Semantic Web – WordPress

Archive for 6月 2005

問題解決:MT 3.17と AdminCGIPath https+複数パス

leave a comment »

Movable Type 3.17-ja, 3.17(3.16)-en_US では、App.pm を下記のように編集することにより、
mt.cfg
AdminCGIPath https://ss1.xrea.com/ユーザーID.s*.xrea.com/複数path/to/MT_DIR/mt.cgi
へのアクセスでは、
ScriptURI = ‘/ユーザーID.s*.xrea.com/複数path/to/MT_DIR/mt.cgi’ と正しくなります。
AdminCGIPath http://ユーザーID.s*.xrea.com/MT_DIR/mt.cgi
へのアクセスでは、
ScriptURI = ‘/MT_DIR/mt.cgi’
となります。
[MT]/lib/MT/App.pm の変更行
597行目あたりの サブルーチン sub app_path

    if ($path =~ m!^https?://[^/]+(/?.*)$!i) {
$path = $1;
} elsif (!$path) {
$path = '/';
}

を下記のように変更します。

    if ($path =~ m!^https?://[^/]+(/?.*)$!i) {
    if ($ENV{REMOTE_ADDR} eq '192.168.1.xyz')
    { $path = '/ユーザーID.s*.xrea.com/複数path/to/MT_DIR/';}
    else { $path = $1;}
} elsif (!$path) {
$path = '/';
}

Xrea.com さんのサーバでは、環境変数 HTTPS の on, off を取得できませんので、HTTPS によるアクセスは特定のローカル IP経由であることを利用し、環境変数 $ENV{REMOTE_ADDR}による条件文としました。サーバ名 (例: s150)には、ローカルなIPアドレスが設定されています (例: xyz=50であれば, 192.168.1.50) 。
) ブログそのものは httpプロトコルで運用します。CGIPath, AdminCGIPath ともに https ではエラーが発生する可能性があります。

広告

Written by support

2005/06/29 at 12:34

カテゴリー: ブログ blog

MT 3.17の問題点:AdminCGIPath, SSLサーバ( https プロトコル)

leave a comment »

Movable Type 3.17-ja を Xrea.com さんのサーバにインストールすると、AdminCGIPath は SSL サーバ (サーバ名 ss1) 経由で利用できません。
[追記 2005/6/29] Movable Type 3.17-ja (デフォルト)のインストールで発生するこの問題点は Xrea.com さんのサーバでは解決しました。
  エントリー「問題解決:MT 3.17とAdminCGIPath https+複数パス」
    http://shellscript.biz/archives/000062.html
Movable Type (MT) 設定ファイル mt.cfg の中で、MT のベーシック・ディレクトリ (仮に MT_DIR とします) にある mt.cgi までの パス( PATH )を指定します。

CGIPath http://www.example.com/path/to/MT_DIR/
CGIPath https://www.example.com/path/to/MT_DIR/

形式は、http://, https:// で始まる「絶対 URL」です。ドメイン・ルートからの経路 (PATH) をすべて指定します。CGIPathであれば、PATH の数 (階層) には制限はありませんが、下記のように、mt.cgi のみ異なる URL で運用するとき (セキュリティ対策等のため、AdminCGIPath 利用時) 、

MT 3.17-ja
MT 3.16-us
MT 3.17-us

では、

AdminCGIPath https://ss1.xrea.com/ユーザーID.s*.xrea.com/www.example.com/path/to/MT_DIR/ [設定不可]
AdminCGIPath https://ss1.xrea.com/ユーザーID.s*.xrea.com/www.example.com/MT_DIR/ [設定不可]
AdminCGIPath http://ユーザーID.s*.xrea.com/www.example.com/MT_DIR/ [設定不可]
AdminCGIPath http://ユーザーID.s*.xrea.com/path/to/MT_DIR/ [設定不可]
AdminCGIPath http://ユーザーID.s*.xrea.com/MT_DIR/ [設定可]
AdminCGIPath https://www.example.com/MT_DIR/ [設定可]

となるようです。つまり、Xrea.com さんのサーバでは、必ず、ドメイン・ルート直下のMT_DIRにMTをインストールし、AdminCGIPath は SSL サーバ (サーバ名 ss1)を経由しないPATHとします。。MT 3.15-ja では、SSL サーバ (サーバ名 ss1) 経由など可能でしたので、セキュリティ上、とても残念なことです。

Written by support

2005/06/26 at 11:42

カテゴリー: ブログ blog

不正な ScriptURI : MT3.17, 3.16 / App.pm

leave a comment »

[追記 2005/6/29] Movable Type 3.17-ja (デフォルト)のインストールで発生するこの問題点は Xrea.com さんのサーバでは解決しました。
  エントリー「問題解決:MT 3.17とAdminCGIPath https+複数パス」
    http://shellscript.biz/archives/000062.html
Xrea.com さんのサーバご利用の方は、エントリー:
「AdminCGIPath と SSLサーバ (https プロトコル)」
  http://shellscript.biz/archives/000061.html
もご覧下さい。
Movable Type 3.17-ja では、AdminCGIPath を利用したとき、ウェブログの管理画面の ScriptURI (の PATH) は下記のように不正となります。
TMPL_VAR NAME=SCRIPT_URL の右辺に問題があります。
【CONFIGURATION SETTINGS】
   http://www.sixapart.com/movabletype/docs/mtmanual_configuration.html#configuration%20settings
mt.cfg
CGIPath
AdminCGIPath
Examples:

CGIPath http://www.example.com/path/to/mt/
AdminCGIPath https://www.example.com/path/to/mt/

【MT 管理画面 ログイン・ページ】

MT version 3.17-ja
ScriptURI = '/to/mt/mt.cgi';
ScriptBaseURI = '';
StaticURI = '/path/to/mt/';
 
MT version 3.15-ja
ScriptURI = '/path/to/mt/mt.cgi';
ScriptBaseURI = '';
StaticURI = '/path/to/mt/';

【MT 管理画面 メニュー・ページ】

MT version 3.17-ja
ScriptURI = '/mt/mt.cgi';
ScriptBaseURI = '';
StaticURI = '/path/to/mt/';
 
MT version 3.15-ja
ScriptURI = '/path/to/mt/mt.cgi';
ScriptBaseURI = '';
StaticURI = '/path/to/mt/';

[2006.02.2005]
Changed files in MT 3.17
   http://www.sixapart.com/pronet/weblog/2005/06/changed_files_i.html

lib/MT.pm
lib/MT/App.pm
lib/MT/App/CMS.pm
lib/MT/Plugin.pm
lib/MT/Template/Context.pm
mt-db2sql.cgi
php/mt.php
plugins/nofollow/README.txt
plugins/nofollow/nofollow.pl
plugins/nofollow/tmpl/nofollow.tmpl
tmpl/cms/edit_comment.tmpl

(一部のみ引用しました)
[追記 2005/6/23]
上記のファイルを調査を行ったところ、[MT]/lib/MT/App.pm 2005年作成版 が原因でした。
MT315-ja: App.pm,v 1.119.2.1 2004/10/06 22:46:46
ScriptURI は正常な URLとなりますが, 旧バージョンのため、

Error loading : syntax error at (eval 10) line 1, at EOF

と表示され、管理画面は作動しません。以下のバージョンでは、すべて異常な ScriptURIとなります。

MT316-us: App.pm 10862 2005-04-01 01:33:56Z
MT317-us: App.pm 12790 2005-06-02 15:57:42Z
MT317-ja: App.pm 12790 2005-06-02 15:57:42Z

[追記 2005/6/26]
MT 3.17-ja の管理画面を AdminCGIPath http://独自ドメイン/mt/mt.cgi で運用すると、SCRIPT_URL のPATH 不具合は発生しません。しかし、 AdminCGIPath http://複数の階層/mt/mt.cgi (または, AdminCGIPath https://複数の階層/mt/mt.cgi) にすると、エントリー、ウェブログの設定、サイトの再構築などのリンクは、URLのPATHが1階層短縮されるためアクセス不能となり、メイン・メニュー、ログアウトなどのリンクをクリックすると、ログイン・ページにリダイレクトされるなど、ブログのURL以外はすべて不正となります。大幅に変更された [MT]/lib/MT/App.pm ファイル内に問題がありそうです。

Written by support

2005/06/23 at 12:24

カテゴリー: ブログ blog

phpPgAdmin / phpMyAdmin

leave a comment »

Xrea.com さんのサーバでは、データベース MySQL, PostgreSQL を複数同時使用できます。両DBをリモートで管理するデータベース補助プログラム (それぞれ) phpPgAdmin, phpMyAdmin も管理画面で簡単に自動インストールできます。
しかし、絶対パス /virtual/ユーザーID/public_html/log/
内にデフォルトで設定される .htpasswd, .htaccess ファイル はごくシンプルなものです。たとえば、Basic認証情報は、【 ユーザー名:ユーザーID, パスワード:****(4桁) 】です。
つまり、ユーザーID は、オリジナルドメインの運用でなければ、だれでも URL から読み取ることができます。パスワードは、ユーザー管理用パスワード 12桁 ************ の 上4桁(文字)です。暗号強度は、決して安全なものではありません。
しかも、このパスワードがクラッキングされると、ユーザー管理用パスワード 12文字をマスク法でクラッキングできますので、暗号強度は 8桁 (12桁-4桁) に著しく低下します。
    http://tokyo-pax.co.jp/200207.htm
また、phpPgAdmin, phpMyAdmin にログインする際、.htaccess ファイル は http:// のアクセスも可能となっていますので、「オンラインパスワードクラッキング」ツールなどが利用されると、とても危険です。
参照ページ:
    http://akademeia.info/main/lecture1/tokubetu_online_password_cracking.htm
絶対パス /virtual/ユーザーID/public_html/log/ には、ログ閲覧のページも含まれます(ただし、管理画面で有効とした時に限ります)。
よって、暗号強度をより安全なものにするための対策として、ドットファイル .htaccess / .htpasswd を以下のように変更します。
(1) 「ユーザー名」を【ユーザーID】以外に変更し、パスワードは Xrea.com さんの linux サーバで許可されている 8 桁のランダムな英数字 (大小英文字, 数字の組み合わせなど) に変更する。
検索サイトにて、キーワード「パスワード生成ツール htpasswd」を入力すると、オンラインで htpasswd用の暗号化パスワードを自動生成するサイトがいくつもヒットします。
他の参照ページ:
  · 「BooCGIプログラム」
    http://www.booboo.ne.jp/contents/cgi/program/limit/index.html
    http://www.booboo.ne.jp/contents/cgi/program/limit/bpcl/bpcl.pl
参照サイトでは、アクセス制限cgi はリンクウエアで提供されています。また、商用サイトでの使用が禁止されていますので、主催者のページをよくご覧下さい。
Apache を利用した自サーバであれば、htpasswd コマンド に -m オプション を使用すれば、9桁以上の長いパスワードが作成できます (: Xrea.com さんのサーバにSSH接続すると利用できる 制限シェル( rbash ) は htpasswd コマンドを許可していません)。
  · 「ok24.jp – 技術ドキュメント Apache:htpasswd コマンド」
    http://www.ok24.jp/tech/apache_htpasswd.html
(2) phpPgAdmin, phpMyAdmin (および、ログ閲覧) は https:// のみのアクセスとする。
Xrea.com さんのサーバでは、.htaccess 内に

Order deny,allow
Deny from all
Allow from 192.168.1 219.101.229

を追記し、アクセスの URL は、
    http://sb.xrea.com/showthread.php?&threadid=6646
を参照します。
https://ss1.xrea.com/ユーザーID.s***.xrea.com/log/phpmyadmin/
暗号強度 128bit のSSL通信のみ許可しますので、クラッキングのためには、暗号強度 128bitで 8桁パスワードを解読することになりますが、Basic認証のユーザー名は変更されていますので、「ユーザーID」ではアクセスできません。
なお、念のため(ブラウザからドットファイルに直接アクセスされないように)、.htaccess 内に

<FilesMatch "^\.(htaccess|htpasswd|htgroup)$">
Order deny,allow
Deny from all
</FilesMatch>

を追記します。
固定リンク(関連エントリ):
  · 「SSLで暗号化すべきウエブページが http でアクセスできる」
    http://www.osbsd.net/archives/000082.php
  · 「パスワードの暗号強度」
    http://k-12.be/notes/000088.php
  · .htaccess ファイルにより SSL 接続のみ許可する方法
    http://shellscript.biz/archives/000041.html
    

Written by support

2005/06/19 at 10:16

カテゴリー: Server

SSLで暗号化すべきウエブページが http でアクセスできる

leave a comment »

cookie 盗聴、フィッシング詐欺による偽ウェブサイトへの強制的なリダイレクトなどにより、ウエブ上の重要なユーザ情報が盗まれないために。

セッション管理のため cookie を使用するとき[2つのプロトコル(モード): 標準(http) | SSL(https) を使い分ける場合も含む]、ログイン用の認証ページ、内部リンク先で暗号化によるデータ送信のみ行いたいページでは、、http:// ページ用 cookieとは別のものを作成し、かつ http:// では決してアクセスできないように設定する必要があります。
    http://www.ipa.go.jp/security/ciadr/20030808cookie-secure.html
また、https:// ページの cookie には、secure 属性を必ず記述し、暗号送信します。
cookie 設定に際して、通常、有効期限を設けますので、
    http://www.yanagisawa.ws/WBL/ASP/session.asp#Cookie
Cookie 値は、クライアントPC のハードディスクに保存されます。
万一、cookie 情報が、仕掛けられたスパイウエアなどによりクライアントPCのハードディスクから流出( https:// であってもおこります)したり、ネットワーク傍受 ( http:// )により、悪用されたとき、
変数名=値 に [ログインID] そのものを使用していると、
「オンラインパスワードクラッキング」のためのブルートフォースアタック用ツールなどがあれば、少ない文字数のパスワードについてはその解読は短時間で終了します。
   参照ページ: http://akademeia.info/main/lecture1/tokubetu_online_password_cracking.htm
ブルートフォース攻撃を防ぐためには、パスワードの連続入力回数を制限することも大切です。また、変数名に対応する「値」には [ログインID]以外のものを使用します。

SSL, cookie が正しく設定されていないサイトを利用するときの一般的な対策として、
Cookie盗聴によるWebアプリケーションハイジャックの危険性とその対策
    http://securit.gtrc.aist.go.jp/research/paper/AIST03-J00017/
文章内の 補足3 を以下に引用します

・・・対策が不完全なサイト(1. すべてのページが http

s:// で構成されているが、セッション追跡用cookieにsecure属性が付けられていないサイト、 2. SSLで保護すべき画面に http

:// でアクセスできてしまうサイト)においては、利用者による自衛手段がある。
· 攻撃者が仕掛けた罠のリンクにジャンプしてしまうことを防止するため、当該サイトにログイン中に他のサイトへアクセスに行かないようにする。
· HTMLメールを表示しただけで罠のURLへのアクセスが生ずることがあるので、ログイン中にメールを読まないようにする。

Written by support

2005/06/18 at 13:58

SoftEther VPN 2.0 Beta 3

with one comment

仮想ネットワーク (VPN) 構築システムを簡単に実装できるフリーウエア SoftEther VPN は version 2.0 Beta 3 (2005/05/17) から、クライアント OS Windows 98 Second Edition, Windows Me にも対応するようになりました。暗号化方式は SSL です。
  http://www.softether.com/jp/vpn2/

一般的な VPN は PPP (1 対 1 の接続プロトコル) を拡張して実装されているのに対し、SoftEther はスイッチング HUB と LAN カードをエミュレーションすることによって仮想ネットワークを実装するという特徴があります。

クライアントPCでの仮想 LANカード等のインストールはごく簡単です。ただし、Windows Me では、タスクに常駐する vpnclient のため デスクトップが正しく起動しなときは、vpnclient を強制終了します。
また、SoftEther VPN Client 2.0 Adapter のプロパティとして、■ NetBEUI
■ TCP/IP 両方がデフォルトで利用できますが、通常、TCP/IP プロトコルだけで十分です。

Written by support

2005/06/15 at 17:24

カテゴリー: VPN

インターネットの神経システムと免疫システム

leave a comment »

神経ネットワークと免疫ネットワークといった方がよいでしょう。特に、公開型のメーリングリストの中には、スパムのため呼吸困難というより窒息シ寸前のものがあります。
John Borland(Staff Writer, CNET News.com)著
E-mail lists choke on spam
April 13, 2004, 1:36 PM PDT
の日本語訳・編集が「大量のスパムにあえぐメーリングリスト」として掲載されています。「CNET Japan」ホームページ
  http://japan.cnet.com/news/media/story/0,2000047715,20065478,00.htm
  http://japan.cnet.com/news/media/story/0,2000047715,20065478-2,00.htm
choke : @nifty:辞書 [息が詰まる]

"In the early days of the Net, we built a nervous system, but nobody built an immune system," said Marc Smith, a sociologist who studies communities such as Usenet and e-mail groups for Microsoft’s research division. "What we’re seeing now is the emergence of an immune system."

SpamAssassin (参照エントリー: SpamAssassin threshold X-Spam-Flag: YES) などのスパムフィルターやスパム対策も重要ですが、ML メーリングリスト の存続の必要性も議論した方がよいでしょう。

Written by support

2005/06/04 at 11:47