雑記

◆ JGTC SuperGT SUGO

なんとなく流していたら、GT300クラスの優勝車が「キッチョウホウザン MR-S」というアナウンス。えっ、と思って確認すると、西酒造の吉兆宝山であっているらしい。レースファンなんでしょうか。ますます贔屓にせねば。しかもドライバーが中嶋 一貴。これは応援せねば。

◆ ようやく

ひと段落。まだドキュメント類を山ほど書かねばならないんだけど。

◆ コメントspam

ちょっと前から、この日記を悪意のあるSEOに利用したと思われるコメントの投稿が続いていて、ちまちまとフィルターにドメインを追加したり、もうロシア・韓国からのコメントはイラン、とかやっていたのですが、いたちごっごの様相を呈してきたので、もうちょっと抜本的な対策を実施すべくクイックハック。

コメントspamのパターンとしてはURLを貼り付けるというシンプルなもの。コメント内のリンク数の上限は以前から設定しているんですが、制限数以下のリンクの入ったコメントspamを大量に投稿するという手に出てきました。かといって、リンクを一切禁止にすると、有用なリンク付きのコメントまでスポイルしてしまうのでそれはやりたくない。

というわけで、、フィルターに以下を追加。

elsif comment.name != 'TrackBack' &&　comment.subject < Time::now - 31536000
    false

上記パッチと設定で1年以上前の日記にはトラックバックはできるけど、コメントはできないようになります。これでしばらく様子見です。

◆ 余談

上記パッチのテストをしようとしたら、この日記にトラックバックできないことが判明。./tb.cgiを置いてませんでした。apacheの設定で.rbファイルをCGIとして認識しないようにしていたのになかなか気付かず、ハックよりもこっちのほうに時間をとられてしまった。

◆ [SSL][個人情報保護] トップレベルドメインのメールアドレスを安易に配布することの危険性

スラッシュドットジャパンにあった ライブドア、WebメールサービスをGmailベースにリニューアルという記事を読んでちょっと引っかかることが。Gmailベースとかいうのはどうでもよいんですが、今後メールアドレスが「livedoorID@livedoor.com」という形式になるんだそうです。で、気になってちょっと確認してみると、案の定というかとんでもない状況に…

ここでも何度か話題に挙げていますが、特定のアドレスにメールが届くだけでSSL証明書を発行するという認証局は実際に存在します。例えばある認証局の場合、次のようなアドレスが使えるようです。

admin, administrator, hostmaster, root, ssladmin, sysadmin, webmaster, postmaster

で、所有するドメインのトップレベルのメールアドレスを第3者に使わせる場合、気をつけないとそれらのアドレスを取得されてしまいます。実際、このエントリを書いている時点でのlivedoorの登録画面では「ssladmin」というIDが取得可能と表示されました。

あと、意外と見落としがちなのかもしれませんが、仮にライブドアでVerisign等の認証局からSSL証明書を取得済みだとしても、他の認証局がそうした取得済みのCN（サーバ名）に対する証明書を発行できなくなるといった仕組みは残念ながらこの世にはありません。たぶん。

そうすると何が起こるかというと、誰かが「ssladmin」というlivedoor IDを取得して、そのアドレスを使ってlivedoor.comドメインの任意のサーバに対する「本物の」SSL証明書を、上記のような条件の緩い認証局から取得できちゃうといった事態が生じるわけです。その後に何が起こるかは説明するまでもないでしょう。

livedoorには連絡したのでサービスイン前に何らかの措置が取られると思いますが、同様のサービスを予定/展開中のドメイン、特に同じドメイン名で金融とかショッピングモールなど複数のサービスを行っている所には同様の危険性があります。サブドメインの場合でも範囲は限定されますが同様の問題が当然出ます。SSL証明書が「本物」でベースのドメインが一致すればけっこう騙されそうな気がしますが…

というわけで、自ドメイン(特にトップレベル)のメールアドレスを不特定多数の人間に使わせる際は注意が必要というお話でした。