先月 2013 年 10 月の 1 ヶ月間の Google アナリティクスの結果です。
- ユーザー > サマリー(左に先月、右に先々月と比較表示)
- コンテンツ > サイトコンテンツ > すべてのページ
- トラフィック > 参照元 > すべてのトラフィック
- トラフィック > 参照元 > 検索 > オーガニック検索
以上の4種類の Google Analytics 結果です。
カテゴリー
カテゴリー: コンピューター
Linux の悪戦苦闘記、プログラミング、WordPress、ウェブサービス、Windows、Mac などの話題ですの。
Marvericks へのアップデートで VirtualBox 仮想マシンを起ち上げられなくなった問題の解決方法
- VirtualBox 最新版(投稿時点で 4.3.0)をダウンロードし、上書きインストールすれば仮想マシンを起動できるようになる
ちなみに、OS X Marvericks = Mac を OS X バージョン 10.9 のことですわ。愛称ばかりに目が行って、ナンバーを初めて知りました。
さて、Mac の OS をアップグレードし、Marvericks にいたしました。そうしましたら、勉強に大活躍しいらっしゃいます、Oracle VM VirtualBox、バージョンは 4.2.18、が起動しなくなりました。
この度復帰いたしましたので、その状況をノートいたします。
とある環境で、iptables のログが /var/log/message に出ませんでした。
そこで iptables ログに出していたテキスト、仮に「[Port Scan?] 」といたしましょう、を全ファイルを対象にグレップいたしました。そうしましたら /proc/kmsg に出ていました。
find / -type f -name \* -print | xargs grep 'Port Scan?' /dev/null
/proc/kmsg 、一体何者なんです?いえ、その前にログ情報をもっとほしいです。そこで
tail -20 /prom/kmsg
と試みるのですけれども、全く出力されません。次のようにすると、出力されました。
dmesg | tail -20
ちなみに、「dmesg | tail -f」ですとエラーとなりました。
http:、https: を省略する具体例とメリット、ポイント
- HTML、CSS や JavaScript の URL で使用できる。
- 省略前
<a href="http://example.com"></a> <a href="https://example.com"></a>
↓
省略後<a href="//example.com"></a>
- 自身のサイトを SSL に対応させても、リンクの URL を http から https へと変更する必要がないメリットがある。
- http:、 https: はプロトコル表記やスキームと覚えておく(正確なところは未調査)
- URL をテキストで表示して読んでいただきたいときは、今まで通り http:、https: も記述したほうが、ウェブページであることを伝えられるため変える必要はないと思う。
テキストで書かれたリストのフォルダを、コマンドプロンプトをを使って一発で作る方法ポイント
- mkdir コマンドを使用する。
- 矩形選択のできるエディタ(サクラエディタなど)を使用する。
- エクセルを使って「mkdir」の右の列にファイル名がくるようにし、テキストエディタに貼り付けてセル区切りのタブを半角スペースに置換してもよい。
実践するとこんなかんじになります♪
セッション管理の不備、つまりセッション・ハイジャック、セッション・フィクセーションの脆弱性と、クロスサイト・リクエスト・フォージェリ(CSRF)の脆弱性について、EC-CUBE 2.12.6 を対象に見てみました。
結論をまず申し上げますと、「対策はなされていますけれども、わたくしのレベルが低くて充分なセキュリティ強度があるかどうかは結局わからなかった」です。
ウェブ健康診断仕様の 18 ページ、 (K) セッション管理の不備の検出パターン、「1 ログインの前後でセッションID が変化するか」で「セッションID が変わらない場合」に脆弱性ありとしています。
EC-CUBE 2.12.6 を調べてみましたら、会員ログイン時も、店舗管理者ログイン時も、ログイン前後でセッション ID は不変でございました。脆弱性がありますわ!まあ!どういたしましょう!
そう思いつつ、安全なウェブサイトの作り方の対応セクション、16 ページからの「1.4 セッション管理の不備」を拝見いたしますと、■ 根本的解決の部分に次のようにありました。
- ■ 根本的解決「4-(iv)-a ログイン成功後に、新しくセッションを開始する。」
あら、やっぱり EC-CUBE 2.12.6 には脆弱性があるのでしょうか?もう少し読み込んでみますと、次の対策でも良いとのこと。
- ■ 根本的解決「4-(iv)-b ログイン成功後に、既存のセッションIDとは別に秘密情報を発行し、ページの遷移ごとにその値を確認する。」
また、同様のことが書籍『体系的に学ぶ安全なWebアプリケーションの作り方』にも記載されております。
- P181 に、認証後に「セッションIDの変更ができない場合はトークンにより対策する」ことで、「トークンによりセッションIDの固定化攻撃を防御できます」とのこと。
この対策は、EC-CUBE 2.12.6 のログイン機能に施されているでしょうか?調べましたので記録を残しておきます。
なお、セッション管理の不備について調べていくうちに、トークンをページ遷移ごとに確認する方法はクロスサイト・リクエスト・フォージェリ対策にもなることに気が付きましたのでまとめてノートです♪
読み取り専用ボタンの表示方法
- 表示 → ツールバー → ユーザー設定
- 「コマンド」タブ
- 「読み取り専用の設定/解除」をドラッグして、エクセルのツールバーの配置したい位置にドロップ
手元が狂ってエクセルファイルを編集してしまい、ぼうっとしていてさらに保存してしまうと大変困ったことになるファイル、というのは結構ございます。エクセル表計算が、お金の管理をするのに相性が良いからですね。
ですので、読み取り専用にして、うっかり弄ってしまったとしてもセーブできないようにいたしますと実際安心ですの♪
おわりに
ちなみに、「設定方法」と打とうとして、「設定ホッホ」とタイプしてしまったことはヒミツですの♪なんだかかわいい♪。。。どうでもいいですの。
以上です。
ポイント
- Cookies はウェブブラウザに一定期間保存される。
- php.ini で session.cookie_secure = 1 と設定してを再起動するとウェブサーバに反映される。
- よって、サーバのクッキー設定をウェブブラウザから確認するためには Cookie をまず削除することが肝心
大変初歩的なことでございますの!どうして気が付かなかったのかしら><。
Chrome のデベロッパーツールでの Cookie のセキュア属性確認方法
- Chrome を起ち上げ、右クリック「要素の検証」または「command + option + i」または「commando + option j」でディベロッパーツールを起動する。
- 上部メニュー「Resources」を選択する。
- 左メニュー「Cookies」の欄からクッキーを選択する。
- 右側の項目「Secure」を確認する。
一言で言えば、「デベロッパーツール > Resources > Cookies > Secure でクッキーのセキュア属性を確認」ですの。
これで、チェックがついていればセキュア属性が有効と判断できると考えています。
前提
- 集★3までをクリア。ハンターランクを4にする。
集会所クエスト3をクリアし、自分自身のハンターランクを4にすることがデッドリィタバルジンを作る上の必須条件でございます。一緒に「近くの人と遊ぶ(ローカル通信)」で遊んでいただいた方に集会所のキークエストに連れて行ってもらい、キークエストだけわたくしたちが受けて効率よくハンターランクを4にいたしました。
なお、村クエスト4の緊急クエストである「黒く蝕み地を染めん」ゴア・マガラ討伐まですすめておりました。こちらの条件は必須ではありません。ただ単に、デッドリィタバルジンを作る時の状況を確認したまでです。