着実にコメントスパムが増えてます~

おかげさまで、仕事用のサイトがネット上に浸透していってる観たいで、コメントスパムが順調に増えています(w

もちろん、akismetがほぼ完璧に近い状態でブロックしてくれているので、コメントスパムの温床にはなっていません。1,500件以上のスパムを処理して1件だけ診断ミスをしたakismetですが、十分すぎる性能ですね。サイトを立ち上げてから一年足らず。この調子で運用しつづけていかなくてはいけないなと思います。スパムも一つのバロメーターですね(w

via S-Factory|Facebookページ

Tiny Tiny RSSのワンタイムパスワードでイライラ

Tiny Tiny RSS(TT-RSS)には、IDとパスワードによる通常の認証の後、One time passwords / Authenticatortという仕組みがあります。実際のところGoogle認証による二段階認証の仕組みが実装されているので、Androidデバイス(スマートフォン等)とワンタイムパスワードを生成するアプリ「Google Authenticator」を持っていれば、IDとパスワードに加えて、一時的に有効な数字のパスワードによる認証が実現出来ます。この方法はシステム的にバグ等の脆弱性が無い限りは、なかなかクラックされにくい仕組みだと思います。

もちろん、Googleが提供しているこのサービス自体に脆弱性等が発覚した場合は、たちまち影響を受けるのでアンテナを張っておく必要はあります。

TT-RSSはちょっとした事でしたら、自分流にテーマをカスタマイズするなりして見た目を変更出来ますし、なによりも自分の環境下で動作するRSSリーダーなので、機能面でもプラグインを追加するなどして自由にカスタマイズ出来る自由さが便利です。つまり自分好みのRSSリーダーを実現する一つの理想的手段です。

ただし、毎日使用していると、先述のワンタイムパスワードの入力が鬱陶しく思えてきます。セキュリティ面から、いちいちスマートフォンのアプリを起動して生成されている数字を読み取り入力する訳ですが、この数字の入力にちょっとしたイライラの原因があります。

続きを読む

WADAXでサーバー引越し

WADAXWADAXをお使いのクライアントのCMSが、PHP、MySQL、PostgreSQLのバージョンに条件があり、現在のサーバー環境では条件をクリア出来なくなってしまったということで、バージョンアップ出来なくなっていました。CMSの脆弱性は結構問題ですので、なんとかならないかとのご依頼を受けて調査をし作業を完了しました。

まずクライアントがお使いのWADAXに問い合わせたところ、PHP、MySQL、PostgreSQLが新しいサーバーへの引越し先の準備は無償で対応してくれるという事でした。1ヶ月の猶予期間を設けるので、その間に現行サーバーに加えて引越し先サーバーの検証をして下さいとの事。検証OKになったら、DNSの切り替え依頼をいただければ対応しますという事なので申請フォーム(FTPパスワード入力欄有り)から要望を書いて申請です。

クライアントさんは、ECシステムのと、Blogシステムを併用していたので、CMSを2つ引越しさせる作業となりました。データベースがMySQLとPostgreSQL両方使っているのでちょいと面倒と言えば面倒ですね。でもこれは普段から触れてないと忘れてしまうのでたまにこういう依頼をいただくと私にとってもちょうど良いのです。

続きを読む

Tiny Tiny RSSをVPS上に設置

Google Readerのサービス終了まで一週間を切りました。試験的にWindowsPC上でTiny Tiny RSSを使っていましたが、概ね良好なので、VPS上に設置して運用を切り替えることにしました。余裕をもってGoogle Readerとはサヨウナラです。

Tiny Tiny RSS(TT-RSS)には、IDとパスワードによる通常の認証の後、Google認証による二段階認証の仕組みが実装されているので、Androidスマートフォンを持っていれば、二段階認証を容易に使用出来るので、セキュリティ面でもワンランクアップ出来ます。

個人的には、デフォルトの見た目が見づらいので、CSSをいじるなどして少しずつカスタマイズしていますが、今後のTT-RSSのバージョンアップの流儀が分からないので、大幅なカスタマイズは今のところ我慢しています。

なんだかんだ言ってもRSSフィードは情報収集の手段としてかなり有効ですから、こういうツールがOSSで提供されているのはありがたい事です。まだ日本語ローカライズが不十分だったりして使い勝手も改善の余地ありですが、十分にパーソナルなRSSリーダーとして活躍してくれるのではないかと期待しています。

WordPressのadminアカウントアタックまだ続く

WordPressのAdminアカウントへのアタックが未だに続いています。
WordPressにはログイン履歴を残すプラグイン、「Crazy Bone」という素晴らしいアプリがあります。ログイン成功、失敗、ユーザー名が存在しないなどのログを残してくれますし、失敗したパスワードも残してくれています。

ここいらでちょっと傾向をみたくてSQLからエクスポートして、UNIQしてみました。結果的にはアカウント名は全て「admin」でアタックされていて、パスワードは色々なパターンで何度もアタックされているので、パスワードだけソートしてユニーク抽出してみました。

WordPress adminアタックパスワード

パスワードのユニーク抽出で495パターンありました。ロシア語みたいなのは文字化けしちゃったので要らないかなと思って削除しました。当サイトには「admin」というアカウントは最初から作っていませんし、ワンタイムパスワードの二段階認証にしているのでそう簡単には突破されないと思います。もちろんWordPressの脆弱性なんかを突かれると防御出来ない可能性もあるので、アップデートには追従していかなくてはなりません。