Profile2017-10-17
UbuntuにKRACKsパッチあてた
Key Reinstallation Attacks : WPA2の脆弱性問題。詳しくはこのへん。
Ubuntuでは wpa_supplicant / wpasupplicant あたり。公式ガイドは、
Update instructions
The problem can be corrected by updating your system to the following package version:
<snip>
To update your system, please follow these instructions: https://wiki.ubuntu.com/Security/Upgrades.
After a standard system update you need to reboot your computer to make all the necessary changes.
USN-3455-1: wpa_supplicant and hostapd vulnerabilities | Ubuntu
雑に言うと「アップデートしてすぐ再起動しろ」と言ってる。パッケージ更新だけではだめ。中身はUbuntuというか、ほぼDebianのパッチだった。以下からどうぞ。
Ubuntu 16.04.3 LTS Xenial でアップデートかけたらそれらしい修正が来てたのでログ置いておく。
まず普通にアップデート。
$ sudo apt update && sudo apt upgrade #<snip> The following packages will be upgraded: dkms wpasupplicant 2 packages upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 1,053 kB of archives. After unpacking 4,096 B will be used.
"wpasupplicant" を見て「ぽいな」と思う。黙ってインストール。
入れた後Changelogをチェック。
$ apt changelog wpasupplicant Get:1 http://changelogs.ubuntu.com wpa 2.4-0ubuntu6.2 Changelog [117 kB] Fetched 117 kB in 1s (78.8 kB/s) wpa (2.4-0ubuntu6.2) xenial-security; urgency=medium * SECURITY UPDATE: Multiple issues in WPA protocol - debian/patches/2017-1/*.patch: Add patches from Debian stretch - CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088 * SECURITY UPDATE: Denial of service issues - debian/patches/2016-1/*.patch: Add patches from Debian stretch - CVE-2016-4476 - CVE-2016-4477 * This package does _not_ contain the changes from 2.4-0ubuntu6.1 in xenial-proposed. -- Marc Deslauriers <marc.deslauriers@ubuntu.com> Mon, 16 Oct 2017 07:58:48 -0400
やはりビンゴの模様。"* This package does _not_ contain the changes from 2.4-0ubuntu6.1 in xenial-proposed." が多少気になる。
systemdでステータスを見る。 wpa<Tab> と補完したら、 wpa_supplicant という名前で出てきた。
$ systemctl status wpa_supplicant.service ● wpa_supplicant.service - WPA supplicant Loaded: loaded (/lib/systemd/system/wpa_supplicant.service; disabled; vendor preset: enabled) Active: active (running) since Thu 2017-10-12 06:28:39 JST; 5 days ago Main PID: 958 (wpa_supplicant) CGroup: /system.slice/wpa_supplicant.service └─958 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant #<snip> Warning: wpa_supplicant.service changed on disk. Run 'systemctl daemon-reload' to reload units. $
"systemctl daemon-reload" でリロードしろと警告が出ているので従う。
リロードかける。
$ systemctl daemon-reload
何も出ないで終了。
再度ステータスをチェック。
$ systemctl status wpa_supplicant.service ● wpa_supplicant.service - WPA supplicant Loaded: loaded (/lib/systemd/system/wpa_supplicant.service; disabled; vendor preset: enabled) Active: active (running) since Thu 2017-10-12 06:28:39 JST; 5 days ago Main PID: 958 (wpa_supplicant) CGroup: /system.slice/wpa_supplicant.service └─958 /sbin/wpa_supplicant -u -s -O /run/wpa_supplicant #<snip> $
Warningが消えたのでよしとしたけど、本当は systemctl restart した方がいいのかもしれない。
その後サービス再起動。
$ sudo systemctl restart wpa_supplicant.service
データ保存後マシンrebootした。
〆
Ubuntuのurgency表記、ほぼ urgency=medium なので意味ないと思う。
2017-07-14
「SoundCloud は終わらない」 / "SoundCloud is here to stay."
先ほど SoundCloud 自身が「50日で潰れるとかないし、これからもデータは保全するし普通に使える(つもり)」などなど発表。ホントかなー。日本語圏特に反応薄いので記録しておく。
Posted: Fri, 14 Jul 2017 18:46:48 +0000
Hey everyone,
There’s an insane amount of noise about SoundCloud in the world right now. And it’s just that, noise. The music you love on SoundCloud isn’t going away, the music you shared or uploaded isn’t going away, because SoundCloud is not going away. Not in 50 days, not in 80 days or anytime in the foreseeable future. Your music is safe.
Along with each of you, we’ve built this incredible creative community of artists, podcasters, DJs, producers and more who are the driving force in pushing culture forward in the world. That’s not going to change. Last week we had to make some tough decisions to let go of some of our staff, but we did this to ensure SoundCloud remains a strong, independent company.
Thank you for the outpouring of love and support. Some of you have asked how you can help–spread the word that we’re not going anywhere and keep doing what you’re doing–creating, listening, uploading, sharing, liking, and discovering what’s new, now and next in music. SoundCloud is here to stay.
Peace,
Alex
https://blog.soundcloud.com/2017/07/14/soundcloud-is-here-to-stay/
@soundcloud
*airhorn* Spread the word: your music isn’t going anywhere. Neither are we.
— SoundCloud (@SoundCloud) July 14, 2017
We’re gonna keep providing you with the tools to discover, share and connect.
— SoundCloud (@SoundCloud) July 14, 2017
Here’s to musicians, DJs, #SoundcloudRappers and many, many more mixtapes.
— SoundCloud (@SoundCloud) July 14, 2017
Thanks for all the love and support. Keep discovering and sharing the music 💯
— SoundCloud (@SoundCloud) July 14, 2017
〆
ぼくは SoundCloud と MixCloud が聴いてる音楽の大部分を占めてるから良いのだけど、手放しで喜べないところがあって、
Today, after careful and painful consideration, we took the difficult step to let go of 173 SoundCloud staffers and consolidated the team into two offices: Berlin and New York. We are extremely grateful for the contributions of each and every staff member who will be leaving SoundCloud, and we wish all of them the best.
SoundCloud » A note from Alex Ljung
- 開発者だとしたら規模の割に人数多すぎな気はする
とか色々あるけど、
というのが一番ありそうでヤバいと思ってる。
あまり触れられない点として、音質が LAME の 128kbps なのが本当にlame。MixCloud は Nero AAC 96kbps だけどまだマシに聞こえるので、せめて ffmpeg 以外の aac か、opus あたり使うと帯域節約しつつ音質良く出来るのでなんとかして欲しい。端的に言うと「音楽サイトなのに Youtube の方が音マシ」という状況です。
プレイリスト機能も大分ヤバいので、せめて MixCloud レベル行けると良いでしょうが、そんな体力もう無さそうだな、という感想です。
おまけ
昨日ウケたので即リポストしたやつ。
2017-05-18
Jekyllでgh-pagesなブログのPRでやらかす
ブラウザで GitHub ツラい・ gh-pages じゃなくてトピックブランチ切った方がいいよね、というポエム。
ちょろっとインターネッツしてたらいい感じのブログを見つけた。
特にこれが良かった。
見た時は何記事かコードブロックのレイアウトが崩れてインラインになってるところがあって、中身見たら ``` の前後に改行が入ってないけど、リポジトリのビュー側だと問題なくレンダリングされる、というよくあるやつだったので直した。
ブラウザの限界
1596日目らしいです。
さて、まだ1件も PR が無いリポジトリなのでブランチとかの作法が特に無い。
本当は clone してきてブランチ切って修正からの1コミットしてプッシュ、Fork して PR で済むと思うけど、ブラウザUIだと1ファイル毎にコミット / PR しなければならない。
GitHub は親切に 「fix-noromanba-patch01」 的なブランチ切って PR するように案内してくれたけど、少し考えて先に Fork した後 gh-pages ブランチに直でコミットしていった。「マイナーFixだしまぁいいか」位の感じ。コミットコメントが同じで酷いけど、「後で圧縮出来るでしょ」と思って揃えた。
- https://github.com/midchildan/blog/pull/1/commits/e90a7f0bd6d39cea60fe62cec2b532ee5fe709e8
- https://github.com/midchildan/blog/pull/1/commits/502811255ab3774c126390a9459c6eb1a65ca9b1
- https://github.com/midchildan/blog/pull/1/commits/f8293f7332815e8379b8b50aa68896f1eff79a34
この後 rebase して squash で1コミット圧縮、みたいに出来れば良かったけど、ぼくがスッタコなのか、PR 時までにそういう操作できる画面は無かった気がする。多少心苦しくも「やらないよりマシ、Owner が何とかしてくれるはず」と思って投げた。
無事マージ
されたのを先ほどメールで確認、良かった。
と思ったら、こんなのも届いてた。
Subject: [noromanba/blog] Page build warning
From: GitHub <support@github.com> The page build completed successfully, but returned the following warning for the `gh-pages` branch: The CNAME `blog.midchildan.org` is already taken. Check out https://help.github.com/articles/troubleshooting-custom-domains/#cname-already-taken for more information. For information on troubleshooting Jekyll see: https://help.github.com/articles/troubleshooting-jekyll-builds If you have any questions you can contact us by replying to this email.
「ビルド成功だけどCNAMEカチ合ってんぞコノヤロウ!」みたいなのが3分毎位に三連発。時間からすると Fork 直後で、PR 前に言われて3つ来て止まってる。なるほど、そういえばコミットフックなんだった。トピックブランチ切ってたら大丈夫そう、と思ったらそうらしい。
ものぐさ良くないですね、というお話でした。
2017-04-05
iframeがChromiumのXSS Filterに引っかかる
書いた後拾えたんだけどどうもバグっぽい。Chromeでも起こると思う。
2017-03-17 に 「誤爆してるぞ」 って Issue が立つもアサインのまま止まってる、というのが5月半ばでの現状。
I have the same problem which seems to be due to having a you tube link on my web page.
If I try to update the page with Chrome then I get this XSS.Auditor message.
https://bugs.chromium.org/p/chromium/issues/detail?id=702542#c23
「同じバグ起こってんだけどさ、Youtubeはお前のとこのサービスだろ!」とお怒り。ごもっとも。
とりあえず Firefox など他のブラウザ使って回避する、というのが一番簡単な解決方法です。
sandbox 属性付けてみたけどダメだった。では詳細どうぞ。
さっき上げた記事、プレビューしようとしたら Chromium が「pass, カード情報が盗まれるぞ」みたいな事言ってきて仕方なく Firefox で投稿。
はてなダイアリー、はてなグループ日記で iframe 貼ると再現した。「ニコニコ大百科でも起こる」とのこと。ツイートしてくれた方ありがとうございます。
さっき貼ったHatena::Let。
<iframe border="0" frameborder="0" height="130" src="http://let.st-hatelabo.com/noromanba/let.iframe?embed=1&code_id=hLHW56bVtuAQ" width="500"></iframe>
Youtubeでもなるのでどうしようもない。
<iframe width="560" height="315" src="https://www.youtube-nocookie.com/embed/HhDTdd7VTY0" frameborder="0" allowfullscreen></iframe>
ERR_BLOCKED_BY_XSS_AUDITOR
This page isn’t working Chrome detected unusual code on this page and blocked it to protect your personal information (for example, passwords, phone numbers, and credit cards). Try visiting the site's homepage. ERR_BLOCKED_BY_XSS_AUDITORhttp://d.hatena.ne.jp/noromanba/edit
代替
影響大きそうなのでダイアリーにも一般人向け書いた。
頑張るなら動画系だと API 使えれば img と a タグでどうとでもなる。
<a href="https://www.youtube.com/watch?v=Y4f1cdNv_M8" target="_blank"> <img src="https://img.youtube.com/vi/Y4f1cdNv_M8/sddefault.jpg" alt="thumbnail" title="東京事変 - 空が鳴っている - YouTube"> </a> [https://www.youtube.com/watch?v=Y4f1cdNv_M8:title]iframeあるとChromeで記事更新できないかも - (有)掛軸裏スキマ産業
こんな感じ。軽くていい。
参考。
カードみたいなやつはキャプチャダルいので、なんかサービスあるんじゃないすかね。embed.ly の画像版みたいな物体とか。
元も子もないけど iframe 重いだけのゴミだと思ってるので使えない方がうれしい。
X-XSS-Protection
HTTP ヘッダ の X-XSS-Protection が制御に干渉するようだけど、
header("X-XSS-Protection: 0");
https://stackoverflow.com/questions/17016960/chromiums-xss-auditor-refused-to-execute-a-script#17017013
これ何かというと、ブラウザに「XSS フィルタ切れ」と言ってるのでマトモな解決方法にならない。
X-XSS-Protection: 0 X-XSS-Protection: 1 X-XSS-Protection: 1; mode=block X-XSS-Protection: 1; report=<reporting-uri>0 Disables XSS filtering. 1 Enables XSS filtering (usually default in browsers). If a cross-site scripting attack is detected, the browser will sanitize the page (remove the unsafe parts). 1;mode=block Enables XSS filtering. Rather than sanitizing the page, the browser will prevent rendering of the page if an attack is detected. 1; report=<reporting-URI> (Chromium only) Enables XSS filtering. If a cross-site scripting attack is detected, the browser will sanitize the page and report the violation. This uses the functionality of the CSP report-uri directive to send a report.X-XSS-Protection - HTTP | MDN
YouTube はきちんとしてるでしょ、と思ったらやっぱりやってた。
$ HEAD https://www.youtube.com/watch?v=Y4f1cdNv_M8 | grep -i xss X-XSS-Protection: 1; mode=block; report=https://www.google.com/appserve/security-bugs/log/youtube $
この辺見るのが厳しくなったのかな、というふわっとした感じ。
何か書いた直後から検索経由でアクセスすごい飛んできてて(当社比)、こりゃ誰も書いてなさそう…と思いました。
Environment
| Chromium | 57.0.2987.98 (Developer Build) Built on Ubuntu , running on Ubuntu 16.04 (32-bit) |
|---|---|
| Revision | a6a06b78087c9fdb4b12fe0ac1b87fdc10179f8b |
| OS | Linux |
| JavaScript | V8 5.7.492.63 |
| Flash | 25.0.0.127 /usr/lib/adobe-flashplugin/libpepflashplayer.so |
| User | Agent Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Ubuntu Chromium/57.0.2987.98 Chrome/57.0.2987.98 Safari/537.36 |
| Command Line | /usr/lib/chromium-browser/chromium-browser --ppapi-flash-path=/usr/lib/adobe-flashplugin/libpepflashplayer.so --ppapi-flash-version=25.0.0.127 --enable-pinch --flag-switches-begin --overscroll-history-navigation=0 --disable-smooth-scrolling --disable-features=CredentialManagementAPI,MaterialDesignHistory --flag-switches-end |
| Executable Path | /usr/lib/chromium-browser/chromium-browser |
| Profile Path | /home/noro/.config/chromium/Default |
> chrome://version/
$ apt policy chromium-browser chromium-browser: Installed: 57.0.2987.98-0ubuntu0.16.04.1276 Candidate: 57.0.2987.98-0ubuntu0.16.04.1276 Version table: *** 57.0.2987.98-0ubuntu0.16.04.1276 500 500 http://ppa.launchpad.net/canonical-chromium-builds/stage/ubuntu xenial/main i386 Packages 100 /var/lib/dpkg/status 56.0.2924.76-0ubuntu0.16.04.1268 500 500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial-updates/universe i386 Packages 500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial-security/universe i386 Packages 49.0.2623.108-0ubuntu1.1233 500 500 http://ftp.jaist.ac.jp/pub/Linux/ubuntu xenial/universe i386 Packages
Experimental Credential Manager API
Command Line のところ見ていて、flag で --disable-features=CredentialManagementAPI,MaterialDesignHistory となっていたので、
"Experimental Credential Manager API" 切ってるのが怪しいかと思い Enable にしてみた。Command Line から消えてるの確認。
再実験で同じく XSS Auditor でブロックされる結果に。戻した。
> chrome://flags/#enable-credential-manager-api
関係無さそう。
2017-04-04
Noto Serif CJK のダウンロード先がSansになってるの直す
ようやく "Region-specific Subset OpenType/CFF (Subset OTF)" Serif の リンクが修正された。
$ HEAD https://www.google.com/get/noto/help/cjk/ | grep -i last Last-Modified: Wed, 05 Apr 2017 18:30:00 GMT $ date -d "Wed, 05 Apr 2017 18:30:00 GMT" Thu Apr 6 03:30:00 JST 2017
Last-Modified 信用すると、
$ date -d "@1491337619" # 記事の epoch Wed Apr 5 05:26:59 JST 2017
この記事出してから24H弱くらいかかったみたい。
https://noto-website.storage.googleapis.com/pkgs/NotoSerifJP.zip
以下は修正前、Noto*Sans*JP.zip に向いてたリリース時の話。
話題の明朝フォント、CJK用ページのリンクが Sans に向いてておかしい。
最下段 "Region-specific Subset OpenType/CFF (Subset OTF)" のところ、Serif 気取ってますが実際は Sans がダウンロードされる。致命的。
修正書いた、名前はシャレです。Bookmarklet/ブックマークレット。
isNotoSerif! - Hatena::Let
UserScript/ユーザースクリプト。
https://gist.github.com/noromanba/a479fa5bc3c4619383ee62f6af74c923/raw/isnotoserif.user.js
現状かなり手抜き。
(() => { 'use strict'; // XXX use XPath, smart // TODO assertion const subsetOTF = [...document.body.querySelectorAll('.cjk-downloads')].pop(); const subsetOTFSerif = [...subsetOTF.querySelectorAll('tbody tr')].pop(); Array.from(subsetOTFSerif.querySelectorAll([ 'a[href*="/NotoSans"]' ]), serif => serif.href = serif.href.replace(/\/NotoSans/, '/NotoSerif')); })();http://let.hatelabo.jp/noromanba/let/hLHW56bVtuAQ/rev/hLHW57nTjpV6
以下で指摘しようとしたら Google Plus に join しそうになってメッチャ不快だったので、誰かコメントしといて下さい。
あるいはTwitterな人、@google 殴っといて下さい。
詳細
"Region-specific Subset OpenType/CFF (Subset OTF)" のところ、
Serif NotoSerifJP-[weight].otf NotoSerifKR-[weight].otf NotoSerifSC-[weight].otf NotoSerifTC-[weight].otf 28 OTF font files in total: 4 languages × 7 weights.
https://www.google.com/get/noto/help/cjk/
間違って *Sans* になってる。
https://noto-website.storage.googleapis.com/pkgs/NotoSansJP.zip
実際はこっち。
https://noto-website.storage.googleapis.com/pkgs/NotoSerifJP.zip
「サイトリニューアルしたのに、Google でもこんなしょーもないコピペ生産かよ」と思いました。
アドレス適当に叩いたらちゃんとしたの落ちてきた。
noro@iron:~/.local/share/fonts$ wget https://noto-website.storage.googleapis.com/pkgs/NotoSerifJP.zip --2017-04-05 03:48:32-- https://noto-website.storage.googleapis.com/pkgs/NotoSerifJP.zip Resolving noto-website.storage.googleapis.com (noto-website.storage.googleapis.com)... 216.58.197.208 Connecting to noto-website.storage.googleapis.com (noto-website.storage.googleapis.com)|216.58.197.208|:443... connected. HTTP request sent, awaiting response... 200 OK Length: 36195581 (35M) [application/zip] Saving to: ‘NotoSerifJP.zip’
中身。
noro@iron:~/.local/share/fonts$ lsar -l NotoSerifJP.zip NotoSerifJP.zip: Zip Flags File size Ratio Mode Date Time Name ===== ========== ===== ==== ========== ===== ==== 0. ----- 4301 56.7% Defl 2017-04-03 13:42 LICENSE_OFL.txt 1. ----- 6347760 16.2% Defl 2017-04-03 13:40 NotoSerifJP-Black.otf 2. ----- 6445296 15.7% Defl 2017-04-03 13:40 NotoSerifJP-Bold.otf 3. ----- 5683004 17.4% Defl 2017-04-03 13:40 NotoSerifJP-ExtraLight.otf 4. ----- 6102284 17.1% Defl 2017-04-03 13:40 NotoSerifJP-Light.otf 5. ----- 6257896 16.3% Defl 2017-04-03 13:40 NotoSerifJP-Medium.otf 6. ----- 6183224 16.6% Defl 2017-04-03 13:40 NotoSerifJP-Regular.otf 7. ----- 6292656 16.0% Defl 2017-04-03 13:40 NotoSerifJP-SemiBold.otf 8. ----- 308 27.6% Defl 2017-04-03 13:41 README (Flags: D=Directory, R=Resource fork, L=Link, E=Encrypted, @=Extended attributes) (Mode: Defl=Deflate) noro@iron:~/.local/share/fonts$
この辺はおかしくない。
