つくしのブログ一覧

ニュースにスマホのハッキングコンテストってのがありました
http://jcc.jp/news/8946354/

そういえばあまり伝えられていないのがiOSやAndroidOSの脆弱性じゃないかなと思います
意外とWindowsはマスメディアでも伝えられることが多いんですが。。
あ、WindowsUpdateで起動しなくなって話題になったのでは自分のPCは異常はなかったです(＾＾；

自分のスマホはAndroidなんでAndroidOSの脆弱性について調べてみました
http://subtech.g.hatena.ne.jp/mala/20140110/1389345547
http://tama-sand.blogspot.jp/2013/12/android-browser.html
やはり大きいのはwebviewの脆弱性のようですね

記事によれば現行の4.4.x系でもJavascriptの脆弱性があるみたいですね(＾＾；
4.4.3以上ならOKってどこかで見た記憶があるんですが今は見つけられなかったです
そもそも4.4ユーザー割合はまだ20%にも達していないみたいですし。。
かくゆう私もそれ以下の端末ですorz

やはり一番怖いところは記事にあるように

「Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、
ユーザの意図に反して Android OS の機能を起動されたり、任意のコードを実行されたりする可能性があります。

標準ブラウザでできてしまうことの一例を具体的に挙げてみます。
・Intentを飛ばして他アプリを起動できる
・Androidの端末情報を読み込まれてしまう（Android.os.BuildやWi-Fi情報など）
・アクセスしただけでこっそりファイルをダウンロードされる
・外部ライブラリを実行できる（任意のネイティブコードを実行できる）
こっそりダウンロードと組み合わせたら…((((；ﾟДﾟ))))
・標準ブラウザが保持しているCookieやユーザ名・パスワードを読み込まれてしまう
それをAjax等でサーバに送ることもできるので…((((；ﾟДﾟ))))」

現状、Androidで安全に使えるブラウザはPlayStore上にあんなに種類があるのにGoogle Chrome、Firefox、Operaしかないみたいですね(＾＾；

あとウィジェットでもネットから更新情報を得て画面上に表示させるタイプのものでブラウザと同じ機能を使用しているものは危ないのもあるかも。。(;^_^A

そういえばメジャーアプリであるESファイルエクスプローラーやQuickPicも通信先に問題あるのでわと話題になってますね
やっぱガラケーが一番なんだろか。。(笑)
でも情報ツールとしてはスマホを手にするとなかなか離れられないですね( ;＾＾)ヘ..

久々に更新します
更新さぼってたんでいろいろと書きます
ずっと体調が優れず、上○アコードミーティングにもNにも行けませんでした

また、お世話になってたショップがいきなり閉店してしまい、ちょっとショックです
そこでエアサス組むとメンテとか一切無料でやってくれて悪くなってた部品があればそれだけ購入すればいいとゆうショップで
同じオーナーが乗り続けるならトコトン面倒見ますってとこだったのでそこでエアサス組んだんです
確かに地面と擦りそうな車がかなり出入りしていたショップではあったのですがバックが大きいだけに潰れることはないだろなと思っていたのですが
逆にバックが大きいからこそ改造車の製作で捜査されてしまいました。。
まだこれからエア漏れとかの問題発生するんだろな。。どこで診てもらったらいいのかな～
気楽に相談できるいいショップだったのに。。ハア。。(泣)
悩みます。。


トップの画像のですが、先日ふとエンジン付近を見ているとタペットカバー上部のPCVバルブの接続部分からブローバイが漏れている跡が、、
グロメット側が逝かれているみたいですがここのグロメットの交換は年式来てるとキツイものがあります
みんカラ内で検索してもボロボロになったグロメットとか出てきます
なにせタペットカバー内にカスとか落ちたらガクブル。。って感じでしたが画像は取り忘れましたが意外とキレイに取れました(＾＾
グロメットは110円、、(笑)


先日マイカーで一人、とある駐車場でホコリはたいてその後メジャーであれこれ測ってムフフな時間でも過ごそうかなとルンルンでホコリを掃っていたら、、
付近を検索していたらしい自ら隊登場(笑)

画像はドラレコから切り取って小さく加工した画像です(＾＾；

その駐車場はそのとき私とマイカーのみなんで狙って入ってきたようです
第一声は「こんにちは、低いので声掛けさせて貰いました」
職質キター(＾＾；
公認改造車なこととか説明して定説な車内検索されて稼げないと分かったらしくそそくさと去っていきました

まあ、、やましいことは一切ないのでどうぞどうぞですが

やはりこうやってガサゴソされるのは気持ちいいものじゃないですね(＾＾；
あ、このドラレコ前後写るやつなんです
意外と車側面や後方の状況も把握できるのでそこでは役立ってました
以前、右折後続車が右直事故してたのはハッキリ写ってましたし、、

とゆう訳で嵐が去っていった訳ですがそこからメジャーで測ってムフフな気分になる気にもなれず、、そこを後にしましたorz


数日前、交差点内でウィンカー出して右折待ちしてたら「カッチカッチカッチ…」「し～ん」
え？とインジケーター見たらウィンカー消えてる、、レバー戻してウィンカー出しなおしたらまた点滅しました(汗)
左折のときにも起こりましたのでどうやら5・6年使ってるLEDウィンカーリレーが死に掛けてるみたいです(＾＾；

久々にLEDウィンカーリレーをネットで検索したらあまりに値段がピンキリに出てて「どうしようかな。。」と思ってる秋の夜でした

って明るい話題が一つもないブログになりましたorz

昨年末からあちこちでGoogleアカウントが乗っ取られたりしているようですが
どうやら原因が判明したようです

簡単に言えばグーグルを開いたときに偽のグーグルサーバーに繋がってしまってログインをしてしまうと相手に読み取られているとゆうことみたいですね。。

http://74.125.31.94/
がグーグルの直IPアドレスなんでここを開けば問題ないみたいです
しかし問題はアンドロイドでしょうね。。
対処法をコピペ。。

-----PC全般-----
OperaとFirefoxは独自の証明書管理なのでOperaかFirefox18使えば対策できる
Windows以外のOSではOpera,Firefox以外のブラウザとFirefox18以前は対策出来てない
Operaはヘルプ→アップデートで定義更新されるので念の為にやっておくといい
-----Windows-----
「信頼されない発行元」に
*.EGO.GOV.TR　　*.google.com　　e-islem.kktcmerkezbankasi.org
が入っていればOK
普通は1/4のWindowsUpdateで先行配布されてるから基本的には問題ない
「信頼されない発行元」に入ってなかったら以下からダウンロードすればIE,Chrome系では対策できる
XPの更新プログラム
http://www.microsoft.com/ja-jp/download/details.aspx?id=36195
Vista,7の更新プログラム
http://www.microsoft.com/ja-jp/download/details.aspx?id=36196
8用の更新プログラム
http://www.microsoft.com/ja-jp/download/details.aspx?id=36194

-----スマホ-----
基本的に信頼できないAP,Wi-Fiに繋がなければOK
対策されるまで信頼出来るAP,サイトにのみアクセスすれば基本的に問題はない
iPhoneは自分で対策できないからAppleの対策待ち
Android2.xは自分で対策できないからメーカーの対策待ち
Android4.xはTURKTRUSTを信頼出来る証明書から2つ削除すればOK
Android4.xでTURKTRUSTを無効にすると必然的に
*.EGO.GOV.TR　　*.google.com　　e-islem.kktcmerkezbankasi.org
も無効になるから無効にしてるだけでTURKTRUST自体は悪いものじゃない(今回ヘマやらかしたが)
TURKTRUSTを無効にするとTURKTRUSTが認証してる正規のサイトもアクセス出来なくなるがトルコの認証機関なのでほぼ影響はないはず
http://i.imgur.com/o6KK3.png
http://i.imgur.com/5Ehyb.png

---------------------------------------------------------------------------------

「*.google.com」のドメイン向けに不正な証明書が発効されていたことが分かり、主要ブラウザメーカーが問題の証明書を失効させる措置を講じている。

　米Googleのセキュリティブログに1月3日付で掲載された情報によると、Google Chromeが12月24日に不正なデジタル証明書を検出して遮断。調べたところ、問題の証明書はトルコの認証局TURKTRUSTの傘下の中間認証局（CA）が発行していたことが判明した。

　TURKTRUSTの説明によれば、2011年8月に2組織に対して通常のSSL証明書を発行すべきところを、手違いで中間CA証明書を発行していたことが分かったという。このためGoogleは12月25日から26日にかけて、問題の2件のCA証明書を遮断する措置を取り、ほかのブラウザメーカーにも通知した。1月中にChromeのアップデートを公開し、さらなる対策を講じる予定だという。

　米Microsoftも不正なデジタル証明書を使った攻撃の発生を確認したとして、1月3日にセキュリティアドバイザリーを公開し、不正な証明書を失効させる措置を取ったことを明らかにした。

　Windows XPとWindows Server 2003では、Microsoft Updateなどのサービスを使ってアップデートを適用する必要がある。一方、Vista以降のWindowsでは、2012年6月に導入された「証明書信頼リスト」（CTL）の機能によって、不正証明書の問題からユーザーを保護する措置が講じられており、ユーザー側で操作する必要はないという。

　Firefoxブラウザ開発元のMozillaは、手違いで発行された中間証明書のうち少なくとも1件が、通信に割り込む「中間者トラフィック」操作の手口に利用された恐れがあると指摘した。米国時間の1月8日に予定しているFirefoxのアップデートで、不正に発行された2件の証明書を失効させる予定としている。

---------------------------------------------------------------------------------

う～ん、、スマホ以外はブラウザログインに気をつければいいのかな。。
って自分はグーグルアカウントはスマホくらいしか使ってないや（；￣ー￣A アセアセ
とりあえずセキュリティ開いて証明から「2005TURKTRUST」と「TURKTRUST」のチェック外しておいた。。
人騒がせだな～（´＿｀；）

先日、仕事で長野北部に行ったんですが台風が北側にあるせいか「あっち～～('A`)」

ってことでちゃっちゃと終わらせてせっかく避暑地に来たんだから少しでも涼をとろうと

ここまで来たんですがやっぱあづい(笑)


しかしジャンプ台のマットに放水して皆さんジャンプの練習してたんですが、、

いや～初めて見たんですがSUGEEEEE!!!

近辺には結構スノボしに来てたりしてるんですが飛んでるの見たことなかったです( ;＾＾)ヘ..

男性は勿論、、女性もバンバン飛んでて、、

それも男性がなかなか飛べないK点越えを女性が結構飛んでて

もう「アングリ(￣○￣；)」ですわ

飛んでるとこは撮れませんでしたが、、

画像でもジャンプ台の上のほうに人がスタンバイしてるのが見えるかな。。

いや、、軽くする為にスマホの画質落としすぎて画像が粗いので無理かもorz

まぁ…飛んでるの写ってても速すぎて何も撮れてないでしょうね（；￣ー￣A アセアセ


そして帰路はゲリラ豪雨に2回も遭いましたorz


あ、2ND君はキレイに直りました


そしてアコ君はベルト鳴りが結構してますorz

そんなアコ君はもうちっとすると17年目に突入しますヽ(´ー｀)ノ

ああ、、維持りにおけねが掛かりそう…(泣)

普段乗りCAR君を外出先で、、

駐車場に停めておいたら当てられちゃいました(泣)

最初はベッコリへこんだんですけどポコッて戻りました(笑)

相手は西ドイツ車なんですが

いわゆるボディ同色ですがバンパープロテクターが付いてて

相手はほとんどキズがないっす。。

車も格差車(社)会？

まぁ…0：100だからバンパー新品にしよう。。


ところで話は変わりますが、、

ちょいと書きたくなったので。。


大飯原発を稼動させてから火力発電所を8基も停止させているそうな

なにが「電力不足だから原発再稼動させないといけない」なのでしょうか？

しかもそれでも「万が一の場合は計画停電を実施」とか各家庭にハガキを送る始末

あんなことが起きたのに、、

津波対策もしてないのに、活断層が下を通ってる可能性があるのに

みんなが努力して節電した結果でもあるし

電力余ってるなら違うほうを止めるべきと思う。。