  |
はてなキーワード: ディレクトリとは
https://togetter.com/li/2429296
この話に繋がるんだけど幼少期からバイリンガル教育を受けた人って思考が無茶苦茶で発言が支離滅裂なことが多い
帰国子女とかにそういう人が多くて日本語も英語も両方が中途半端(発音だけは良い)
どうやら思考するときに日本語・英語の両方で考えてしまっていてそれぞれの言語の良さを生かし切れていない
WindowsとMacが両方動いてるけどディレクトリ構成もプロセス管理もごっちゃになってる、みたいな感じ
それなりの年齢になってから英語教育を受けるとちゃんとVMなりコンテナを作って共存させるんだけど
幼少期ってまだOSとして未熟なので、そこにWinとMacを一度にインストールしているような状態
それでもそのごちゃまぜディレクトリを自分なりに使いこなせればいいんだけど、言語って人類が産まれて以降、何世代にも渡って培われてきた秘伝のソースであって、それを一世代で塗り替えるのって相当無理があるんだよね
今の親って幼少期の英語教育にやたら熱心だけど絶対にやめた方がいいと思う
「example.com」ディレクトリの中の「some」ディレクトリの中の「page」ページ
「example.com」なんてドメイン名に見えるような紛らわしいディレクトリ名を好き好んで使うかよ、という議論はさておき
はじめに通信プロトコルを宣言するのって自然じゃない。というのは、自然な対話では「これから、日本語を話します。こんにちは。」とはならない。センター試験のリスニング問題じゃないんだから。普通は、適当に話し始めてからすり合わせる。通信プロトコルに希望がある場合は、ブラウザの設定で選べればいいだけのことだ。コマンドラインならアーギュウメントで指定すればいい。
というか、ウェブサイトを呼び出した後に、ホストの方から「httpで送るやで」と通知するのが筋じゃないのか。なにせ、相手がウェブサイトなのか、データレポジトリなのか、なんなのか知らないでアクセスするやつはいない。だいたい、昨今ftpサーバにウェブブラウザでアクセスしたら、ディレクトリ構造がウェブサイトみたいにハイパーリンク表示されるじゃんか。あれなに?
それから、「URLの構造で、大分類が先、小分類が後の方がいい」って書いてるやつ、みんなチョンボだって分かってるからな。トラバの引用しているリンク先にあるバーナーズ=リーのコメント見てから、さも自分で思いつきました然として書いてるのバレバレ。そんなに賢く見られたいのか?死ぬほどダサい上、あれれー頭おかしーぞー?しっかりしろ。むしろ、しっとりしろ。二度とやるなよ。
Akira Ransomwareは、近年特に注目されているランサムウェアの一つで、その動作は高度で多様な手法を取り入れています。以下に、Akiraランサムウェアの動作について詳しく説明します。
侵入経路
Akiraは主にフィッシングメール、リモートデスクトッププロトコル(RDP)の悪用、既知の脆弱性の悪用などを通じてシステムに侵入します。特に、未修正のソフトウェアやシステムの脆弱性を狙うことが多いです。
初期感染と展開
システムに侵入すると、Akiraはネットワーク内で横移動を試みます。これは、ネットワーク内の他のデバイスにも感染を広げるためです。横移動には、認証情報の窃取や利用可能なネットワーク共有の探索が含まれます。
ファイル暗号化の前に、Akiraはターゲットシステムの特定のディレクトリをスキャンし、暗号化対象のファイルをリストアップします。次に、強力な暗号化アルゴリズム(通常はAESとRSAの組み合わせ)を使用して、ファイルを暗号化します。
最近のバージョンでは、部分的な暗号化手法(インターミッテント暗号化)を採用することで、暗号化速度を上げつつ、検出を回避する手法が確認されています (Bitdefender)。
データの窃取
暗号化に加えて、Akiraは重要なデータを盗み出し、そのデータを公開することで二重に脅迫することがあります。これにより、被害者に対する身代金要求の圧力を強化します。
暗号化が完了すると、被害者のデスクトップに身代金要求メッセージが表示されます。このメッセージには、データを復号化するための手順と支払い方法が記載されています。通常、暗号通貨(ビットコインなど)での支払いが求められます。
特徴的な技術
RustとC++の利用
Akiraの一部バージョンはRustというプログラミング言語で書かれており、これによりコードの安全性が向上し、セキュリティ研究者による逆コンパイルが難しくなっています。また、C++で書かれたバージョンも存在し、多様な環境での実行が可能です (CISA)。
VMware ESXiの標的化
Akiraは特にVMware ESXi仮想マシンを標的とすることが多く、これにより企業の仮想環境全体に影響を与えることができます。
Akiraは単純なファイル暗号化にとどまらず、データ窃取やネットワーク内での横移動、他のマルウェアの導入など、多層的な攻撃手法を組み合わせています。これにより、攻撃の成功率を高め、被害者に対するプレッシャーを強化します。
ErosEnro - [GclFIuRIoGhmOe] (花火)
10yue - [ZpOZ9oa6QqJweD] (アンコ)
iwara source downloaderの作者が公開停止して使えなくなって久しいので代替を紹介
https://github.com/dawn-lc/IwaraDownloadTool/blob/master/.github/README/README_ja.md
Chrome系/Firefox両対応。Tampermonkey入れたあとスクリプトページからインストール
以後iwaraが改変されてUIが出る。ファイル名はiwara source downloaderと同じ書式にするなら
%#ALIAS#% - %#TITLE#%
とする。自分は末尾に動画IDを足すため[%#ID#%]もつけてる
ページにチェックボックスが出るようになるため複数ダウンロードにも対応
MEGAリンクのある動画はDLせずそっちに誘導する機能もあるがiwara画質でいいならSettingでオフればおk
宛先フォルダまでカスタイマイズしたい場合はAria2というコマンドラインの汎用DLマネージャを拾ってきてパスの通った場所に置き
Node.jsをインストールしてから、powershellで
node node-server.js & aria2c --enable-rpc --rpc-listen-all
を実行してからスクリプトのSettingでAria2方式を選択してSaveで閉じればできる
ただし標準ではブラウザの保存パスではなくpowershellのカレントディレクトリ基準になるのでスクリプトのSettingからフルパス指定しとくといい
もしダウンロードキューをGUIで確認したいなら、 https://github.com/ziahamza/webui-aria2 をまるまるクローンしてどっかのフォルダに置き
powershellでそのフォルダへcdしてから上記コマンドを実行して、ブラウザで http://localhost:8888 を開いておけば見られる
常用するならWindowsのスケジューラーにログオン時このコマンドを書いたbatファイルを実行するようなタスクを追加しとくといい
WebUIからダウンロードアドレスを追加する場合、いにしえのflashgetがやってたような並列ダウンロードなんかが使える
インターネットに費やす時間が長くなればなるほど、トローリングを目撃したり、被害者になったりする可能性が高くなります。
トローリングとは、攻撃的なコメントなどを意図的に投稿することによって、オンラインで他の人を敵に回すことと定義されます。
インターネット荒らしは、感情的な反応を引き起こすことを目的としており、争いや口論をしようとしています。
トロールは、特にターゲットが神経質になっているとわかっている場合、ターゲットに対して執拗に嫌がらせをします。
荒らし行為がオフラインに移行するのを防ぐために、電子メール アドレス、オフィスの電話番号、所在地を含むディレクトリのリストを Web サイトから削除することを検討してください。
荒らし行為が、電子メールや電話などを通じて、個人の現実生活に入り込んだ場合、または次のような方法でエスカレートした場合は、警察に通報する必要があります。
法律により、対面、郵便、電話、または電子通信の使用による嫌がらせやストーカー行為が禁止されています。
ソーシャルメディアに投稿する場合は、表明された見解や意見があなた自身のものであり、所属組織の公式の立場や方針を表すものではないことを明確にしてください。
ただし、たとえ明確な場合でも、聴衆はあなたのコメントを所属に関係があるものとしてとらえる可能性があることを理解してください。
複合機(MFP、いわゆるコピー機)では、IPAの「デジタル複合機のセキュリティに関する調査報告書」にて、「PJLコマンドを悪用した攻撃(ディレクトリ・トラバーサル)」の具体例が示されている。 手順としては極めて簡素なもので、PJLコマンドでファイル名「passwd.txt」を探し、これをダウンロードするというものである。 対策としては、このような印刷以外の機能についてはプリンターや複合機がPJLのどの命令に対応しているかといった情報は探しても見つかりにくい為、複合機に対してジョブデータを投入できるホストを特定のプリントスプールサーバやスキャンとファクスのゲートウェイサーバなどに限定する方法が示されているにすぎないが、インターネットから誰もがアクセス可能な状態にしてしまっている複合機があり、2010年の調査ではこのような複合機を位置マッピングした結果、日本、台湾、アメリカ、ヨーロッパなどで国土の全域に渡って設置されていたので、使用者の根本的なセキュリティーに対する認識の甘さにも原因がある。 また、関連してPostScriptも攻撃に利用可能であり、開発者は注意が必要とされている。
こういう仕事は割とあるんだがなかなかのヤバさだったので紹介したい
ちなみにサービスの内容は非常に良くてユーザーも万単位で付いているらしい
バックエンドはAWS EC2で動作しているがログインアカウントは共通化されていてパスワードを全員で共有している
ユーザーを追加しようとしたら「そのような勝手な行為はセキュリティ上許可されていません」とのこと
本番環境とStagingはインスタンスが分かれているが運用は同じ方法
Staging上で5人ぐらいが作業しているが、ホームの下にそれぞれのユーザーが自分の名前でディレクトリを作って作業している
バックエンド側のシステムは詳細は伏せるが、某システムで動いている
仮にNode.js系だとすると、package.jsonがあってnpm run installでインストールするのだが、普通にインストールしようとするとエラーになる
内容は依存関係で失敗しているのだが、本番も同じソースで動作している
動作させるにはnode_modulesをまるっとコピーして、とのこと
さっきの自分の名前のディレクトリ配下にコピーしてきて、適当なポート番号でサーバを立ち上げれば一応は動く
このため、新しいモジュールを入れようとすると依存関係で失敗するため、便利なモジュールがあってもインストールできないし
セキュリティアップデートも当てることはできない(現にバージョンがすごく古い)
ソースコードはGitHub管理されているがセーブポイント感覚でcommitされているのでコミットログを見ても何が起きているのかさっぱり分からない
おまけにPRも使わずにmainにマージしまくっていてわけがわからない
加えてソースコードはコメントアウトの嵐でどこに何が書いてあるのかさっぱりわからない
データベースはPostgreSQLだが山ほどテーブルがあるのに外部キー依存は入っていないしVIEWも作られていない
まぁ、他にもテーブルを見ていくとアンチパターンのオンパレードで、EAV、ジェイウォークあたりは確認できたしHTMLやSQLが格納されているテーブルも見つけた
ソース上でクエリを作ってAPIを作っているが、ザッと見ただけでもインジェクションし放題の状態になっていた
フロントエンドも詳細は伏せるが、いわゆるReact的なものを利用している
こちらは npm run installでインストールできるし npm run devでちゃんと動く
ただ前述の通りバックエンドはローカルで構築できないのでEC2を利用するしかなく、CORS対応のためのプロキシを自前で用意する必要があった
バックエンド同様にGitHub管理されているが、管理しているだけ
バックエンドは5人ぐらいが利用しているが、ソースコードを編集するのは実質1人なのでコンフリクトはほとんど起こさないらしいが
フロントエンドは5人ぐらいが編集するのでコンフリクトしまくっている
解消するときにデグレすることが日常茶飯事でその都度Hotfixしている
コードもコメントアウトだらけなのに加えて、不必要なコードが大量にあるので可読性が著しく低い
(難しい処理を読み解いて追いかけていったら最終的に使われていない、などが大量にある)
2000行ぐらいあるコードとかChatGPTに突っ込んだら20行ぐらいになる予感がある
また、DBがご覧の状態なので取得されるデータも全然抽象化できておらず、コードが膨れ上がっている
例えばProductの一覧データをサーバから取得して、ユーザーがクリックしたProductをCartに投入するのだが、投入する情報はProductではなく、CartItemにする必要があるし
OrderするときはOrderItemにしてAPIを叩く必要がある
ほとんど同じ情報なのだが微妙に変わっていたりKey名が違っていたりするのでそれぞれ変換する
他にも数え上げればキリがないが、コピペして少しだけ改変している部分などが大量にあってバグがあるのかどうかすら判別できない
DBにHTMLやSQLが入っていると言ったが、調べて見るとDBから取得したHTMLをそのまま埋め込んで表示していたりした
SQLについてはフロントエンド側でSQL生成しており、そのテキストをAPIに送り込んでサーバ側で実行して貰った上で格納とかしていたので
「ここにDROP TABLEとか書けばTABLE消えるんですか?」
と聞くと
とか言われたのでことの重大さを伝えたが、まだ対処できていないようだった
認証等はOAuth2を使っていたので大丈夫そうだったが、本当に大丈夫かどうかは自信がもてない
システム内容はゴミのような状態だがサービス的には良いので、幹部やプロダクトオーナーからは追加要望が山盛り来ている
開発チームが「稼働が足りない」という理由で断ったので「じゃぁ支援して」ということで自分のところに来たのだが
「申し訳ないが、そもそもそういうレベルに無いし、全て作り直しが必要」
と伝えてもどうやら伝わっていない様子
ちなみに元々の開発チームは過去にもこんな感じでサービス作ってたらしいが売れないので問題になってなかった様子
ぱっと見は動いているように見えるのが厄介なところ
正直逃げたいところではある
