技術・開発

ChromeのSSLで接続エラーになったときのサーバー確認ツール

昨日、こんな投稿をぶっこんでみましたら、思いのほか参照されまして、世の中、SSLで困った人が多いのだなあとうかがえます。

Chrome 45でSSLサイトに接続できないという話がちらほら

いろいろなサイトを調べてみましたら、サイファー・スイートのミスマッチでハンドシェイクの段階で失敗しているのがほとんど。世の中にはSSL v3はおろか、SSL v2が生きているサイトもかなりお見受けいたします。大丈夫なんだろうか・・・

サーバー側のSSLの設定の確認ツールはいろいろとありますが、自分にとって使い勝手がよかったのは以下のサイトです。

SSL Server Test : https://www.ssllabs.com/ssltest/

とりあえずテストサイトのドメイン/ホスト名を入力してクリックすると、証明書、署名アルゴリズム、サイファー・スイート、主要ブラウザ出のハンドシェイクのシミュレーション結果などが表示されます。

心当たりがあればテストしてみることをお勧めしますし、対策後の確認にも使えるのではと思います。

Chrome 45でSSLサイトに接続できないという話がちらほら

最近、ChromeがVersion45にアップデートされたのですが、一部のSSLのサイトで接続できなくなったという話をちらほらと耳にしました。例えば、クロネコヤマトの宅急便のクロネコメンバーズのログインページの場合には、

SSL サーバーが古い可能性があります。
ERR_SSL_FALLBACK_BEYOND_MINIMUM_VERSION
という表示が出てきます。さてはSSL v3のいわゆるPoodle脆弱性関連で手が入ったのかなと思いましたが、単純にそういうわけではなさそうでした。
NGとなるサイトを軽く調べてみますと、共通するのはサイト証明書の署名アルゴリズムがSHA-1であります。SHA-1自体は2015年で廃止予定で、サイト側は早めにSHA-2(SHA-256)への切り替えが推奨されますが、それまでの移行措置としてURL表示欄の鍵の部分に警告マークが表示されるようになってました。リリーススケジュールを前倒しでブロックしているわけではなさそうですが、さっさと切りかえるに越したことはないです。
また、v45のリリースではTLSプロトコルのlogjam脆弱性への対策がされています。具体的にどのような変更があったのかは見つけることができませんでしたが、v45以前のバージョン向けに以下のサイファースイートをdisableする対応が取れるとのこと。この手の設定変更が正式に組み込まれているのかもしれません。
(0xcc15) TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
(0xcc9e) TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
(0x0039) TLS_DHE_RSA_WITH_AES_256_CBC_SHA
(0x0033) TLS_DHE_RSA_WITH_AES_128_CBC_SHA
出展:https://scottontechnology.com/how-to-secure-chrome-against-logjam/
Chrome43のハンドシェークのシミュレーションで同じサイトを見ると、上記のサイファーのうち1つを使っていましたので、直接的な原因はこちらの方のようでした。
サーバー側の鍵やらサイファースイートの設定見直しが必要ですね。
US側にもトラブル事例が少ないようで、まだ詳しくは追えていませんが参考までです。
9/5追記
logjam脆弱性対策については、DHが1024未満のものはブロックする設定になったようです。
ブロック時のスクリーンショット
9/6追記

クライアントサイドでのTLS 1.0へのフォールバックが廃止されたためということらしいですね。
Intent to remove: TLS 1.0 version downgrade
https://groups.google.com/a/chromium.org/forum/#!msg/security-dev/F6ZjP6FnyRE/bK7TKtvnHYsJ

関連記事:スラド http://security.srad.jp/story/15/09/05/2140223/

Twilioを利用した素晴らしいOSS ”OpenVBX”は、もっと広まっても良いと思うよ。

昨年のTwilioスマートコミュニケーションアワード2014で賞をいただき、今年のTwilio のカンファレンス “SIGNAL” 2015にも参加したせいか、時々、Twilio関連の案件打診をいただきます。昨日、Twilioを使ったコールセンターシステムの構築打診をいただいたのですが、予算が少なく、かつ、現状でも電話問い合わせがパンク気味なので、なるべく早急に欲しいという事でした。

例えば電話転送や留守番電話、指定のボタンを押した際に、押した番号によって転送先を切り替えるIVR機能などが必要とされるのですが、逆にこのくらいの要件であれば、オープンソースの素晴らしい製品”openVBX”を導入すれば簡単に利用できるのですね。

まずは、こちらのページをご覧いただくのがよろしいかと。OpenVBX powered by Twilio

まずはTwilioのアカウントを取得したのち、OpenVBXをインストールします。そしてTwilio関連の設定を入れてしまえば050番の電話番号はいくらでも購入できますし、それらの電話番号が着信した際の対応もドラッグ&ドロップなUIで定義できます。

もちろんIVRの機能も持っていて、押した番号によってふるまいを変えることができるわけです。(内部的にはTwilioのgather文を発行しているのだと思う。)

残念ながら日本語UIは用意されていないので、若干ハードルは高いですが、いわゆるLAMPスタックをいじれる人であれば、さほどインストールは難しくありません。

こんな事書いちゃうと開発案件が減ってしまうかもしれませんが(笑)、車輪の再発明をしてもしょうがないので、ぜひ検討してみてはいかがでしょうか。(これをSaaSサービスで提供すれば儲かるんだろうなあとは誰もが言いますが、あまり手を付ける人がいないですね・・・)

 

ThunderbirdのカレンダーをGoogleカレンダーと連動させる方法

今朝、メールをチェックしていたらThunderbirdの更新がかかり、38.1ではカレンダープラグインの”Lightning”がバンドルされました。以前にこのプラグインを利用していたのですが、Googleカレンダーを利用しておりまして、カレンダーが分散すると管理できないので使うのを止めていたのですね。

ただ、よくよく調べてみると連携出来る事がわかりまして、試してみたところ、それなりにうまく動きましたので、その手順をメモがてら。

1. “Provider for Google Calendar”プラグインの導入

このプラグインを利用するとGoogle Calendar RESTful データサービスに接続して、Google カレンダーやTODOのデータをLightningと連携します。

  • ツール>アドオン
  • 右上の「アドオンを検索します」に”Provider for Google Calendar”を入力
  • ADD-ONページを ”+ Add to Thunderbird”をクリック
  • ダウンロード後、右上の「今すぐ再起動」をクリック

Provider for Google Calendar

※Thunderbird本体ではなく、ブラウザで上記のページにアクセスした場合には、xpiファイルをダウンロードした後、ツール>アドオン>オプションボタンをクリック>ファイルからアドオンをインストール を選択し、ダウンロードしたxpiファイルを選択してください。

2. Thunderbirdの設定

連携先にGoogleカレンダーを指定していきます。

  • ファイル>新規作成>カレンダー
  • 「カレンダーの保存先」で「ネットワークのサーバーに保存する」を選択

カレンダーの保存先

  • 「カレンダーの保存先」で”Google Calendar”を選択
  • 連携したいアカウントのgmailのアドレスを入力
  • 連携したいカレンダーやタスクリストにスイッチを入れる
  • 「カレンダーが作成されました」が表示されればOK

カレンダーの画面は

  • 予定とToDo>カレンダー

または、Thunderbird画面の右下の「Todayペイン」

で表示されますので、連携できていればGoogleカレンダーの登録内容が反映されています。

逆にThunderbirdで

  • 予定とToDo>新しい予定

などから、追加した予定がGoogleカレンダーに追加されることを確認してみてください。(追加する際には「カレンダー」の指定をGoogleアカウントを指定することを忘れずに!)

Windows10への移行後に注意すること

以前に仕事でMacを使った時期もあったのですが、度重なるフリーズ、ファイルの破損、レポート納品後に「一応、みてくれは良いとせざるをえないけどねえ・・・」とか言われて、翌年から「WindowsのWordで作成したファイル」と、業務仕様書に書かれてしまうなど、あまり良い思い出が無いので、以来、ずっとWindowsをメインに使っています。演算用にAlpha版NT機まで使っていたので、そこそこのヘビーユーザーだったと思います。

今回、鳴り物入りで登場したWindows 10ですが、前評判の良さにワクワクしながらアップデートを待ったのですが、ちっとも「更新通知」が来ないのに業を煮やして手動で行いました。

1日使ってみた感想としては「評判通り」で、かなり良い仕上がりになっていると思います。

  • 移行が素晴らしい。もちろんダウンロードなどに時間がかかるが、起動後も特に問題なく使える。デバイスマネージャーで見てもドライバー互換性でのエラー0。すげー
  • UI周りで小さい虫がちらほら。マウスカーソルが変わったままになったり、画面がはみ出してみたり。まあ、時が解決してくれるでしょう。
  • 日本語だとcortanaが使えない・・・・さらには、オフラインマップのダウンロードが出来ないってばよ・・・
  • 噂のEdgeブラウザも、みずほ銀行と三菱東京UFJに突撃してみたが、残高照会くらいまでは問題なくできたので、IE6ゴリゴリ仕様な所以外はさほど問題にはならないのかと。ただ、Facebookの投稿の時に書いている途中の文が消えるなど、まだバグがちらほら残っている模様。
  • カレンダーがGoogleカレンダーと同期出来るのはGood。メールもマルチアカウント対応になった。
  • やはり仮想ディスクトップは便利。(いままでもアプリを入れて使っていたがOSがサポートしたのはGood. 「OS/Xでは昔からできたよーん」とか言わない!)
  • UIフォントが”Yu Gothic UI”に変更。正直、読みにくい。画面の読みにくさはClearTypeチューニングを行ったらそこそこ改善するが、それでもアプリによっては気になる箇所がちらほら。特に多用しているMozilla系アプリでは表示がボケボケ。使えないわけではないのであきらめる。
  • Modern UIさようなら。ダッシュボードとしては、それなりに使えていたんですけどね。

移行後に気を付けないといけなかったポイントとしては

  1. Skypeの再インストールが必要だった。他のアプリがキレイに移行されているので、そのまま放置していたら着信できなかったりするので注意。
  2. OneDriveの設定も個別に必要。移行後にシンクロが止まっているではないですか。管理対象フォルダの再指定と共に再開してあげないと、思わぬ事故の予感。

初期バージョンならではのトラブルは見られるものの、これまでのOS移行を思えば格段に良くなりました。フィードバックをバンバン送れば修正も早まるのではと期待してます。

 

ブラウザのシェアでIEが下がりChromeが主流に

かつてのブラウザ戦争を知る世代にとっては、IEの過半数割れって栄枯盛衰を感じますね。

ついに日本でもIEが過半数割れに、世界はすでにChromeが寡占
http://ascii.jp/elem/000/001/020/1020922/

バージョン3~6あたりのブラウザ間の互換性がひどかった時代に比べれば、それなりにそれぞれのブラウザが標準準拠してきました。そのため、画面での表現上、画面レイアウトが見るに堪えないレベルのという事は無くなりましたので、昔ほどはブラウザシェアの持つ意味は低くなったと思います。それでもWebアプリを外注するようなケースではテストケース作成の段階で、どこまでを対象にするかは悩みどころですね。社内限定利用のイントラ以外では「とりあえずIE限定で」というのも難しくなってくるわけです。

個人的にはChromeのメリットは出始めの頃よりは大きく薄れているように感じます。IEもMozilla系ブラウザも、もっさりとした挙動の中、Chromeの軽さは群を抜いていました。ただ、最近は機能追加によりメモリはバカ食いするわ、挙動は重くなってくるわと、IEやFirefoxを使うのと大差ない感覚ですね。使っている携帯電話がAndroidなのでChromeを使う方が親和性が高いように思えるのと、PCとの連携をするためにChromeも利用していますが、利用規約を見るとちょっと怖い事もあり、普段使いはFirefoxにしています。以前は敬遠していたIEも最近のバージョンは悪くないと思っています。ただ仕事柄か周りの人ではIEを普段使いしている人は見ませんね。そもそもMac使いがかなりを占めるようになってきていますし。

メーラーのThunderbirdに嫌気がさして、またThunderbirdに戻った話

WinbiffやAL-Mailあたりから始まり、Netscapeのバンドルのメールソフトに移行した後、Mozillaメールを経てThunderbirdへと。比較的Netscapeの流れをくむメールソフトを使いつづけていたのですが、頻繁にフリーズするのが嫌で大変ストレスがたまるわけです。ただひたすら惰性で使い続けていたのですが、先週についに臨界点を越えまして、乗り換えを決意しました。

乗り換え先の候補のために、最近の評判などをあれこれ検索してみたのですが、そんなに新しいものって出ていないのですね。まあ、メッセンジャーソフトの方にコミュニケーションが移りつつある今、枯れたメール系の方に今から足を突っ込みに来るのは得策ではないと。

Becky!、 秀丸メール、Opera Mail、などを、それぞれインストールして動きを見ていまして、それぞれ「懐かしいなあ・・・」「良いなあ・・・」と思いましたね。カレンダーと同期は以前からありましたが、メールへコメントをつける機能があったりと、それぞれ工夫されています。いくつかを入れっぱなしにして数日使ってみていたのですが、気になることが。それは・・・

「アーカイブ」ボタンが無い!

GTD的かつgmail的なメールの整理方法だと思うのですが、処理済メールをInbox/受信トレイから消していくやり方に慣れきったら、受信トレイにどんどんとメールが溜まっていくのは非常にストレスが溜まるのですね。「どこまで処理したんだっけか?」「返信忘れはないだろうか?」とか気になるんですね。この「アーカイブ」ボタンはThunderbirdにはついていまして、それぞれアーカイブフォルダに入れなおしてくれるんですね。いまどきのメールソフトにはこの機能が無い。これは意外でした。

同じような機能は、例えばアーカイブ用のフォルダを別に作って、処理済メールは「移動」コマンドなどを利用して受信トレイから消すことは出来るのですが、やはりボタン一発で処理できないというのは、それなりに面倒だったりします。

時々フリーズ気味の処理の不安定さと、処理の面倒さとを天秤にかけるわけですが、結局はThunderbirdを使い続けているわけです。何と言いますか、古女房といいますか、ダメな所も目をつぶって付き合っていくという男の甲斐性を試されているような気分にされるわけです。

いやあ、いまどきのメールソフトでも、いろいろと手を入れて俺好みに調教してやればいいのかもしれないのですが、それも面倒なんですねえ・・・

「これイイよ!」というのがあれば教えて欲しいです。

Windows版Emacsでtabbarをインストール

自分用のメモです。

Windows版のEmacsで、Packageを使ってパッケージをインストールしようとすると、エラーが出て出来ない場合がありまして。同じ設定でLinuxではすんなり入るのですが、Windows版だと途中で止まってしまっているようで困った。

elファイルを落としてきて、byte-compileするとかすれば使えるようになるんだろうけど、構成は合わせておきたいなあと。

packageの設定が出来ている事を前提にしまして

  1. パッケージのtarファイルをダウンロードしてくる。(今回は、tabbar-20141109.143.tar)
  2. C:\Users\(User Name)\AppData\Roaming\.emacs.d\elpa に解凍
  3. M-x update-directory-autoloads を実行
  4. “Update autoloads from directory:” プロンプトの後、”~/.emacs.d/elpa/tabbar-20141109.143/ を指定
  5. “Write autoload definitions to file:”プロンプトの後、”~/.emacs.d/elpa/tabbar-20141109.143/ tabbar-autoloads.el”を指定
  6. 上記のパスに tabbar-autoloads.el が作成されている事を確認

ここでemacsを再起動すると、tabbarが利用できるところまで確認。おそらくはパッケージのアップデートなどには対応出来ない気もするのだが、取り合えずの一時しのぎに。もっと良いやり方があるような気もする。単純にtar玉を展開するだけだと、起動時にエラーが出て有効にならないので上記3の手順が必要。

Lenovoのアドウェア”Superfish”問題とアンインストール方法など

TechCrunshさんの記事“LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!” を読みまして、ThinkPadユーザーといたしましては、ちょっと冷や汗ものでございます。いろいろと調べてみますと、2014年の9月ごろからはユーザーフォーラムで指摘されていたりしているんですね。

影響範囲はLenovoの公式サイトでアナウンスされています。

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Superfishの削除方法もコミュニティーでアナウンスされています。(“Removal Instructions for VisualDiscovery Superfish application”) まあ、普通のアプリケーションの削除手順と変わりが無いですね。

  1. コントロールパネル>プログラムのアンインストール
  2. “Visual Discovery”を選択>アンインストール をクリック

プログラムそのものをアンインストールしない場合には、「システム構成」「タスクマネージャ」等から、サービスを停止する方法もあります。

さらに重要なのは、ブラウザの設定にて証明書が”Superfish”のものに書き換わっている点で、これを合わせて削除する必要があります。Windowsのバージョン等によって、若干手順が変わると思いますが読み替えてください。(Win8.1+IE11で見ています)

  1. IEを管理者権限で起動(アイコンを右クリック>管理者として実行)
  2. 右上の設定ボタン(歯車のアイコン)>インターネットオプション>コンテンツ
  3. 証明書ボタン>信頼されたルート証明機関(左から4つめのタブ)
  4. “Superfish, Inc.”を探して見つかったら、削除ボタン

Google ChromeはWindowsのシステムを使っているので、上の手順を踏めばOK。Firefoxの場合は同様に削除する必要があります。

  1. メニュー>オプション>詳細>証明書>証明書を表示
  2. “Superfish, Inc.”を探して見つかったら、「削除または信頼しない」ボタン

この”Visual Discovery”の挙動としては、IEやGoogle Chrome等のブラウザでサイトを閲覧している際にサードパーティの広告を表示するもので、このソフトは電子証明書をインストールすることで、SSL含む全てのWeb通信に割り込むという事が確認されているとの事。先のTechCrunchの記事を見ても、”Bank of America”の証明書が詐称されている様子が掲載されています。Lenovoによると1月から同梱を停止し、今後も同梱することはないとの発表をしています。

これが広告表示に留まらず、ブラウザ上での行動をモニターしているとなると非常に怖いわけです。またこの証明書そのものもすでに破られているそうで、例えば街の公共Wifi提供者がLenovoユーザーの通信内容をモニターできる事も考えられます。

かなり影響範囲が広いのではないかと思いますので、今後の発表等には注視が必要と思われます。

— 2/20 10:20追記 —

なんで危険なのという理由について、良記事があったのでリンクを貼っておきます。

Superfishが危険な理由

実際に自分のThinkPadが影響を受けているかをチェックするためのテスターが公開されています。IEで見てみるのが良いんじゃないかと。下の画面のような表示が出てくれば影響範囲外。

Superfish CA test

Superfish CA Test

で、実際、証明書はどうなっているのという事ですが、すでに破られてます。そんなわけで、該当するThinkPadユーザーは、早急に対応が必要という事でよろしくお願いします。

Extracting the SuperFish certificate

 

— 2/20 18:30追記 —

Lenovo公式から削除方法が発表されたようです。(英文)

http://support.lenovo.com/us/en/product_security/superfish_uninstall

“Hawk”が気になって、Pivotalジャパンさんの「Big Data Suite」紹介セミナーに行ってきました。

コンサルのクライアントさんにデータ処理基盤導入の案件を担当させて頂いているのですが、ちょっと凝ったデータ構造になりそうながらも規模が巨大。かつ、それなりの低レイテンシーでの応答が必要となりまして、対応できそうな製品を探しておりました。

データ量がそこそこ抑えられるならmongoDBを並べて対応できるかなあとも考えつつ、クラウドが利用できるならGoogle BigQueryやAWS Redshiftなどの利用も想定範囲内。オンプレならHPのVerticaや、今どき感あふれる”SQL on Hadoop”な製品も非常に魅力的で、Cloudera ImpalaやPresto、ベータながらもApache drillなども興味深い所。

そんな中、PivotalジャパンさんがHAWKの解説をするとの事で、これは行かねばと聞いてまいりました。

そもそも”HAWK”って何ぞやというと、Hadoopの商用ディストリビューション”Pivotal HD”で稼働する標準SQL対応の”SQL on Hadoop”データベース。
Javaではなくネイティブのバイナリーで提供されるのと、処理の間にMapReduceを使わず、中間演算結果もメモリ上にストアしておくため、HIVEと異なって演算時のオーバーヘッドを回避する事によって高速化を図っているとの事。

もともとはGreenplum DBのエンジンで、データソースをHDFSに対応させたという経緯があるため、最速を求めるなら、HDFSのオーバヘッドの分GAWKの方が不利になるので、HDFSから(ローカルファイルシステムでデータを管理する)GreenplumDBにロードした方が良いらしい。

事例紹介ではMicroADさんの広告効果分析で採用されたとの事。MicroADさんはバックエンドにIBMさんのPureData(旧Netezza)に、フロントはSPSS Modelerと、大変お金持ちな構成が非常に羨ましかったのですが、ModelerからHadoopのデータに直接アクセス出来るようにしたかったからとの事だそうで。

HIVE/Pigも便利とはいえMapReduceを介するオーバーヘッドは大きいし、”SQL on Hadoop”もこれから良い製品がどんどん出てくるんじゃないかと期待するなか、HAWKも非常に高いポテンシャルを持った製品と思いました。価格がそれなりにするので、コミュニティー版のようなカジュアルに利用できる設定が無いのが非常に残念なんですけどね。