2014年04月11日

Windowsで他のサイトのサーバ証明書の情報を取得・確認する方法 このエントリーをはてなブックマークに追加

ということでOpenSSLのHeartbleed脆弱性で世界中が祭り状態である。
[ビデオ]OpenSSLのバグ“Heartbleed”ってどんなの? | TechCrunch Japan

チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 - @ITでもチェック方法がいろいろ書かれているようだな。

「SSLで経路暗号化しているから安心だね」ってのがちょいと根底から揺らいでいるよーな気もするが引き続きこのあたりは情報収集していこうかなーと思ってますな。

で、今回の件で、OpenSSLのHeartbleed機能が有効化されているかを調べるには
openssl s_client -connect www.example.jp:443 -tlsextdebug
って感じにすればよいらしいというのを教えてもらった。
あまりこのあたりよくわかってないので「外部の証明書に対してopensslのコマンドで調査できるのかー」ってのを初めて知った。
外部の証明書の詳しい情報を外から調べられるってのを知ったのでいろいろ試してみようとしたのだが丁度よいLinuxの環境がなかったのでWindowsにて調べることができないか試してみた。

OpenSSL: OpenSSL Binary Distributions経由でShining Light Productions - Win32 OpenSSLをインストールし、コマンドラインから
openssl s_client -connect www.google.com:443 -tlsextdebug
って感じでやってみたのだが、
Loading 'screen' into random state - done
connect: No such file or directory
connect:errno=0
となり接続できないようであった。いろいろ調べた結果デフォルトの状態でproxy経由でOpenSSLを使う方法はどうもよくわからなかった。(ソースを変更して再コンパイルしている人とかいたのだが私には無理でございましたw)

openSSLでは私のスキルではproxyを越えられないと結論付け、curlを使って証明書の取得を試みた。
まあ「Windowsで」とタイトルに付けたけど結局curlを使ってしまうのだ。すまん。
Windowsのcurlはいろいろあるようだが、私はGow - The lightweight alternative to Cygwinのcurlを使ってますな。curlでproxyを超えるにはこんな感じでWindowsのシステム環境変数にhttp_proxyとhttps_proxyを追加すればよさそうである。
http_proxy : http://proxy.example.co.jp:8080
https_proxy : http://proxy.example.co.jp:8080
curlはいろいろ情報があったのだが「curl 証明書」などで検索すると「curlコマンドでSSLのエラーを無視するには」といった類の結果が沢山でてきた。証明書の情報を無視するのではなく証明書の情報がほしいのでなかなかよさそーなサイトに辿りつけなかったのだが、対応しているSSL暗号化スイートを確認する - Dondari memoとかが参考になったかな。
まあ、結論としては
curl https://google.com -v -k
とかやればよさそうである。
しかし、上記の「-v -k」オプションでは情報が取得できないサイトが幾つかあった。更に調べたところ「 --ciphers ALL 」オプションを使えということが書かれていた。

つーことで、ちょいとこんなバッチファイルを作ってみたばい。(grep使ってるけどGowインストールしたから入ってるよね)
echo off
set TMP_SSL_FILENAME="check.txt"
set LOGFILE="cert.log"

curl %1 -v -k --ciphers ALL 1>%TMP_SSL_FILENAME% 2>&1

grep "SSL connection using" %TMP_SSL_FILENAME% >%LOGFILE%
grep "subject:" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "start date" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "expire date" %TMP_SSL_FILENAME% >>%LOGFILE%
grep "issuer:" %TMP_SSL_FILENAME% >>%LOGFILE%

type %LOGFILE%
でこれをchkcert.batとかって名前で保存して、コマンドラインから
chkcert https://google.com
とすると
* SSL connection using ECDHE-ECDSA-AES128-GCM-SHA256
* subject: C=US; ST=California; L=Mountain View; O=Google Inc; CN=*.google.com
* start date: 2014-03-12 10:03:06 GMT
* expire date: 2014-06-10 00:00:00 GMT
* issuer: C=US; O=Google Inc; CN=Google Internet Authority G2
という感じに結果が表示される。とりあえず表示される全情報については「check.txt」に残してその中から必要な情報だけgrepで拾ってきて「cert.log」に保存しているのだが、別にそんなことせずに「curl %1 -v -k --ciphers ALL」という1行だけでバッチファイルを作ってももちろんOKである。

Googleはstart dateとexpire dateの期間が3ヶ月くらいだな。結構短いなー。

ちなみにこの方法ではOpenSSLのHeartbleedに関する情報は取得できませんよ。Heartbleedのチェック方法についてはいろんなところに紹介されていると思うのでそちらを見てください。あとOpenSSLはこのあたりの記事をあとでよく読んでみたいと思います。
posted by りょーち | Comment(0) | TrackBack(0) | セキュリティ

2014年04月09日

oldoldunameってネーミングセンスw このエントリーをはてなブックマークに追加

Linuxのディストリビューションを調べようと思って「あれ?コマンドなんだっけ?」と思い「uname -a」だっけとか思ったがちょいと違った。

cat /etc/*release

でディストリビューションがわかったわけだが、何気なくman -k unameとかやってみると
oldolduname [obsolete] (2) - obsolete system calls
olduname [obsolete] (2) - obsolete system calls
とかでてきた。
oldunameまではまあ許してもいいかなと思ったがoldoldunameって「おい、待てw」とか思った。
unameに統合しちゃえばいいじゃんとか思ったのだが、どうやら古い実行ファイルをサポートするためにこんな感じで残しているようである。
obsolete - システムコールの説明 - Linux コマンド集 一覧表によると
Linux 2.0 カーネルではこれらの関数を古い実行プログラムをサポートする ために実装している。これらのコールは最初の実装より大きな構造体を返すが、 古い実行プログラムは古いより小さな構造体を受けとり続けなければならない。

現在の実行プログラムは現在のライブラリとリンクされるので、 これらのコールを使用することはない。
とある。
他にもoldfstat, oldlstat, oldstatなんてのもあるようだ。
Linux難しいのぅ・・・

しかし、ネーミングもうちょっとなんとかならなかったのかww
posted by りょーち | Comment(0) | TrackBack(0) | 自分メモ

2014年04月06日

ヤフオクでショートホープの空箱が2億円で出品されている このエントリーをはてなブックマークに追加

ヤフオク!でちょっと気になる商品を見つけた。
ショートホープ 空箱 注意書き無し レア ホープ - ヤフオク!
ショートホープ 空箱 注意書き無し レア ホープ - ヤフオク! (archive.is)
開始時の価格:200,000,000円
yahoo_auction_hope_1.png
「これはどういうことなんだろう?」と思い出品者を見てみた。
出品者の情報:ヤフオク! Yahoo! JAPAN ID:takuya_idea_piano プロフィール
この世の主です、だれでもいいから買いなさい。今のところ 金があればいい。 まだまだ地球や人間に対して裁きは続きます。 いついかなる状況でも、従えなければ、裁きは宇宙規模で平等に行われる 金持ちが落札すればいいんです。 基本は平和主義です。 支援をお願いします。 お金が無ければ何もできないんです。

Yahoo ブログも開設されていた。
takuyaのブログ - Yahoo!ブログ

お金持ちになる! - takuyaのブログ - Yahoo!ブログで記載されていたが、以前にもマールボロライト空箱を一億円で出品しているようである。

なるほど、いろいろ考える人がいるんですなぁ。
誰か落札してあげてください。
posted by りょーち | Comment(0) | TrackBack(0) | 自分メモ

2014年04月05日

4月のMX(092チャンネル)のドラマ再放送が熱いな | ハングマン アリエスの乙女たち 花嫁衣裳は誰が着る ヤヌスの鏡 スタア誕生 このエントリーをはてなブックマークに追加

TOKYO MX * 主な新番組のお知らせ(2014年4月)
これはかなり熱いな。

092チャンネル、侮れないな。

ドラマメモリーズ「アリエスの乙女たち」4/1(火)【MX2(092ch)】火 24:30〜25:25
ドラマメモリーズ「もう誰も愛さない」4/2(水)【MX2(092ch)】水 24:30〜25:25
ドラマメモリーズ「花嫁衣裳は誰が着る」4/3(木)【MX2(092ch)】木 24:30〜25:25
ドラマメモリーズ「スタア誕生」4/4(金)【MX2(092ch)】金 24:30〜25:25
ドラマメモリーズ「ヤヌスの鏡」4/7(月)【MX2(092ch)】月 24:30〜25:25
ザ・ハングマン 燃える事件簿 【MX2(092ch)】月〜金 20:00〜21:00
月曜〜金曜日の24:30から25:25はフジテレビが輝いていた頃のドラマの名作が登場しますな。

特にハングマンは熱いな。
しかし月曜から金曜の1時間枠で放送されると見るのが大変だな。ハングマン1は52週分だから結構あるよなぁ。
どうしようかなぁ・・・

MXも罪なことをしてくれますな。嬉しいけど。

2014年6月10日追記:
林隆三さんの訃報の翌日、ハングマンでもブラックが怒りの爆死 | 駄文と書評
posted by りょーち | Comment(0) | TrackBack(0) | 忘れかけた過去