0年 0月 の投稿一覧

ThinkPad X1 Carbon(2017年版 第5世代)に発熱・発火の可能性でリコール

マインドテックの冨です。

昔からのThinkpadファンで、今も数台を使い分けています。他のブランドのノートも数台持っていますが、Thinkpadはキーボードが良いのでメイン機なのです。

その中で、Lenovo Thinkpad X1 Carbon (第5世代)にリコールがかかりました。まじですか・・・

ThinkPad X1 Carbon第5世代ノートパソコン無償点検・修理のお知らせ
https://support.lenovo.com/jp/ja/solutions/ht504453

対象は、2016年12月から2017年10月までに生産された第5世代のものです。(”2017年11月1日以降に製造したThinkPad X1 Carbon第5世代は無償点検・修理の対象外”とのこと。すでに対策済のようです。)

リコールの内容としては、バッテリーの異常発熱の懸念。生産過程でユニット内に放置された小さなネジがバッテリーにダメージを与えると、オーバーヒート~発熱・発火の可能性があるという事で無償点検を提供するというものです。

自分の機体がリコール対象か否かは、上記のサイトに「マシンタイプ」と「シリアルナンバー(S/N)」を入力すると対象端末かどうかチェックできます。(本体の裏側に記載があります)

そして該当すると、下図のように「点検対象」の文字が。うげえ・・・

実際にレノボのサポートセンターに電話をかけてみると、名前、連絡先TEL&住所で修理IDが発行され、宅配業者による回収予定日の調整をします。回収から点検後に戻ってくるまで概ね5営業日とのことです。

サポセンになかなか電話がつながらない(朝9時からちょこちょこかけて、つながったのが午後3時ごろだったよ)ですが、該当した方は頑張ってコールしてみてください。

HSTS起因で、ブラウザで「自動転送設定が正しくありません」が出てくる場合の症状

マインドテックの冨です。

とあるテック系情報サイト日本語サイトの翻訳チームの知人が「画面にエラーが出て、マシン変えてもブラウザ変えても再現する。DNSとかWiFiが原因かと思って、3G/4G回線のテザリングでも出てくる。なんじゃこれ?」と叫んでおられたので、お節介ながら見てみたら、自分も再現するのですね。

さて、これはなんぞと思って、リクエストを見てみると、httpsで送った結果、確かにひたすらに302が返ってきているわけです。

で、それぞれのヘッダーを見てみると、下図のような感じ

リダイレクトURLの設定はLocationヘッダーで行うわけですが、ここは http:// … とHTTP (ポート80)にリダイレクトしようとしているのがうかがえます。つまりはHTTPS(ポート443)リクエストで来てもHTTPで見るように強制しているわけです。

この一方で”strict-transport-security”ヘッダーも送っている事がわかります。これはRFC6797で標準化されている”HTTP Strict Transport Security(HSTS )”と呼ばれるもので、HTTPで接続した際に強制的にHTTPSへリダイレクトし、SSLストリップ攻撃や中間者攻撃などを防ぐために以降のそのドメインへの接続はすべてHTTPSとする機能です。「Chrome」「Firefox」「Safari」「Internet Explorer」「Microsoft Edge」などの主要ブラウザのほとんどがHSTSをサポートしています。

この結果、LocationヘッダーでHTTPにリダイレクトされても、ブラウザ側は合わせて受け取っているHSTSのヘッダーにより、HTTPSでアクセスを試み、サーバーはHTTPS->HTTPへのリダイレクト応答を行い、これがループしていると推測されます。

Strict-Transport-Security:max-age=(有効期間秒数);includeSubDomains

またincludeSubDomainsが指定されていると、サブドメインにもHSTSが適用されるようになります。ここのサイトの場合には英語版の方は逆にHSTSによってHTTPSにリダイレクトしていました。この際に上記の通りにincludeSubDomainsオプションがついているとサブドメインで運用されていた日本語版の方にも影響していたはずです。(この記事執筆時点では、このオプションは設定されていませんでした。)

この設定がされているWebサーバーに対して、何らかの理由でHTTPSでアクセスしてしまった場合、または親ドメインの方でincludeSubDomain付HSTS設定がされている場合でリンクを踏んだ場合、「自動転送設定が正しくありません」とリダイレクトがループしてしまうため、この場合はapache, nginxなどのWebサーバーの設定ファイルを見直してみてください。

(上記のテック系情報サイトの技術窓口向けに連絡メールを投げてみましたが、返事が来ないですねー。2018/2/8現在、上記のヘッダーが付いてくるので日本語版をHTTPSで閲覧しようとすると現象が再現すると思います。復旧するにはブラウザの直近の履歴、キャッシュ、cookieを削除してください。)

参考:

SSL/TLS暗号設定ガイドライン~安全なウェブサイトのために(暗号設定対策編)~(IPA 情報処理推進機構)

HTTP Strict Transport Security (HSTS)