pslaboが試したことの記録

はてなダイヤリーからはてなブログに引っ越してきました

この日記は現在実行中の減量記録を含む個人的なメモとして始めましたが、最近はコンピュータやガジェット、ハック、セキュリティネタのほうがメインになっております。

iPad3のSIMロックに関する考察とSIM下駄による解除の試みはSoftbank版iPad3にiPhone用のSIM下駄を履かせてみるにいろいろ書いてます。

はてなダイヤリー時代はカテゴリ分けが適当だったのですが、これはそのうち直します。


Windows 10 1709 Fall Creators Update にアップデートしたら一部のファイルサーバにアクセスできなくなったのを直す

ある日気がついてみると、一部のファイルサーバにアクセスできなくなっていた。しかしそのサーバの管理者ではないのでログが見れず、理由の解明に至らなかった。

そして別の日、たまたま、ドメインに参加していないWindows10から当該サーバにアクセスすると普通にアクセスできることに気づいた。

そこで、接続できないクライアントPCからこんなふうに実行してみたら、

net use [\\コンピュータ名] /USER:localhost\[ユーザ名]

こんなエラーが出た。

システム エラー 1272 が発生しました。

 組織のセキュリティ ポリシーによって非認証のゲスト アクセスがブロックされているため、この共有フォルダーにアクセスできません。これらのポリシーは、ネットワーク上の安全でないデバイスや悪意のあるデバイスから PC を保護するのに役立ちます。

どうやら、Windows10 Fall Creators Update では、下記レジストリの値がデフォルトで 1 となったようで、安全ではない共有ディレクトリにアクセスしようとするとエラーが出るようです。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\
AllowInsecureGuestAuth

そこで上記レジストリの値を 0 にして再起動してみたら、共有サーバにアクセスできるようになりました。

無論、本来はファイル共有サーバを正しく設定すべきですが、それはインフラ担当者の管理下にあるので手が出せない。インフラ、サーバ担当者にはとりあえず事象をレポートしておくことにする。

再生速度を変えた動画を ffmpeg で作る

アプリケーションのバグで、動作状況を長時間観察しないと状況確認しづらいものがあって、とりあえずスクリーンショットを動画撮影することにした。

だけどそれを等速再生するのも大変なので、程よい感じの速度で視聴できるように、再生速度を挙げてみることにした。

その手順をメモとして記す。

ffmpeg -i 元動画ファイル -vf setpts=PTS/[設定する再生速度] -af atempo=[設定する再生速度] 変換後の動画ファイル

setpts は映像の表示速度を変える設定、atempo は音声の音程に関するフィルタだそうです。

Fitbit ionicが日本正式発売前にAmazon CyberMondayのタイムセールで先行発売中

Pebbleが2週間周期くらいで SOS に落ちてリカバリするのがパターン化している中で、次をどうするかを考え中なのですけど、その中の候補の一つが Fitbit ionic 。

2018年1月からの日本販売に先立って、2017年11月のカンファレンスで披露されていました。 japan.cnet.com

Pebbleを選んでいたのは価格とパフォーマンスのバランスだから、3万円台は少々高いなあ、と思いつつ、でも Apple Watch よりは電池が持ちそうだし、いいなあと思っていました。

そんな中、気がつくとサイバーマンデーのタイムセールで先行販売してるじゃないですか。

どうするかなー、買うかなあー。この記事投稿時点で、のこり8時間。。。 本来の販売価格は36,000円なのですが、今回のセールのディスカウント? で34,105円。 Amazon Prime 会員だと5%割引が適用されて32,400円ですよ。

VPN越しのWindowsサーバからのファイルコピーが遅いので robocopy と RichCopy を使う

使おうとするとプログラム名を忘れていることが多いので、メモを残す。

最近の Windows でファイルの一括コピーをコマンドラインで行うなら、xcopy ではなく robocopy なわけだが、GUI ラッパーとして RichCopy をかぶせておけば、とても使いやすい。

VPN越しのように遅延しやすい状況に向くような気がする。

https://technet.microsoft.com/ja-jp/library/cc733145(v=ws.10).aspx https://technet.microsoft.com/ja-jp/library/2009.04.utilityspotlight.aspx

手元の Yubikey がRSA秘密鍵漏洩の脆弱性を含むバージョンだったので交換を申し込む

きっかけは TPM 向けチップの脆弱性発覚

ちょいと古い話ですが、Infineon Technologies 社のセキュリティチップにRSA鍵漏洩の脆弱性が見つかっています。

www.itmedia.co.jp

このチップは Windows PC の TPM に使われています。手元の普段の作業用PCの TPM も該当するチップだったのですが、これはアップデートが提供されていたので適用して問題解決です。

しかし、手元のデバイスの中で、他にも本件脆弱性を含むものがありました。それは Yubikey4。

Yubikeyとは何か?

Yubikeyとは何か、という点についてはここら辺の記事が参考になります。 qiita.com

多要素認証のハードウェアトークンだけではなく、RSA鍵の秘密鍵照合用として使えるので、ssh 接続時の鍵を入れておけば鍵を安全に扱える訳ですね。

さて、Yubikey に関する本件情報は下記ポータルページに情報が集約されています。

Infineon RSA Key Generation Issue - Customer Portal

影響を受ける使い方、影響を受けない使い方は?

yubico の情報によると...

  • Yubikey NEO は脆弱性を含まない
  • FIDO U2F Security key も脆弱性を含まない
  • Yubikey 4/4C/4nano バージョン4.2.6 - 4.3.4 で、Yubikey にRSAキーを生成させた場合だけ脆弱性の影響を受ける

ということだそうです。

ただしRSA キーを取扱う場合でも、Yubikey 自体が生成するキーだけ問題がでます。外部のツールで生成した秘密鍵をインポートすれば影響は出ないらしいです。

なぜ影響が出るのか?

Yubikey 4シリーズに内蔵の Infineon Technologies 社のチップで RSA 鍵を生成しているとマズイのだそうです。これは Windows 機向けの TPM の問題と基本的には同じです。

だから外部からインポートしたキーなら Infineon Technlogies 社を使っての生成ではないので問題が緩和される訳ですね。

ユーザ自身でのファームウェア入れ替えには対応していないが、キーは交換してもらえる

Yubikeyはユーザがファームウェアをアップデートできません。だから対象ファームウェアを利用中のユーザでの対策は緩和策での回避だけです。

そして Yubico 側では、こちらのページからYubikeyの交換を受け付けています。 Infineon RSA Key Generation Issue - Customer Portal

まず、このページでは、OTP 生成設定がデフォルトの場合に今回の脆弱性の対象バージョンかどうかを確認できるようになっています。

もしも OTP の設定を変えている場合にも交換対象かどうかの確認方法が用意されています。Yubikey のシリアルナンバーを写真撮影し、その写真とシリアルナンバーの情報をフォームから送信するだけです。

手元の Yubikey が対象品であり、交換を希望する場合はさっさと申し込んでしまうと良いでしょう。

キー交換は、オンラインストアでの100%ディスカウントクーポンによって行われました

実際にキー交換を申し込んでみると、単なる交換ではなく、オンラインストアでの100%ディスカウントクーポンが発行される、というものでした。

そして単なるクーポンではなく、今回の対象品だけに適用されるクーポンでした。そして、このクーポンには送料も含まれます。日本向けの発送でも送料含めて0円で良品が届きました。

手元のものを返送する必要があるかどうか?

ウェブサイトやメールでは返送指示は見当たらなかったので、返送しなくとも良いようです。(このことを保証するわけではありませんが)

Windows Subsystem for Linux に Subversion のリポジトリを作る

検証用の環境が必要になったので作る

なお、Windows10 1709 (Fall Creators Update) 以降が必要な模様。1703 (Creators Update) では apache が起動しなかった。

手順(初期作業)

パッケージインストール

sudo apt-get install subversion libapache2-svn apache2-utils apache2

モジュールの有効化

sudo a2enmod auth_digest dav dav_fs dav_lock dav_svn

認証情報の作成

sudo htdigest -c /etc/apache2/.htdigest 'realm' [username]

apache 向け設定ファイルの作成

/etc/apache2/mods-enabled/dav_svn.conf にこんな設定を書いておく

<Location />
     DAV svn
     SVNParentPath [リポジトリを配置する親ディレクトリ]
     AuthType Digest
     AuthName "realm"
     AuthUserFile /etc/apache2/.htdigest
     Require valid-user
</Location>

手順(通常のメンテ)

リポジトリの作成

sudo svnadmin create [リポジトリを配置する親ディレクトリ]/[リポジトリ名]

リポジトリパーミッション設定

chown -R www-data:wwwdata [リポジトリを配置する親ディレクトリ]/[リポジトリ名]

ここまでできたら apache を起動して svn リポジトリをブラウザでアクセスしてみればよい。

エンバカデロのサーバーがメンテナンスで週末3日間止まるらしいので、この期間は絶対にインストールはやらない

DMで告知が来ていて知ったのですが、Delphi/C++Builderの開発販売元であるエンバカデロのサーバ群がメンテナンスのために2017年11月17日 10時〜2017年11月19日(日)17時まで停止するらしい。

今のご時世にこれだけの期間の停止って珍しい気もしますが、単にサーバー入れ替えではこんなに時間かけることはないので、割と大がかりな作業のような気がします。

そして今回のメンテでは製品インストール時のライセンス認証サーバも止まるそうです。この期間中に作業環境を再構築しようと考えている方は、アクティベーションが出来なくてなるので、軽く詰みます。

もっとも、ある程度の経験値を積んでいる方なら週末や年末年始の再インストール自体が詰みだったのは以前から同じなのですけどね。というのも、Delphi/C++Builderは同じプロダクトキーでのライセンス認証回数が一定の上限に達すると、それ以降のオンライン認証が一旦ロックされる仕様です。このロックはサポート窓口への連絡により解除されますが、その手続きは営業日だけの対応です。だから週末や長期休み中に本件事象に遭遇すると、休み明けまで何もできなくなります。

今回のサーバメンテはそもそもライセンス認証サーバが停止している時点で回数上限の話とは違う訳ですが、認証が通らないという点では結果は同じ。そういう意味では、2016年から無償化された Starter Edition で Delphi/C++Builder を使い始めたような個人ユーザの方は、くれぐれも、この週末に環境再構築などやらないように注意が必要かもしれませんね。