客先が希望するドメイン名を取得したWEB制作業者がドメイン名のWHOIS情報に自社名義を登録するというサイト制作・保守契約で契約解除すると

長いタイトルになってしまった。 解除するときに、まあドメイン名を引き渡してもらえないわけです。 まあ契約内容次第だろうけどさ。契約は契約ですよ。でも無知につけいったハイジャックにほかならないと思うんですよ。

ってことでメモ。

--2019/01/19

ブクマ見てたら、ああ、こういうのもあるある、と思って、なんか色々涙した。

http://b.hatena.ne.jp/entry/375078709/comment/NOV1975

こうやってみんな賢く(?)なっていくのか。 そんなんイヤやな。

使用していたドメイン名を手放すときにどのようなことをすればよいのか？

おや？

大きく変化していくDNSの規格　ほか～「DNS DAY」の話題から 使用していたドメイン名を手放すときにどのようなことをすればよいのか？といった議論も internet.watch.impress.co.jp

それ書いてたよ！ だいぶ前に書いてたよ！

ohesotori.hateblo.jp

俺も呼んでくれ！関西に来て！ ひどい話いっぱいあるからさ！

環境を整える役割の重要さ #AdventCalendar2018

これは、こどもとプログラミング Advent Calendar 2018 ５日目 の記事です。

ずきんさんにそそのかされたので、思い出話など少し。

だいぶ前だけど、息子がどうしても欲しいと言い出したブツがこれだった。

Beauto Chaser（ビュートチェイサー） | ヴイストン株式会社

夏休みの自由研究にするから買ってくれ！って言われて、素直に買ってしまったけど、ちょっと後悔したんだよね。 当時はまだmicro:bitとかも全然なくって、プログラミング教材っていうよりはラジコン色が強かったのね。ラジコンは好きだったし安易に買ってしまったのだった。本と一緒に。

scratch もやってたし、なんとかなるか？って考えたけど、どう考えてもプログラムを作れる環境を作るまでが難しいわ。 結局母がなんじゃかんじゃと設定し、動かしたのだった。プログラミングするところからは、息子と一緒にあーだこーだ出来るようになった。

入れないといけないソフトとかを、まず揃えるのに色々調べ、入れてからセットアップするにもちょっと一苦労したんだっけ。当時はWindowsXPだっけな。もうあんまり覚えてないけれど。

今販売されているプログラミング教育の教材ってほんと良く出来てる。買ってきてぱっと作れる、そういうスピード感がある。 この点ではビュートチェイサーは、明らかに環境構築の壁が高かった。この敷居の高さは初学者にはすごく厳しいし、くじけるには十分。それでもまあ、なんとか体験する程度まではたどり着き、自由研究に写真ベタベタはって、プログラムコードの写真も貼って出したのだった。当時はまだ珍しかった。（今でも珍しいか。）

こんなに敷居高かったっけ？って昔の事をちょっと思い出してたんだけど、我が家の場合は、父親が率先してごそごそ色んな事をしていたので、環境構築は既になされたあとだったんだなあ。環境構築の時間ってあんまり観察できてなかったよ。

父と兄はICと基盤を買ってきてブリキの弁当箱にネジで止め、ツマミ（ボリュームなどに使われる可変抵抗器かな？）を取り付けてテニスゲームを遊んでいた。 たしかこれ。 Pong-Story : Tennis for Two computer game (1958)

半田ゴテ握ってあれこれしていたんだろうけど、私は幼かったし覚えてないのが残念。テニスゲームを兄と２人で遊んでたところから覚えてる。兄一人ではできなかったはずだから、やはりサポートがあってこその成果物なんだろうな。

プログラミングってサポートが命だなあと、自分の子供にやらせてみせて初めて、親のありがたさがわかったんでした。 飲んだくれのろくでもない父ちゃんだったけど、もうちょっと生きててほしかったなあ。そしたら孫と楽しく色んなことできたのに。もったいないね。

管理画面でウィジェット等の操作ができないのがWAFのせいだったので

サーバはlolipop。 基本認証もかけていたから、てっきり認証系だと思いこんでた。403だったし。

おかしいなー認証ちゃんと外してるのになーとかいろいろやってて。 なぜか返事が200だったり403だったりして、ん？認証が外れてないのではなく、別の要因なのか？と気がつくのに時間食ってしまった。

そうか、ロリポのWAFを有効にしていた、と思い出して無効にしてみる。 これが無効に変えてから実際無効になるまでちょっと時間食ったけど、しばらくしたら200が返ってきたのでビンゴだった。でも無効にしたままは困るので、有効に戻しておく。

必要なのは admin-ajax.php なので、そいつだけ xss 系のフィルタを外してやることにした。

wp-admin/.htaccess に、以下の記述を追加した。

 <Files admin-ajax.php>
  SiteGuard_User_ExcludeSig xss-tag-1
  Allow from all
  Satisfy any
 </Files>

allow from をもっと限定してやると良いのかもしれない。 まあとりあえずメモ。

情報モラル講演におけるFUDとアカウント保全について考える #safewebkids #AdventCalender2018

このエントリーは『どんな「情報モラル/リテラシー」啓発をしたい・聞きたい？ Advent Calendar 2018』の2日目の投稿です。昨日、1日目の記事は id:hanazukin の『「情報モラル」を「運用回避」にしたくない件』でした。

FUD という言葉を聞いたのはそこそこ前になる。

FUDとは、Fear, Uncertainty and Doubt の略で、直訳すると「恐怖、不安、疑念」のことだとある。これを利用して商売をしているのが、巷でよくある「不安商法」にあたる。

この感情を刺激しすぎると、怖くなって何らかの行動に結びつくだろう。実際に情報モラル講演でこれをやられると、慌ててアカウントを消してしまうという事が起こったりするんじゃないか。

　　グーグル地図に家庭訪問先　うっかり公開、後絶たず

　　http://www.asahi.com/edu/student/news/TKY200905080194.html

過去にこういう事が（この事件だけではなかった）起こっていた時、確か続きがあったように記憶してる。アカウントを消してしまったことで連携先のデータが公開されたままに残ってしまい、どうにもできなくなった、というものだったと思う。 アカウントを消したら連携先のデータがどのように扱われるんだろうか。サービスによって違うんだろうけど。

OAuth の普及によって、利用者はまるで同じサービスを使っているかのように錯覚することも多そうだ。こういったアカウント連携を利用しているサービスは、このアカウント保全について意識が及びにくいんじゃないだろうか。

子どもたちがよく利用していたツイキャスのヘルプには、次のようなページが用意されている。

　　ツイキャスを退会する前にTwitter・Facebook・Instagramを退会してしまいました

　　https://twitcasting.tv/indexsupport.php?pid=1576

サービス提供者となる事業者も、サービス立ち上げ時には利用者を増やすことに普請すると思うので、こういった利用者のリテラシー不足によるトラブルは想定していなかっただろう。未熟なサービスは、利用されることで機能改善され、こういった細かい対応をしていくことになるんだろうな。利用者も未熟なら、サービスも未熟な場合、賢明な使い方を一体誰が気づかせてくれるんだろう。

何故か「数年すれば消える、埋もれる」と言っている講師も存在する。それは明らかに間違っている。息子の周囲を見守るようになってから、かれこれ６年以上は経っているけれど、その間に何度もアカウントを乗り換えていった子のアカウントはまだ残されている。おそらく機種変やメアド、電話番号の変更も予想され、今となっては消せなくなってるだろう。個人情報の公開非公開に無頓着で幼なかった頃の投稿がそのまま残されてる。

また、子どもたちはなぜかアカウント名に「リムって」「消します」「ログアウト」などという名前に変えて、そのアカウントから去っていく。中には投稿やフォローやフォロワーをすべて消して去る子もいるけど、少数。おそらくサービスを終了するまでは消えないだろう。アカウントの保全について子どもたちは実に無頓着なんだよね。

実際にアカウントを退会しようと思った時には、丁寧に連携先を探し、ひとつひとつ退会処理をし、最終的に主となるアカウントを削除する、ということが必要になる。これはモラルの問題じゃないし。どちらかといえば消費者問題、且つセキュリティの分野の話になるのかな。ってことは情報モラルの話からは外れるんだろうか。いやいや。啓発に含めておきたい話のはず。

冷静沈着にこういう事をしようと思うと、ある程度時間も必要で、結構めんどくさいんだよね。 とあるセキュリティの講座で、投稿は定期的に見直して適宜消していこう、という内容のお話があった。

FUDなんか必要ないので、そういう「保全」という点を強調していった方がいいと思ってるところ。

ちょっととりとめないのは今日一日熱だして寝てたせい、ってことにしよう。頑張って書いたぜｗ

＜覚書＞ post_content から見て Gutenberg を使うかどうか考える

Wordpress5.0 を入れてみた。
お馴染みの「Hello World!」の初期データの post_content を見てみたところ内容はこんな感じになっている。

<!-- wp:paragraph -->
<p>Welcome to WordPress. This is your first post. 
Edit or delete it, then start writing!</p>
<!-- /wp:paragraph -->

パラグラフにわけられたコンテンツをどうやって実現してるのかなーと思っていたら、新しい記法となったみたい。

https://grow-group.jp/archives/2038/
PEGパーサってのか。なるほど。

これをみて、MovableTypeの記法が頭に浮かぶ人もいるのかもなぁと思いつつ、今回の新エディタへの移行は手戻りできないものであることを認識した。
更新前バックアップは必須だ。

https://ja.wordpress.org/2018/11/04/things-to-know-before-using-wordpress-5-0/

既存のサイトであらかじめ Classic Editor プラグインを有効化しておけば、 
WordPress 5.0 に更新した時に従来のエディターがブロックエディターに置き
換わる動作を回避することができますので、従来のエディターを継続利用する
と決断された方は Classic Editor プラグインを事前に有効化することを忘れ
ないようにしてください。

ここにすごく重要な事が書かれていたので、再掲しとく。
次の更新では

新エディタへ移行するつもりが無いのであれば、ClassicEditorを必ず有効にしてから更新しなければならない。

追記　2019/1/19
色々やってみたけど、ここまで厳密じゃなくてもいいように見えた。まあ、大丈夫ぽいよ。

今までであれば、割と何も考えずにpost_contentに入っていたHTMLタグを使えたけど、今後、もしWordpressから他のCMSに乗り換えようなんてときが来たら、データの移行についてGutenberg記法を注意深く読み解く必要がある。

また、post_content を直接表示するような処理があった場合、この記法による余計なタグが出力されるだろう。

the_content() の処理は今まで以上に面倒になるんだろうなあ。
古いものをたくさん抱えている身としてはちょっと悩ましい。

あなたのパスワードが侵害されました (***@****.***)

こんにちは！

私は数ヶ月前にあなたの電子メールとデバイスをクラックしたハッカーです。
あなたが訪問したサイトの1つにパスワードを入力君た。それを傍受しました。

もちろん、それを変更したり、すでに変更したりすることができます。
しかし、それは問題ではありません、私のマルウェアは毎回それを更新しました。

私に連絡したり、私を見つけようとしないでください。それは不可能です。 私はあなたのアカウントからメールをあなたに送ったので、

あなたの電子メールを介して、私はあなたのオペレーションシステムに悪質なコードをアップロードしました。
私は友人、同僚、親戚とのあなたの連絡先のすべてを保存し、インターネットリソースへの訪問の完全な履歴を保存しました。
また、あなたのデバイスにトロイの木馬をインストールしました。

あなたは私の唯一の犠牲者ではない、私は通常、デバイスをブロックし、身代金を求める。
しかし、私は頻繁に訪れる親密なコンテンツのサイトにショックを受けました。

私はあなたの幻想にショックを受けている！ 私はこれのようなものを見たことがない！

だから、あなたがサイトで楽しむとき（あなたは私が何を意味するか知っています！）
あなたのカメラのプログラムを使用してスクリーンショットを作成しました。
その後、私はそれらを現在閲覧されているサイトのコンテンツに結合しました。

これらの写真を連絡先に送信すると素晴らしいことがあります。
しかし、あなたがそれを望んでいないと確信しています。

したがって、私は沈黙のためにあなたからの支払いを期待しています。
私は$781が良い価格だと思います！

Bitcoin経由で支払う。
私のBTCウォレット： ****************************

あなたがこれを行う方法を知らない場合 - Googleに「BTCウォレットに送金する方法」を入力します。 難しくない。
指定された金額を受け取ると、妥協しているすべての材料は自動的に破壊されます。私のウイルスはあなた自身のオペレーティングシステムからも削除されます。

私のトロイの木馬は自動アラートを持っています。私はこのメールを読んだ後でメッセージを受け取ります。

私はあなたに支払いのための2日間を与える（正確に48時間）。
これが起こらない場合 - すべてのあなたの連絡先はあなたの暗い秘密の生活からクレイジーショットを取得します！
あなたが妨害しないように、あなたのデバイスはブロックされます（また、48時間後）

ばかなことしないで！
警察や友人はあなたを確実に助けません...

p.s. 私はあなたに将来のアドバイスを与えることができます。 安全でないサイトにはパスワードを入力しないでください。

私はあなたの慎重さを願っています。
お別れ。

メールヘッダー見ると、
> Received: from [77.77.116.11] (unknown [77.77.116.11])
とある。IPアドレスをwhoisすると、
> country: IR
イラン。

これがなんでスパムフィルタに引っかからないのかが謎い。