全体的に千葉産です

Wordpressのセキュリティチェックから考えるwebアプリのセキュリティ対策

huluで「トゥルーマンショー」を見まして。

1998年に公開された映画ですが、見たことが無く。初めて見たんですが面白い映画でしたね。

最後の場面で正確なセリフは忘れてしまったのですが 「君は恐れてるんだ。だから、だからそこから出られない。それでいいんだ。」 (完全に忘れたので結局ググって出てきたそれっぽい言葉を引用)

の言葉。話の流れとか言葉の意味で解釈すると、想定外の世界にさらされるよりも想定可能な世界にとどまった方がいい、この世界も作られたモノだが作られた真実であり、必ずしも悪いモノでは無い。と受け止めた。それが現実世界で暮らす自分にとっては選択するべき方向かとか自分に当てはめてどんな感想を持ったかは脇に置いて、今回はwordpressに当てはめてのお話。

wordpressの市場シェア

全世界のサイトの4分の1はWordPressで作られている http://gigazine.net/news/20151109-wordpress-make-quarter-web/

2015年11月当時、存在するインターネットのurlの4分の1はwordpressによって生成されたurlらしい。 (K氏へ。対面で話してるときに「全世界の半分のurlはwordpress」だと言ったがあれはウソだ。それはCMSで限定したらの話だった)

めちゃくちゃ使われてる。そして割合が年を重ねる毎に増加している。

故に取り込まれた機能はwebの標準に限りなく近い機能になるし、取り込まれるのが早い。(AMPとかね) 故に習得する利点は多々あると考える。

そして多い故にセキュリティ的に狙われやすい。

セキュリティ

セキュリティ的に狙われやすいが、 wordpressのセキュリティチェックツールは存在していて、 https://wpscan.org

httpアクセス出来る状態であればそのwordpressサイトをセキュリティチェック出来て、安全を確認出来るんだが

  • 安全かどうか
  • どのようにクリティカルな情報を取得可能か
  • 過去のバージョンではこのような危険性があります、の情報によっての攻撃方法

などが知ることが出来る。 下2つを詳しく取り扱いたい。

クリティカルな情報

クリティカルな情報とはwordpressのバージョン番号やファイルパスを出力する危険性とかdbアクセス情報とかファイル権限とかログインユーザ名とか度合いは違えどそのような情報が取得出来る。それらが取得出来る方法をコードから読み取ることが出来る。wpscan実行時のアクセスログとかでも解る。

例えばログインユーザ名の件を詳しく書くと

ログインユーザーID & 表示ユーザー名は簡単に取得可能で、指定したURLにアクセスしたらリダイレクトしてくれてユーザー名が解るとからしい。

wordpressサイトURL/?author=1 でユーザーページが解るので、その中の表示ユーザー名やcssにあるログインユーザーIDで解るらしい。

この記事が詳しい http://d.hatena.ne.jp/ozuma/20130820/1376927068 http://d.hatena.ne.jp/ozuma/20130830/1377868474

ユーザー名一覧は知られたくないからそのページを潰すとかの対応すれば良さそうとかとか。(試しては無い)

wordpressのバージョン番号は取得できないサイトを見つけたりもしたので、バージョンを解らせない設定とかも出来るみたいなので引き続き調べていきたい。(<meta name="generator"> の情報を消すだけでは不十分みたい)

クリティカルな情報は何か、ファイル権限によって取得されてしまうかが解るようになる。

危険性の閲覧

「過去にこんな危険性があった」のアーカイブが半端なく多いです。

だからといってプロダクトとして良くない訳では無くて、それだけ使われているしプラガブルでオープンソースによって早くから上がってくる問題のおかげでより安全になっただけでありこの積み立てた知見の塊を数人のチームによって作成したアプリケーションが超えられるとはとうてい思えない。

私情が挟まっている文章になった気がするが、過去の危険性が閲覧出来ればアタックするorされる方法が解るので、個人で作成する場合の注意すべき点が解るので見ていて楽しい。

セキュリティへの知見が溜まる

まとめ

いきなりまとめますが私はセキュリティが万全なのかいつも恐れている。

「君は恐れてるんだ。だから、だからそこから出られない。それでいいんだ。」

私はプログラマーでありコードを書いてwebサイトを作っているしこれからも作る気でいるが、 wordpressを使う利点は「みんな使ってる」「セキュリティに問題がある所を誰かが直してくれる」「webの標準を知ることが出来る」「(格安で手間が掛からない)レンタルサーバーで動く」「お決まりの管理機能を作らなくて良い」

等があると思っている。あと自動アップデートでコードの管理が要らないとか。(動いてる環境を自動アップデートなんて出来ないよって意見もありますが、バックアップと死活監視をすれば良い話とは思うがしない理由も分からなくは無い気持ちもある)

セキュリティ面からwordpressを使う自分の考えとして当てはまるのは恐れているんです。何が起こるか解らないこの世界に。セキュリティの改善が保証されている、便利に自動アップデートしてくれる、ある程度予測可能な世界に浸るのも悪くは無いと思います。

ですが「それでいいんだ」と言われたトゥルーマンは最後には外に出て行きます(ネタバレ)。 ある程度予測可能な世界に浸りながら、いつでも外に出て行ける状態を作っていこうと、対策していこうと思います。

最初からしっかりやるのは面倒なので雑にやって「雑じゃん」と言われても受け流して雑に続けていって雑じゃなくなるのが良いのですが、雑に続けるのが難しい

マネーモンスター

マネーモンスターを観たんですが「理屈は悪くないが倫理的に悪いですね」との考えに行き着く。

主人公的なポジションにいるジョージクルーニーとジュリアロバーツへの感情移入とか何を意味して演じているのかとか、そういうのが全く読み取れないというか、お話を進めるためには必要なキャラなんだけど

このマネーモンスターという映画の中での主役は番組ジャックをしたカイルとCEOのキャンビーにしか見えなかった。

カイルはバカで正直な心優しくて、何かがおかしいとバカなのに感じることが出来て、だけどバカだから銃を使って脅すというバカな行動をしてしまったんだけれども、カイルが感じている事は倫理的に正しくて大多数の人が感じている正しい行いだ。

キャンビーの行いはお金を効率的に稼ぐという目的の中での最善策をしてお金を稼ぐ正しい行動をした。こいつにお金を渡せばより多くのお金を生み出すことが出来てより多くの人の雇用を生み出すし、より多くのお金の流通を生み出して経済が健康になる。これは考えられないほどの人の幸福を生み出すことが出来る行いで正しい行動だ。

だけど将来的に幸福になるかも知れない人のために人を騙して不安定な運用をして、不幸にする人を大量に生み出してしまった。考えれば解るような綱渡りをして大量の人を巻き込んでしまった。これは倫理的に悪い事だ。

法律に無いことはして良いのではなく、倫理的にしてはいけないことを法律にしたのだから、そのことをちゃんと理解しておかないと人が死ぬことになる。

お天道様が観ている。

最初のラジオにはDSPラジオが良い

IMG_0656.jpg

DSPラジオを買いました。ドンキで2千5百円ぐらい。

商品ページはこちら

DSP FMステレオ/AM ポケットラジオ ホワイト [品番]07-8553|株式会社オーム電機

会社への通勤やビル内で聞くためのものが欲しいなと購入。ワイドFMのおかげでAMを聞かないのでFMの感度が良くなるらしいDSPラジオに手を出してみました。

あまり期待していなかったのですが全然違いますね。特にビル内ではAMのTBSラジオぐらいしか聴けなかったのが大抵のFM放送が聴けるようになって良かったです。DSPラジオは電池の持ちが良くないらしいのですが、自分の使い方であれば1~2ヶ月は余裕で稼働しています。電池の持ちが気になってきたら電源ケーブルが接続できるタイプなのでDCケーブルを買い足せばよさそうです。

商品の公式ページやパッケージされた状態では解りづらかったのですが、ストラップが付いていて外せません。最初は嫌だったのですが、アンテナも兼用になっているのでこのストラップでぶら下げておけば感度良く効くことが出来ます。

個人的なラジオ歴が

千円ラジオ –> sonyの1万円ホームラジオ –> 会社用に買った千五百円ラジオ –> DSPラジオ2千5百円

だったのですが、千円ラジオ、会社用に買った千五百円ラジオ、はもう使っていません。最初からDSPラジオ買っていれば良かったですね。sonyの1万円ホームラジオは完全家用で、机での作業時に聞いてる物です。机で作業してるとき以外はDSPラジオを付けているのでホームラジオは要らなかった説が最近はあります。ホームラジオでかいし。。。

DSPラジオが思いの外気に入ったので今度はBCLラジオが良いなと思ったり。だけど現状で必要十分だしなぁ

最初のラジオにはDSPラジオが良い

IMG_0656.jpg

DSPラジオを買いました。ドンキで2千5百円ぐらい。

商品ページはこちら

DSP FMステレオ/AM ポケットラジオ ホワイト [品番]07-8553|株式会社オーム電機

会社への通勤やビル内で聞くためのものが欲しいなと購入。ワイドFMのおかげでAMを聞かないのでFMの感度が良くなるらしいDSPラジオに手を出してみました。

あまり期待していなかったのですが全然違いますね。特にビル内ではAMのTBSラジオぐらいしか聴けなかったのが大抵のFM放送が聴けるようになって良かったです。DSPラジオは電池の持ちが良くないらしいのですが、自分の使い方であれば1~2ヶ月は余裕で稼働しています。電池の持ちが気になってきたら電源ケーブルが接続できるタイプなのでDCケーブルを買い足せばよさそうです。

商品の公式ページやパッケージされた状態では解りづらかったのですが、ストラップが付いていて外せません。最初は嫌だったのですが、アンテナも兼用になっているのでこのストラップでぶら下げておけば感度良く効くことが出来ます。

個人的なラジオ歴が

千円ラジオ –> sonyの1万円ホームラジオ –> 会社用に買った千五百円ラジオ –> DSPラジオ2千5百円

だったのですが、千円ラジオ、会社用に買った千五百円ラジオ、はもう使っていません。最初からDSPラジオ買っていれば良かったですね。sonyの1万円ホームラジオは完全家用で、机での作業時に聞いてる物です。机で作業してるとき以外はDSPラジオを付けているのでホームラジオは要らなかった説が最近はあります。ホームラジオでかいし。。。

DSPラジオが思いの外気に入ったので今度はBCLラジオが良いなと思ったり。だけど現状で必要十分だしなぁ

豚の貯金箱の成果

IMG_0647.jpg

IMG_0648.jpg

このピンクの豚の貯金箱が小銭で一杯になったのでまとめて口座に入金しに行きました。

元々はこの財布に変えた時に戻るのですが

薄くてかっこいい財布だったんですが、小銭を入れてしまうと形が崩れてしまうし扱いにくかったので、財布にはお札とカード類、鍵なんかだけを入れるようにして小銭は持たないように。会計時に小銭が出たらズボンの左ポケットに入れて家のピンクの豚の貯金箱に全部入れるという運用をするようになっていました。

同じ時期にiDを契約したりsuicaのオートチャージを設定したり、銀行のキャッシュカードとクレジットカード一体型に変えたりしてあまり現金を使わないようにして。ATMで3万円を下ろしたら2ヶ月間はそれだけで過ごせる状態。荷物が少なくて手間も少ないので凄い便利な運用でした。

それが7ヶ月前。

7万7千円になりました。

キャッシュカードも持って行って窓口でかごの中に小銭を全部出して(豚の貯金箱の穴から出すのが時間が掛かったので、あらかじめ家でジップロックとかに入れ替えるのが良さそうです)、少し待てば入金が完了です。

思いの外入ってたな。

それはいいえで良くない?

http://nakaken88.com/2015/06/19/080823

最近はTumblrばっかりやってて、何かやらなければいけないこともあるのだけれど、なんとなく始めてしまってなんとなく楽しいなTumblrってやつは、どれだけの時間をTumblrに捧げているのだろうか自分は。雰囲気を収集して瞑想しているのではないかと最近は感じている。

Tumblrでこのブログ内で紹介しているツイートを見つけました

この意味が分からなく、調べてみると上記のブログ記事を見つけました。

解釈としては

  • 前提条件が存在する
  • 前提条件は「はい」か「いいえ」で答えられていない
  • その質問に答えると「はい」が存在してしまう

ということらしい。なるほど納得した。

しかしその質問で完結してしまえばの話をしている。実際に対話形式で質問しているのであればその後に「何故その回答なのか」の質問が来るべきであり、次の質問をしないのであればそれは質問者が見落としがある、もしくは勘違いが存在しているのが明白だと感じる。

質問が来るべき理由としては、ブログ内で言っている解釈と違う点があり

  • その質問に答えると「はい」が存在する可能性が出る

と、可能性がでるパターンになるはずである。

よって、俺が答えるとしたら「いいえ」で答える。

だけどここで終わりでは無くて。普段の瞑想のおかげでもあるんだけど、文字と言葉のコミュニケーションの違いと、別の考えを知って受け入れる、俺はムカついた。の3つを考えることが出来た。なんだか不思議だね。考える時間を私の中で消費したよ、の宣言をしたいだけでここで書いても意味なんて無いけど、消費した時間を積み上げるために書くよ。

  • 文字と言葉のコミュニケーションの違い
  • 別の考えを知って受け入れる
  • 俺はムカついた

文字と言葉のコミュニケーションの違いを感じて、最近はラジオをめっちゃ聞いてるんですよラジオ。一つのことに集中した方が捗るのだけれど、一つのことに集中できる事って案外出来なくて、なんか気が散っちゃうんだよね。その時に音がしていると良いと感じたのでリアルタイムや録音したラジオを聞いていたんだけど、ラジオの良さがビシビシ感じてきて「ラジオ好きだな」って思うに至った。

言葉だと嘘が解るんだよね。わりと適当とか喋りづらそうとか考えながら話してるとか、頭の瞬発力で答えているから間違いがあるかも知れない、勘違いもあるかも知れない前提を無意識で頭にある。面白い話にするためにちょっとした嘘や伝え方を変えたりとかがあるのも話し言葉の特徴で受け居られやすいなと。

文字だと嘘が解らない。その続きを読むことが出来ないので完結している物として捉えられやすい。普通であれば目の前の人に理解しにくかった部分を聞くような話でも、その文字情報のままで理解できる範囲でどうにかしようとしてしまう。

文字は嘘が解らないし、その文字の中で判断してしまう。言葉は嘘が分かるし、その言葉の中で判断出来なければ聞き出す敷居が低い気がする。

判断出来なければ聞き出すってのは文字でも用意に出来るはずだけど、インターネット歴が長いせいか、書き込む人がめちゃくちゃ少ないという前提で話している気がする。1対1で文字で会話している場合は低くなるはずだけども。なんかもやっとしてきたな。

まぁ文字での情報だからこそブログ内での解釈が存在してしまうのかな、ツイートでの話していることも文字情報ならではなのかなと。

別の考えを知って受け入れる。大人になるっていうのは受け入れる事だなと感じていて、なんでそんなこと言ってるのかというとその方が楽っていうのとそれが幸せになっているのがあるんだ。 決して下に見ているとかではなくて、今までは知っているだけで受け入れはしないんだけどそのままで近づかないで居る。それが今まで。それは子供というか楽じゃないし他者が居ない。

他者が存在するのはなんかいいんだよね。

頭が悪いで片付けるのは楽だけど受け入れてない。 だけどそういう人が居るんだと知って、その人が居る前提で「はいかいいえで答えられると思わない」「答えられる人は少ない」と考える事が出来た。別にLCLになってみんな一緒になる必要はないし、そんな考えがあるんだなって理解して対応すればいいということ。

俺はムカついた。どっちかで回答できると思っていたし、会話がどうやってもかみ合わない人に「はい」か「いいえ」で答えて下さい、と言って答えられない場合には細かい粒度で質問し直すを何度もやってきたから、自分が何かけなされているような、自分が今までやってきた事が間違いだったように感じたことでムカつきました。

最後に、自分を出して自分の考え全開で書いてみると、とんちを効かせてるだけで別に「いいえ」で答えられると思うんだよね。 このはし渡るべからず、で真ん中だから良いだろうって言われても、うるせえなぁってレベルだと思うし。

勝ち誇ってるわけじゃ無いのに勝ち誇ってると感じてるんだなこの人は、と思うのもなんか気持ちが悪い事だし。勘違いしてる可能性も十分にあるのに相手を悪意がある、もしくは身勝手な人だと決めつけるのもおかしいんですよ。

それはいいえで良くない?

http://nakaken88.com/2015/06/19/080823

最近はTumblrばっかりやってて、何かやらなければいけないこともあるのだけれど、なんとなく始めてしまってなんとなく楽しいなTumblrってやつは、どれだけの時間をTumblrに捧げているのだろうか自分は。雰囲気を収集して瞑想しているのではないかと最近は感じている。

Tumblrでこのブログ内で紹介しているツイートを見つけました

この意味が分からなく、調べてみると上記のブログ記事を見つけました。

解釈としては

  • 前提条件が存在する
  • 前提条件は「はい」か「いいえ」で答えられていない
  • その質問に答えると「はい」が存在してしまう

ということらしい。なるほど納得した。

しかしその質問で完結してしまえばの話をしている。実際に対話形式で質問しているのであればその後に「何故その回答なのか」の質問が来るべきであり、次の質問をしないのであればそれは質問者が見落としがある、もしくは勘違いが存在しているのが明白だと感じる。

質問が来るべき理由としては、ブログ内で言っている解釈と違う点があり

  • その質問に答えると「はい」が存在する可能性が出る

と、可能性がでるパターンになるはずである。

よって、俺が答えるとしたら「いいえ」で答える。

だけどここで終わりでは無くて。普段の瞑想のおかげでもあるんだけど、文字と言葉のコミュニケーションの違いと、別の考えを知って受け入れる、俺はムカついた。の3つを考えることが出来た。なんだか不思議だね。考える時間を私の中で消費したよ、の宣言をしたいだけでここで書いても意味なんて無いけど、消費した時間を積み上げるために書くよ。

  • 文字と言葉のコミュニケーションの違い
  • 別の考えを知って受け入れる
  • 俺はムカついた

文字と言葉のコミュニケーションの違いを感じて、最近はラジオをめっちゃ聞いてるんですよラジオ。一つのことに集中した方が捗るのだけれど、一つのことに集中できる事って案外出来なくて、なんか気が散っちゃうんだよね。その時に音がしていると良いと感じたのでリアルタイムや録音したラジオを聞いていたんだけど、ラジオの良さがビシビシ感じてきて「ラジオ好きだな」って思うに至った。

言葉だと嘘が解るんだよね。わりと適当とか喋りづらそうとか考えながら話してるとか、頭の瞬発力で答えているから間違いがあるかも知れない、勘違いもあるかも知れない前提を無意識で頭にある。面白い話にするためにちょっとした嘘や伝え方を変えたりとかがあるのも話し言葉の特徴で受け居られやすいなと。

文字だと嘘が解らない。その続きを読むことが出来ないので完結している物として捉えられやすい。普通であれば目の前の人に理解しにくかった部分を聞くような話でも、その文字情報のままで理解できる範囲でどうにかしようとしてしまう。

文字は嘘が解らないし、その文字の中で判断してしまう。言葉は嘘が分かるし、その言葉の中で判断出来なければ聞き出す敷居が低い気がする。

判断出来なければ聞き出すってのは文字でも用意に出来るはずだけど、インターネット歴が長いせいか、書き込む人がめちゃくちゃ少ないという前提で話している気がする。1対1で文字で会話している場合は低くなるはずだけども。なんかもやっとしてきたな。

まぁ文字での情報だからこそブログ内での解釈が存在してしまうのかな、ツイートでの話していることも文字情報ならではなのかなと。

別の考えを知って受け入れる。大人になるっていうのは受け入れる事だなと感じていて、なんでそんなこと言ってるのかというとその方が楽っていうのとそれが幸せになっているのがあるんだ。 決して下に見ているとかではなくて、今までは知っているだけで受け入れはしないんだけどそのままで近づかないで居る。それが今まで。それは子供というか楽じゃないし他者が居ない。

他者が存在するのはなんかいいんだよね。

頭が悪いで片付けるのは楽だけど受け入れてない。 だけどそういう人が居るんだと知って、その人が居る前提で「はいかいいえで答えられると思わない」「答えられる人は少ない」と考える事が出来た。別にLCLになってみんな一緒になる必要はないし、そんな考えがあるんだなって理解して対応すればいいということ。

俺はムカついた。どっちかで回答できると思っていたし、会話がどうやってもかみ合わない人に「はい」か「いいえ」で答えて下さい、と言って答えられない場合には細かい粒度で質問し直すを何度もやってきたから、自分が何かけなされているような、自分が今までやってきた事が間違いだったように感じたことでムカつきました。

最後に、自分を出して自分の考え全開で書いてみると、とんちを効かせてるだけで別に「いいえ」で答えられると思うんだよね。 このはし渡るべからず、で真ん中だから良いだろうって言われても、うるせえなぁってレベルだと思うし。

勝ち誇ってるわけじゃ無いのに勝ち誇ってると感じてるんだなこの人は、と思うのもなんか気持ちが悪い事だし。勘違いしてる可能性も十分にあるのに相手を悪意がある、もしくは身勝手な人だと決めつけるのもおかしいんですよ。

ラジオ

ラジオの役割として環境を作ってくれるってのがあると思っていて

環境が作り出すものは無意識に人を殺してしまったり、相乗効果でとんでもなく面白かったり素晴らしい物が出来てしまう事があるので環境を作り出す事は凄く大事だと思っているんだけど、その環境を容易に作り出してくれる、環境を作るための手助けをしてくれるのがラジオだと思っていて

自分の周りの環境が田舎で老人しかいない外部からの情報が遮断されている場所だったとしても、同年代や兄貴分のような年齢の人が喋っていて、近況や考え方、休日の過ごし方だったりなんでも無い話やなんでも無い話の面白い部分をどうやって見つけるか、楽しむのか。

自分が今居る環境では絶対に居ないような人の話を聞いているうちにその喋っている人が作り出した環境のなかに浸ってくると自分の考えが変わってくる。

ラジオ

ラジオの役割として環境を作ってくれるってのがあると思っていて

環境が作り出すものは無意識に人を殺してしまったり、相乗効果でとんでもなく面白かったり素晴らしい物が出来てしまう事があるので環境を作り出す事は凄く大事だと思っているんだけど、その環境を容易に作り出してくれる、環境を作るための手助けをしてくれるのがラジオだと思っていて

自分の周りの環境が田舎で老人しかいない外部からの情報が遮断されている場所だったとしても、同年代や兄貴分のような年齢の人が喋っていて、近況や考え方、休日の過ごし方だったりなんでも無い話やなんでも無い話の面白い部分をどうやって見つけるか、楽しむのか。

自分が今居る環境では絶対に居ないような人の話を聞いているうちにその喋っている人が作り出した環境のなかに浸ってくると自分の考えが変わってくる。