいもの持っていったんですよ。
焼酎一本と氷と業スーの炭火やきとり。もっと買っていけば良かった。
ワインを持ってきて下さる方もいたよ。
で、後ろでずっとお話聞いてたはずなんだけど、酔っぱらい過ぎて記憶が怪しいので今からもう一度中継見るんですよーごめんなさい。これも中継班が来てくださったからできることなので、呑みすぎダメ・ゼッタイ。
もう中継班すばらしいと思いました。
ざざーっと機材運び込まれて設置されて、ベストポジションで待機。
いつもこんな感じなんだーと思って、元放送部の自分としては感心しまくりでした。
中継希望したのは私だったんだけど、実はもっと安易に考えてました。だって子供らがすごく簡単に、ツイキャスとかLINEとかskypeとかdiscodeとかで、テレビ会議しながらゲームやら電話やらしてるんだもん。それも日常的に。そんな姿見てたから、簡単にお願いしてしまったんだけど、中野先生の一声で中継決まって、そこから機材班出動が決まり、映ってはいけない人のための配慮が始まって、@hanazukin の属性シール作るよーってなって。
イベントをすすめる力すごいって思いました。
何だろう、工学系だと、基礎工学ってのがあるから、多分基礎イベント力とでも言うのかしら。
会場開けてもらってから、みんな続々と集まり始めて来た人みんな机並べたり買い出し行ったり段取りしてて、会場のご挨拶誰がするーみたいな話から、midoriセンセーが「私やろか?」って言ってくださって、ぶっつけ本番で挨拶から会場の諸注意などなど。プロすごい。
ああ、私は最初の備品買い出しを担当してよかった、現場でぶっつけ本番でこんなに動けないんだわーと思いながら焼酎呑んでたら呑みすぎたわけです。
そんで気がついたら、撤収終わってて、気がついたらその後も呑んでて、あれ?
撤収終わってたよすごい。覚えてないよー
ごめんなさいごめんなさい。
で、まあグダグダついでに感想を。
老人会の面々は強電弱電ひっくるめて、IT業界をラッセルしながら進んできた人たちなんだなあと実感できる話ばかりでした。農業されてる話も出てたけど、これってもしかして農業にもIT化ががしがし進むっていう話なんじゃないかと思うとどきどきするよね。まだまだこれからもラッセルしながら進むんだよ、きっと。なんて勝手に思ったり。もともと古い話聞くのは好きなんだけど、いやはや、楽しかったですね。
みなさんありがとうございました。楽しかったー!
一番最初の中野センセの発表タイトルが「第1回」ってなってて、大変めでたい一回目に参加できたってことで、バンザイ!
呑みすぎダメ・ゼッタイ。
大事なことなので、何度も書きました。
怒らんといてー、弱いんですよ。体質的に。ほんまに。
ドロップキャッチ事例: MORI-YOSHIRO\.COM の Domain Status
元首相のドメイン名もドロップしたらしいので、主婦の嗜みである whois を引く。
Domain Name: MORI-YOSHIRO.COM Registry Domain ID: 84832096_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.godaddy.com Registrar URL: http://www.godaddy.com Updated Date: 2018-03-26T12:52:33Z Creation Date: 2002-03-25T10:03:30Z Registry Expiry Date: 2019-03-25T09:03:30Z Registrar: GoDaddy.com, LLC Registrar IANA ID: 146 Registrar Abuse Contact Email: abuse@godaddy.com Registrar Abuse Contact Phone: 480-624-2505 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: NS217.EHOSTS.COM Name Server: NS218.EHOSTS.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/ >>> Last update of whois database: 2018-10-17T02:33:48Z <<<
clientDeleteProhibited ドメイン名の削除が禁止されています。
clientRenewProhibited ドメイン名の登録期間延長が禁止されています。
clientTransferProhibited レジストラ変更が禁止されています。
clientUpdateProhibited ドメイン名の登録情報変更が禁止されています。
https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=1004#com
DomainStatusでワカルことが増えてるのかー。
Creation Date: 2002-03-25T10:03:30Z
これはこのままなんやなー。失効させていない、という意味になるんかな。失効してるけど。レジストリの仕事として、そんなんでいいの?ってのは思っちゃう。
ドロップ(キャッチ)事例 nhk-grp.jp とバックオーダーサービス
NHK関連ドメイン競売に=サイト閉鎖後も悪用の恐れ−グループ7団体にリンク
参考)https://www.jiji.com/jc/article?k=2018101500879&g=soc
結構まだリンク元残ってるし、同じグループ内でも残ってるし、オークションもう3万円超えてるな〜。最終いくらになるのかは見てみたい。
nhk-grp.co.jp ってのも前に使ってて放棄したみたい。これはもう登録がないのでいいんだけど、現在のnhk-grp.jpのwhoisはこんな感じ。
% whois nhk-grp.jp Domain Information: [ドメイン情報] [Domain Name] NHK-GRP.JP [登録者名] バックオーダーサービス [Registrant] Backorder Service [登録年月日] 2018/10/01 [有効期限] 2019/10/31 [状態] Active [最終更新] 2018/10/01 09:00:14 (JST) Contact Information: [公開連絡窓口] [名前] バックオーダーサービス [Name] Backorder Service [Email] proxy@whoisprotectservice.com [Web Page] [郵便番号] 150-0031 [住所] 東京都渋谷区桜丘町26番1号セルリアンタワー [Postal Address] Shibuya-ku26-1 Sakuragaoka-choCerulean Tower [電話番号] 03-0364-8727 [FAX番号]
手放すと自動的にバックオーダーサービスっていうところのモノになるのね。
それだれ?
いや、お名前ってことはわかってるけどさ。さすがにwhoisprotectservice.comにすることないんじゃねーの?って思うよね。
ちゃんと「お名前」名乗ればええやん。
