著者アーカイブ ym

著者:ym

WinSCP と Windows 10 ダークモードの相性

Windows 10 のダークモードと WinSCP の自動判定が相性悪く、固まって困ってます。

WinSCP 5.15 あたりから Windows 10 のダークモード対応が入ったのですが、これまた非常に相性が悪い。Windows 10 「黒モード」でも「白モード」でも、WinSCP 「黒」「自動」共に固まります。

私の PC だけなのかもしれませんが。

やむを得ず「WinSCP」のウィンドウだけ「白」モード固定設定にして回避しました。

著者:ym

httpd 2.4 で php 5.2

動かす必要が出てきたので準備をしています。apxs を使用したコンパイルでインストールしたけど configtest で unixd_config がエラーとなった為、少しパッチを当てました。

unixd_config → ap_unixd_config
--- php-5.2.17/sapi/apache2handler/php_functions.c      2010-01-03 18:23:27.000000000 +0900
+++ php-5.2.17-apache24/sapi/apache2handler/php_functions.c     2019-10-11 12:19:53.000000000 +0900
@@ -383,7 +383,7 @@
        char *p;
        server_rec *serv = ((php_struct *) SG(server_context))->r->server;
 #if !defined(WIN32) && !defined(WINNT) && !defined(NETWARE)
-       AP_DECLARE_DATA extern unixd_config_rec unixd_config;
+       AP_DECLARE_DATA extern unixd_config_rec ap_unixd_config;
 #endif

        for (n = 0; ap_loaded_modules[n]; ++n) {
@@ -414,7 +414,7 @@
        php_info_print_table_row(2, "Hostname:Port", tmp);

 #if !defined(WIN32) && !defined(WINNT) && !defined(NETWARE)
-       snprintf(tmp, sizeof(tmp), "%s(%d)/%d", unixd_config.user_name, unixd_config.user_id, unixd_config.group_id);
+       snprintf(tmp, sizeof(tmp), "%s(%d)/%d", ap_unixd_config.user_name, ap_unixd_config.user_id, ap_unixd_config.group_id);
        php_info_print_table_row(2, "User/Group", tmp);
 #endif

こんな感じで変更した所 configtest は無事通過。

著者:ym

popサーバプログラムの追跡

今日はあまりにも問い合わせの多い pop サーバ不具合の追跡作業を行いました。

POP3 over SSL だったのを non-SSL で通信させパケットダンプ。さらにダンプしたデータを wireshark で読み込ませてどこで壊れるかを探しました。

恐らくは OS が 32bit から 64bit へ変わったことにより size_t 周りがバグったと思われる症状です。

size_tは環境によって定義が変わるという話

https://ota42y.com/blog/2014/11/08/size-t/

私自身、他人の C 言語プログラムがデバッグできる知識は無いのですが、問い合わせの事を考えるとやむを得ず追跡しています。がしかし、原因箇所特定できず。

つづく。

著者:ym

HTTPS ページでの HTTP/HTTPS 混在

Google Chrome 79.0以降では、https (SSL) ページ上で http コンテンツがある場合は、動作を停止するようになるらしいです。

今までは鍵マークの異変だけでしたが、今度は JavaScript や、iframe 等を http (non SSL) でコンテンツを引用している場合もそもそも動作しなくなる形。

安全性も上がるし、スッキリして良いですね。

混合コンテンツの防止

https://developers.google.com/web/fundamentals/security/prevent-mixed-content/fixing-mixed-content?hl=ja

著者:ym

TLS1.0/1.1 の無効化に向けて

Google Chrome で TLS 1.0/1.1 が無効化に向けて動いている様です。

2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。

https://security.srad.jp/story/19/10/04/2254213/

サーバ側としては既に TLS1.2 で受付している為、とくに影響を受けないが、古いブラウザ向も受け付ける為に現状では TLS1.0 や TLS1.1 も受付をしている。

予定を見ると、2020/1 月から Google Chrome で開始され、3 月には Firefox も TLS1.2 化となっている様です。管理画面など重要なサーバでは TLS1.0 ややめる等の対応をしているが、これからは TLS1.2 のみ受付へ変更していく予定です。

SSL Server Test

https://globalsign.ssllabs.com/

サーバがどのTLSプロトコルを受け付けているかチェックできるので、調べてみては。

著者:ym

日中間の仮想専用線

また、日本のサーバーから回線とインターネットのポートサービスのみでアクセスさせるため、ICP/PSB Beianライセンスを必要とせず、誰でも利用できる点も特徴

https://cloud.watch.impress.co.jp/docs/news/1204089.html

サービス範囲を見ると、CDNetworks 社が中国拠点で待ち受けている図になってるようです。それでライセンスがいらないということなのかな。

クラウドサービスとSSL/TLS通信が一般的になり、あまりVPNを使わないでどうにかする世の中になっているのかもしれませんが。こういった閉域網は、こういう所でまだ必要ですね。目的は変化していますが。

著者:ym

Windows7 の有償延長サポート

来年2020年1月14日で Windows7 のサポートが終了しますが、有料でサポートを購入する事もできる様な情報が出てきました。

米マイクロソフトはこの方針を転換。ボリュームライセンス契約を結んでいるかどうかにかかわらず、あらゆる企業がWindows 7の延長サポートを購入できるようにすると発表しました

今回の発表で新たにWindows 7 ProfessionalとWindows 7 EnterpriseのESUが、マイクロソフトのクラウドソリューションパートナー経由で12月1日より購入可能になります。
Windows 7 ESUはデバイスごとに販売され、1年ごとに料金が値上がりしていく予定。

https://www.publickey1.jp/blog/19/windows_72023.html

どうしても Windows7 を安全に使い続ける必要がある場合は、ボリュームライセンスでなくてもこの有償サポートを購入する事で維持ができそうです。

ただし年々料金が上がっていく仕組みらしい。

著者:ym

いよいよ消費税率10%

8%最終日となりました。明日に備えて、事前に10%へ書き換える作業を行っていました。

家電やさんも駆け込み需要で大忙しだった様ですね。宅配便のシステムもトラブったようですね。

結局我が家は、突然壊れた 32 インチテレビを先月分割で購入したので、その家電だけでした。

あと、勝ちましたね。白いという理由だけでラグビーワールドカップなナンバーを取り付けましたが、日本が勝ってつけてよかったと思います。記念になります。

著者:ym

DMARC report の policy_evaluated

レポートを見ていると、auth_results については DKIM も SPF も pass となるのだが、policy_evaluated については adkim, aspf ともに fail となる症状。

Dmarc: Why do I have dkim=fail, spf=fail and result=pass

https://security.stackovernet.com/ja/q/38420

少しにた症状を見つけたけど、ちょっと違う様子。

内部から外部への送信の際は、2段階MTAを経由した後、外部とつながるMTAから送信となる為、外部とつながるMTAでDKIM署名をしている状況だけど、どうやら source_ip は一番末端の IP アドレスで検証している?レポートを見る限りそのような感じがするのだが、どの IP を見ているのだろうか。

adkim、 aspf パラメータは、いずれも relaxed mode を示す r か strict mode を示す s のいずれかの値を設定します。relaxed mode とは、DKIM あるいは SPF で認証したドメイン (認証識別子) と、ヘッダ上の送信者情報 (From:ヘッダ, RFC5322.From) との組織ドメインが同じであれば良い場合を示します。

https://www.naritai.jp/guidance_record.html

次に DKIM に要求されるアライメントは、以下の通りです。
strict(adkim=s)
署名ドメイン(d=) = ヘッダ From ドメイン 完全に一致
relaxed(adkim=r)
署名ドメイン(d=)の組織ドメイン = ヘッダ From の組織ドメイン 一致

そして、DMARC の認証が成功(dmarc=pass)となるには、
SPF の認証成功(spf=pass) & アライメント一致
または
DKIM の認証成功(dkim=pass) & アライメント一致
であることが必要です。

https://eng-blog.iij.ad.jp/archives/3273
著者:ym

CentOS 8 rel.

先日9月24日に CentOS 8 の正式リリースの案内がありましたね。

[CentOS-announce] Release for CentOS Linux 8 and CentOS Streams

https://lists.centos.org/pipermail/centos-announce/2019-September/023449.html

CentOS-8 (1905) リリースノート

主な変更点

ネットワーカーな部分としては iptables → nftables と変化しているあたりは見ておこうと思います。

CentOS 7 自体はあまり触る機会がないまま CentOS 8 を使う事になりそうです。