セキュリティ」タグアーカイブ

はてなブログをWordPressに引っ越してSSL(HTTPS)対応~Let’s Encryptの備忘録

投稿日時: 投稿者:
返信

Let’s Encryptの設定備忘録

4年ほど前に知り合いから相談を受けて、はてなブログの操作を確認する為に無料版で公開し始めたところ、意外と書くテーマがあってコツコツ続けられたのでそこそこ記事がたまって来ました。

当初は操作性や機能を確認する目的だったのですが、独自ドメイン(サブドメイン)をDNSで割り当ててみたくなり、有料版(はてなブログPro)をすぐに使い始めたのですが、はてなの対応がイマイチ良くないこともあり、時代の流れ上当然であるSSL(HTTPS)にも対応してくれないし(今日現在まだ有料版のPROは対応していません。

しかも逆撫でする様に無料版はSSL対応済みだという現状・・)。これはダメだなと、はてなブログを捨ててWordPress環境に移すことにしました。少なくとももはやお金を払って使用する価値は私にはありません。契約期間が終わったらさいならです。

幸い、当サイトと同様に自前のWebサーバーはSSL対応の下地は出来ているし、IPv6対応も済ませているので、メインとなる面倒な作業はWordPressの動作環境を整えることと、既存コンテンツ(記事&画像)を移すことが課題でした。

当初思っていたよりも容易に移行出来たので一日で引っ越し出来ました。WordPressマルチサイトモードの検証という寄り道が無ければ半日で終わったかも知れません。複数のサイトをまとめるためにWordPressマルチサイトモードに期待していたのですが、パーマリンク動作が怪しいので今回はパスする事にしました。マルチサイトを必要とするユーザー数は圧倒的に少ないのでバグがまだ残っている可能性が高いと思います。

さて二年ほど前に当サイトをSSL対応させた時の記録は端折っていてちょっと不安でしたが、結局Let’s Encrypt公式ポータルを参照しただけでSSL証明書の組み込みが出来ました。しかし物忘れも激しくなって来ましたし、先々きちんと思い出せるか自信が有りません。それに次回の作業はもっと時間短縮させたいので自分の為に要点だけ残しておきます。

自分なりに敢えて不要な部分は残さずわかりやすくしているつもりなので、この記し方が誰かに役立てば何よりだと思います。(だいた私のノートは子供の頃からこんな感じです。詳しい解説は教科書や参考書を読めば良いですからね。Let’s Encryptなら公式サイトに書いてある事が一番信用出来ます。)

前回の作業記録

当サイトをSSL(HTTPS)対応~Let’s Encryptで証明書代金はかからず/

続きを読む

当サイトをSSL(HTTPS)対応~Let’s Encryptで証明書代金はかからず

投稿日時: 投稿者:
返信

昨今のWebサイトはセキュリティ意識のことからSSLが標準化されて来ていることもあり、重い腰を上げて本日(2016年11月24日)HTTPSでこのサイトを公開できるように修正しました。

やってみれば結果的にはもっと早くすればよかったと思えるものです。コンテンツ内のリンクがHTTPで張られているものは、SQLの置換で一気に修正出来ましたので、WordPressはこういう時に便利だとURL変更の度に実感しています。。

肝心の、SSL証明書はドメイン認証で十分ですし、S-Factoryとしての活動は休止していることもあり、無料で認証して頂けるLet’s Encryptを使用してみる事にしました。Let’s Encryptによる認証は証明書の有効期限が90日という制限があるので、期限切れになる前に更新しなくてはなりませんが、比較的簡単ですし、自動化も出来るので、サーバーを自分でいじれる人ならさほどハードルは高く無いと思います。

要点としては

  • サブドメインも個別に証明書が必要(一緒に更新出来る)
  • 同一ドメイン(サブドメイン)内のコンテンツに、非SSLコンテンツ(画像とか)が含まれていると「https」と「http」が混在となるので安全な接続とはみなして貰えない。
  • 当然ながら外部リンク先はhttpでも可

これくらいでしょうか。

Webサーバ-のSSL対策後は「Qualys SSL Labs」でチェックさせて頂きA+の結果を得られました。

sss-report

続きを読む

ウィルスバスタークラウドで検査ファイル収集

投稿日時: 投稿者:
返信

ウィルスバスタークラウドで不可解な症状が出たので、トレンドマイクロに問い合わせたら、ウィルスログの収集と、隔離されたウィルス検体を送って欲しいと返事が来た。

■ ウイルスログの抽出

(1) タスクトレイのウイルスバスターアイコンをダブルクリックし メイン画面を起動します。

(2) メイン画面の右側にある「セキュリティレポート」項目をクリックします。
※パスワードを求められる場合は、パスワードを入力します。

(3) 画面右下の [詳細の表示] をクリックします。

(4) [表示の選択] にて [ウイルス] を選択します。

(5) 画面右上の [ファイルに出力] をクリックします。

(6) 「名前を付けて保存」画面で [保存する場所] を
[デスクトップ] にし、[ウイルスログ] と名前をつけて保存します。

(7) [×] ボタンで画面を閉じます。

こっちは問題なし。テスト用ウィルス(eicar)を隔離してるのでファイルに出力したら出来た。

vbuster_list

問題は隔離ファイルのコピー。指定されたフォルダは存在しなかった。

【2】隔離ファイルのコピーを作成

(1) [スタート] ボタンから [コンピュータ] *を開き、以下の順番でフォルダを展開します。
[Cドライブ] → [ユーザー] → [All Users] → [Trend Micro] → [AMSP]

※Cドライブは、お使いのコンピュータにより表記が異なる場合があります。
ドライブ名の後ろに(C:)と記載されているものが「Cドライブ」です。

(2) [AMSP] フォルダ内の [quarantine] フォルダ上で右クリックし 「コピー」を選択します。

(3) デスクトップ上で右クリックし、「貼り付け」を選択します。

(4) デスクトップに [quarantine] フォルダが作成されるかご確認ください。

Windows7でアプリが保存するファイルは、大抵ProgramDataにあるので探ってみたところ見つけられた。

C:\ProgramData\Trend Micro\AMSP\quarantine

ここに隔離フォルダと隔離されたと思われるファイルが存在したので、lhaphusで圧縮するところまでバッチ処理させてみた(デスクトップにzipで保存される)。これならフォルダが非表示(隠し属性)になっていても対応出来るだろう。

“C:\Program Files\Lhaplus\Lhaplus.exe” /c:zip /o:”%HOMEDRIVE%\%HOMEPATH%\DESKTOP” “C:\ProgramData\Trend Micro\AMSP\quarantine”

ウィルスバスターもなんか今ひとつ製品の質が良くないように思う・・頑張って欲しいものだ。

Google Play Musicは仮想環境から使えない?

投稿日時: 投稿者:
返信

Google Play Musicは非常に便利なので、私自身だけでなく、家内や家内の家族(義理の親)も使えるようにしていて活用しています。

ただ、音楽のアップロードを自分で管理出来ないという事情で、私がWindowsパソコンから各自の音楽CDを預かって、各アカウントにアップロードをしています。Google Music Managerのログインアカウントを切り替えて。

しかし、Google Music Managerによるアップロードは、1台のPCで2つのアカウントに制限されています。PC側では無く、Google Play側でアップロードに使用するPCの許可を管理しているらしく、記憶されるとGoogleアカウントからPCを削除しないと1つのPCでは3つ目のアカウントにログイン出来ません。

仕方ないので、仮想環境(VMWare Player)を使う事にしました。つまりもう一台Windowsパソコンを増やしたという事にします。音楽のアップロードだけなので、使わなくなったWindows XPをVMWare Player環境にインストールしてシンプルに使います。XPもそろそろ寿命ですがもう少しは使えますからしつこく使ってみます。

ところが、Google Music Managerで3つ目のアカウントにログインしようとすると、「Could not identify your computer」というエラーが表示されてログイン出来ません。どうやら仮想環境だとバレているみたいです。

続きを読む

プロキシ(Proxy)について考えてみた

投稿日時: 投稿者:
返信

プロキシと言えばアングラ臭がする言葉ですが、最近ではTorなんていうP2P技術を使ったProxyが主流となっていることから、SquidやApache等で構築していた旧来のプロキシは、もはやレガシーな技術なのかも知れません。

しかしながらそれが故に、旧来のプロキシの本来の役目や使い方、そしてややアングラ寄りの用途での使い方のポイント等、最近ではあまりそういうハウツー記事を目にする事が減ってきた様な気がします。

昨日記した、米国内にしかサービスを提供していないGoogle Play Musicに日本からアクティベートする方法として、一般的に知られているのがこのプロキシ(Proxy)を介しての通信により、あたかもus(The United States of America)からのアクセスであるかの様に偽装する方法ですが、多くのサイトで手法をサラッと流してくれているのでスムーズにできる人は簡単にできちゃうのですが、ちょっとした解釈違いや要点を見落とした人は躓いてしまうこともある様です。

インターネットというネットワークの世界では、IPアドレスという番号の羅列で、ネットワークの判別が出来るようになっています。詳しいことは省略しますが、このIPアドレス(グローバルIPアドレス)は、各国毎に割り当てらが決められているので、IPアドレスの割り当てデータベースに照会すれば、どこの国からアクセスして来てるのかは簡単に判別出来ます。

つまり、我々日本に済む日本人は、米国のネットワークに接続されているサーバー経由でGoogle Play Musicにアクセスする事で、Googleを騙している訳で、一応Googleはアメリカからのアクセスだとして(容認)してくれているのです。Googleレベルの技術力を持っている組織であれば、プロキシを噛ました位では本当は日本からのアクセスだとバレバレだと思います・・(w

つまりいつまでもこの方法で日本からアクティベートが成功するという保証は全く無い訳です。Googleが大目にみてくれているからこそ、日本国内からでも一応利用させてもらえるという程度の認識はしておいた方が良いでしょう。いつそれが出来なくなるかもGoogle次第でしょう。

余談ながらプロキシ以外の方法では、USサイトでスルーしてくれるVPNを通すという方法もあります。現状はGoogleのサーバーに、us割り当てのIPアドレスからのアクセスだと認識させれば受け入れてもらえるという基本的な考えはProxyでもVPNでも同じです。

続きを読む