こっちでやった作業の続き
一覧から無事「カレンダー/」で始まるページを除外出来たと喜んでいたら、今度はページ新規作成時のテンプレートリストにごっそり表示されている事を発見(苦笑)
これも何とかしようとソースをいじっていたらやっと変更すべき場所を見つけました。
変更するのはpukiwikiの本体と同じディレクトリにある「html.php」
これの151行目(PukiWiki 1.4.3の場合)に赤字の部分を追記します。
if ($_page == $whatsnew or preg_match("/$non_list/",$_page) or preg_match("/^カレンダー\//",$_page)) {これで新しいページを作成してみると無事テンプレのリストからカレンダー/で始まるページが消えました( ̄▽ ̄)ノ
でも「カレンダー/」で始めるページを雛形として指定出来なくなったので、使いたい人はコピー&ペーストでがんばってねとあとでおふれを出しておかないと(^^;
かといってpukiwiki.ini.phpの設定で「一覧・更新一覧に含めないページ名」に含めると今度はカレンダーの更新が新着の方に出なくて、使用する際に不便になります。
そこで、一覧からのみ外すために「plugin/list.inc.php」を改造することにしました。
書き加える場所は次の赤字の部分
PukiWiki1.4.3の plugin/list.inc.php 25行以降
$pages = array_diff(get_existpages(),array($whatsnew));
if (!$withfilename)
{
$pages = array_diff($pages,preg_grep("/$non_list/",$pages));
// ここに一覧からの除外リストを記述
$pages = array_diff($pages,preg_grep("/^カレンダー\//",$pages));
}
if (count($pages) == 0)
{
return '';
}
他の名前のページを非表示にする場合は「^カレンダー\/」の辺りを正規表現に従ってうまいこと書き換えてください。
4月の明細からやっとクレジットカード番号の下4桁をXXXXにして送るようになった日本信販ですが、どうやらやらかしたようです。
流出情報には有効期限が含まれないので悪用は難しいとのことですが、9万件もあれば1年後に有効期限を決め打ちして適当なeコマースサイトにスクリプトでアタック続ければ数百件オーダーで有効期限を見つけることが簡単にできそうなので、洒落になってません。
まぁ、さすが老舗だけあって
2.お客様への対応について
99,789名のお客様に、本日、情報流出の可能性が高い旨のご連絡とお詫び並びに心当たりのない請求に対するご注意の文書を発送いたしました。また、念のため、セキュリティ対策上、新しいカードをお送りすることといたしております。
高遠さんら自己責任198万円支払う
そもそも国家は国民の為に存在しているのに、現状の政府関係者の言動を見ているとどうも逆だと思っている気がしてなりません。
たとえばこの人とか。
日本人人質「反日的分子」 参院決算委で柏村武昭議員
お年寄りといえば、バスの中で携帯でキー確認音付きでメール打ってる人とか、ガムかんでいる人とか今日見たんですが、どちらもお年寄り_| ̄|○
今後の高齢化社会、どうなるどうする日本。
日本語ファイルをダウンロードすると文字化け
変更はplugin/attach.inc.phpに以下のパッチを当てるだけです。
*** attach.inc.php.old Sun Apr 25 23:11:10 2004
--- attach.inc.php Sun Apr 25 23:13:18 2004
***************
*** 622,628 ****
$this->putstatus();
// for japanese (???)
! $filename = htmlspecialchars(mb_convert_encoding($this->file,'SJIS','auto'));
ini_set('default_charset','');
mb_http_output('pass');
--- 622,632 ----
$this->putstatus();
// for japanese (???)
! if(ereg("MSIE",$_SERVER["HTTP_USER_AGENT"])){
! $filename = htmlspecialchars(mb_convert_encoding($this->file,'SJIS','auto'));
! }else{
! $filename = htmlspecialchars(mb_convert_encoding($this->file,'UTF-8','auto'));
! }
ini_set('default_charset','');
mb_http_output('pass');なおパッチのあて方は以下の通り
$ cd Pukiwikiがインストールされているディレクトリ/plugin続きを読む...
$ vi attach.diff
(上記のパッチを貼り付ける)
$ patch < attach.diff
$ rm attach.diff
$ cat /proc/cpuinfoしてみたところ
なるほど、Celeron 2.2GHzかと思ってふと下を見るとbogomipsなる文字が。processor : 0 vendor_id : GenuineIntel cpu family : 15 model : 2 model name : Intel(R) Celeron(R) CPU 2.20GHz stepping : 7 cpu MHz : 2205.047 cache size : 128 KB fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 2 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm bogomips : 4404.01
mipsっていうぐらいだから早さに関係あるんだろうなぁと言うことは判りますが、何を基準にはかってるのかなとふと気になって調べてみると。
2.1. BogoMips とは
何でも、空ループの実行速度らしくって有益な計算をさせた場合の速度ではないので、あんまり意味無いとのこと。
確かにCeleron1.3(bogomips:2621.44)の方が、上記のCeleron2.2より計算早いことあるからなぁ(苦笑)
というわけでこの数値はあんまりあてにしちゃダメっぽいです。
「沖ノ鳥島は岩」中国が認識、排他水域適用外狙う中国は沖ノ鳥島については、日本の領土であることを認めているが、国連海洋法条約が規定する「島」ではなく、排他的経済水域(EEZ)を設定できない「岩」との認識を示した。
これまで沖ノ鳥島が「島」である根拠として日本は
第八部 島の制度あんなところ住めそうにありませんが_| ̄|○
第百二十一条 島の制度
1 島とは、自然に形成された陸地であって、水に囲まれ、高潮時においても水面上にあるものをいう。
2 3に定める場合を除くほか、島の領海、接続水域、排他的経済水域及び大陸棚は、他の領土に適用されるこの条約の規定に従って決定される。
3 人間の居住又は独自の経済的生活を維持することのできない岩は、排他的経済水域又は大陸棚を有しない。
ということで極めて危うい状況なのです。
でも、沖ノ鳥島は南鳥島についで日本の排他的経済水域を広げている功労者なので日本としては何が何でも守りたいところです。
(沖ノ鳥島がもたらす排他的経済水域の広さについては下記ページの図を参照のこと)
【参考リンク】
朝の移動路に中規模のイベントで使われる会場があるんですが、2・3日前からそこで医学系の学会をやっているらしく渋滞が酷くて激しく迷惑してます。
イベント自体は結構頻繁にあるんである程度の渋滞は慣れていますが、今回の学会は異常。
なぜなら医者一人一人がそれぞれタクシーに乗ってやってくるからです。
会場の手前に歴史のある橋が架かっていて、そこで1車線になるんですがその橋の出口まで会場に右折するタクシーでがっちり埋まって車が流れない状態。
しかも今朝なんて雨+週末渋滞でタダでさえ混んでいるところに、雨を嫌ってタクシー使う馬鹿続出で完全に交通麻痺していつも15分で着くところが45分掛かる始末。
学会があると、ホテルやタクシーが儲かって地元が潤う事は判るし、NASHに関する研究発表とかやってるらしく人類の健康に貢献あることも判ります、が、せめて相乗りぐらいして欲しいものです。
(つうかタクシー使う金あるならシャトルバスぐらい走らせればいいのにね・・・)
最近週に200通は下らなくなったスパムの攻撃ですが、それだけ多くなると新手の含有量も多くなるらしく週に1通ずつぐらいフィルタを抜けてスパムが手元に届きます。
先日は
ページ移転しました。見に来てください URLとだけ書かれた移転告知を装ったspamが抜けて来ましたし、ビジネスライクな言い回しのspamなんかも抜けて来て困ったこともあります。
まぁ、どちらも日本語のスパムの絶対数が少なく学習が足りてないせいだと思って、せっせと再学習させて居たのですが、本日スパムの本文が全部添付の画像ファイルに入って居るという馬鹿スパムがフィルタをすり抜けて届きました_| ̄|○
しかもメールの本文自体はありがちな英語の文句が書いてあるだけで、これといった特徴がない困った状態。
とりあえず、bogofilterにスパムだよと教えてあげましたが、たぶん学習はうまくいってないので今後も抜けてきそうで非常にイヤな感じです。
というか、こんなspamばかりになったら学習型フィルタでも対応しきれないので、もっと抜本的な対策が必要になりそうです。
CVS 1.11.14 / 1.12.6 以前に欠陥。CVS におけるパスの扱いに欠陥があったようだ。
悪意あるクライアントは CVS サーバ上のあらゆる RCS アーカイブファイルをリクエストできてしまっていた。 やられサーバから見ると、悪意あるクライアントによって公開しているつもりのない RCS アーカイブファイルを取得されてしまう危険があった。
悪意あるサーバはクライアントに対してあらゆるパスを指定できていた。 やられクライアントから見ると、クライアントに書き込み権限のあるファイルを悪意あるサーバにより上書きされる危険があった。
CVSってソース管理には大変楽なんですが、どうにもセキュリティには全く信用置けなくて閉じた環境以外では使う気になりません。
かといってApache2+WebDAV+Subversion+OpenSSLはまだ若いのでもっとすごい爆弾が隠れてそうだから、もうしばらくはCVSでがんばる予定です。
これと併せて、人質事件の渦中ではなぜか伏せられていた拷問場面がニュース映像として流れています。
(あのシーンはフランスなどでは拘束されてすぐに流されたようですが、日本ではほとんど(まったく?)放映されて居なかったと思います)
どうも、私はこの急に出てきた映像の裏にASDの原因をこれに結び着けようと言う意図が見え隠れしている気がして仕方ありません。
そもそも解放後すぐの映像であれだけ元気だった人たちが、週末の帰国の映像では、うつむいてまるで犯罪者のように顔を隠して帰国するというのは、人質時の心的障害だけが原因とはどうも思えません。
私は、ここには政府関係者と家族による被害者への弾圧があったのでは無いかと思います。
こっちで書いたように、悲しいながら世論は「なんであんな危ないところに行ったんだ。国家として迷惑だ」という論調になってます。
それに家族も「ぞれだけの人の助力があったのか、ゆっくりと話を聞かせてやりたい」などと言っていた事から、各方面から世論を反映した言論が3人に浴びせられた事は想像に難くありません。
そもそも上記の世論も当初の家族会の強硬な姿勢が産んだものですが、政府はそれをうまく利用して自らの地盤固めに利用した感さえあります。
(実際この週末で政府の支持率は上がったようですし)
故に政府としてはこの論調を維持する必要があり、3人には余計な発言をせず今後もスケープゴートになってもらう必要があるため、公開を差し控えさせていた映像を使ってまで世論を誘導しているのでは無いのでしょうか?
続きを読む...どうも昨日から頭が痛くって今日は一日寝ていました。
休みの日には寝過ぎなのか頭が痛い日があるんですが、二日も引きずるのは珍しい感じ。
ここ2ヶ月ぐらい頭痛無くていい感じだなぁと思っていたら一気にリバウンドしちゃった気分です。
と言うかおとなしく病院行った方がいいのかなぁ・・・(;´д`)ノ<どうも昨日から風邪っぽいのでそのせいな気もしますが
同社では、本ファームウェアにより製品利用ができなくなったユーザーに対し、保証書印の有無を問わず無償で修理対応を行なうとしている。
エレコムのこの話と比べれば対応雲泥の差だな、と思っていたら
まぁ、それでも放置のエレコムと比べれば全然数百倍マシですが。
人質の3邦人解放、政府も確認
ただ、これに付随する出来事として、「イラクに行くこと自体が自殺行為だ」などと被害者家族に対する嫌がらせ事件なども発生したようですが、こっちの事件についてはいろいろ考えさせられます。
個人的には自分の意志で死を覚悟して行くなら、イラク行きは全然問題ないと思いますし、その結果拘束された場合、国が助けるよう努力するのも国家として当然の事だと思います。
当たり前の事があっただけなのに、これだけ3人とその周辺に対する風当たりが強いのは、被害者家族の当初の会見が問題だったのではないのでしょうか?
少なくても捕まった3人は何があってもしょうがないと納得してイラクに行っている(はずな)のに、それを報道を見る限り「自分たちは100%の被害者だから国は何とかしろ」というスタンスだったことが家族会への、ひいては拘束された3人までへの反感になったのではないかと思います。
(どうも今回のケースでは拉致被害者家族会に影響されていた気もしますが、あちらの家族会も好印象ではない分、そのしわ寄せもかぶっている気がします)
現在では家族会のスタンスもかなり変わって来たようですが、第一印象というヤツは根強いため今後もイラクへ行ったことに対して否定的な意見が相次ぐかと思いますが、個人的には人道支援目的で自己責任で行っている分には誉められることはあっても、貶して良いものではないと思います。
というか、頭ごなしに否定する人は下のような現状があることを知ってますか?
私たちは、何の医療処置もなく、電気もないところで子供を産もうとしている女性のところに行こうとしていたのだ。封鎖された街の中で、はっきり救急車であることを表示しながら。海兵隊は、それに向かって発砲しているのだ。一体、何のために?
ネットサーフィンをしてたら面白いものを見つけました。
ただ、まだまだ荒削りな感じで
とりあえずFULLは必要なかったので「1.4.2から変更のあったファイルのみ」をダウンロードして展開してみたところ
・・・なんで設定ファイル(pukiwiki.ini.php)まで含まれてますか(;´д`)ノ
どうにも設定項目が増えたらしい_| ̄|○
そのほかskin(CSSファイル)とかも変更になってるようで差し替えると戻すの結構手間になりそう
で、1.4.3のダウンロードページを見てみると「1.4.2からの差分」と言うことでdiffファイルがおいてあるので、こっちからpatchを当てることにしました。
とりあえず、diffファイルをダウンロードして解凍してみると「diff -u」で差分取っているようだったのでpatchでも「-u」オプションつけて実行・・・失敗(ノ `Д´)ノ===┻━┻
どうにもサブディレクトリを全く認識してくれません。
(うちの環境のせいかもしれませんが、少なくてもpatch 2.5.4より新しいのって無いですよね・・・?)
-Rで戻してやり直すのも面倒なのでそのまま手パッチで何とかしましたが、その後1.4.2のFULLにどうやっても当たらなかったので、このdiffで何とかするのはあきらめました。
で、今後のためにちゃんと当たるパッチの作り方を書いておきます。
セキュリティホール memoさんで、紹介されていた
上記記事では「tar zxpf」で展開してという事が書いて居ますが1.05ではtarボールの中にinstaller.shが入って居るので、ルート権限でそれをインストールすればセットアップ完了です。
で、記事通り
/usr/local/bin/rkhunter -c --createlogfileとして起動してみたところ、いくつものチェック項目がでてコマンドの正当性やら何やらをどんどん捜査しているようです。
で、どんどん処理を進めていくといくつか警告をもらいましたが無事rootkitは無いと判断されました( ̄▽ ̄)ノ
(ワーニングの内容も納得しているものなので問題ないですし)
なお、ログは「/var/log/rkhunter.log」に作成され、上記オプションでは常に上書きされるようです。
あと、2回目以降は
/usr/local/bin/rkhunter -c --createlogfile --skip-keypressとしておけばキー入力での確認無く最後まで進むので、そうしておくのが良いでしょう。
まぁ、現状では精神安定剤に過ぎませんが、いざとなったときに頼りになるかもしれませんので、入れておいて損は無いかと思います。
そんなこんなで困っていたところ、それを解決出来そうなunisonというアプリがあることを知ったので、インストールして試してみることにしました。
で、ローカルでテストしてみたところまさに理想の挙動をしたので早速採用することにしました。
ちなみにUnisonの特徴は以下の通り
var pnir;
var document;
var id;
pnir = new ActiveXObject("Sleipnir.API");
id = pnir.GetDocumentID(pnir.ActiveIndex);
document = pnir.GetDocumentObject(id);
window = pnir.GetWindowObject(id);
if (document == null) {
pnir.MessageBox("Document オブジェクトを作成できません");
}
else {
// TODO: コードをここに記述してください。
d=document;
window.clipboardData.clearData();
window.clipboardData.setData('text', '-[[' + d.title + ':'+ d.URL + ']]'+ "\n"+ d.selection.createRange().text);
document = null;
}
pnir = null;
使い方は、リンクをしたいページにてSleipnirのメニューの「スクリプト」→「PukiWikiLink」を実行するだけです。
うまくいけば、PukiWiki用のリンクがクリップボードに格納されますので、そのままPukiWikiの編集画面で「貼り付け」を行えばリンクになります。
なお、引用したい箇所を選択したまま上記の動作を行うと、引用文も一緒にクリップボードに格納されます。
こういうときはWEBサーバのエラーログにどのようなエラーが出たか書いてありますが、サーバによってはエラーログのファイルがユーザには見えないようにしてあることも多々あります。
そういう場合に下記のようなスクリプトをdebug.cgiなどとして保存しサーバにアップロード→パーミッションを755等にしてブラウザからアクセスすると、デバッグしたいCGIの何行目でエラーが起こったのか判るので、デバッグに役に立つかもしれません。
(なお、hoge.cgiの部分には自分がデバッグするcgiの名称に変えておいてください)
#!/usr/bin/perl
open PL, "hoge.cgi";
my @EVALarr = <PL>;
close PL;
my $EVALscript = join('',@arr);
eval $EVALscript;
if ($@) {
print "Content-type: text/html\n\n";
print "<html><body><pre>\n";
print "$@\n";
print "</pre></body></html>\n";
}受けつけりゃいいってもんじゃなくってよ?
脆弱性をみっける場合って普通はおかしいと思って追試を試みるて判明するものですが、上記によると追試したら不正アクセス禁止法違反で捕まります(笑)
なんて言うか、このセキュリティ後進国は今後どうなるんでしょうかね?
とりあえず、私はみっけても今後は黙りしてなんもしない事にしました(笑)
だから、極端な言い方をすれば良識のない使い方をする人に対しては、“ブレーカー”が落ちる仕組みがいる。電気はコンセントを差し込むだけで自由に使えるが、使いすぎるとブレーカーが落ちるでしょう。ああいった概念が必要だ。
そもそも、良識に頼ったサービスなど続く訳がないのですが、それを何とかするたとえがブレーカーですか・・・
ブレーカーも複数種類あり、この人はおそらく契約以上の電気が流れないようにするためのサービスブレーカーの事を言いたいのでしょうが、サービスブレーカーは契約以上の電力を使ったらそれを遮断するためのもので、30A契約の人が30Aで電化製品を使い続けてもそれを止めるものでは決してありません。
(元々、電気料金は従量制なのであれですが)
現状を招いた最大の原因はISPがユーザーがどれぐらいの帯域を必要としているのかを読み間違い「低価格で100Mbps使いたい放題」などと大見得を切ったせいであり、本当に使いたい放題したらプロバイダから追い出されてしまうというアホみたいな現状になっています。
(追い出されたら公共広告機構辺りには連絡したの方がいいと思います)
そもそもプロバイダがいやがっているのは上り回線のトラフィックであることは明白で、ADSL時代に下り回線ばかりに力を入れたツケが光にフォーカスが移り初めて現れているようです。
それで、上り回線が窮屈になったのでユーザとの契約まで勝手に変更して何とかしのごうとしていますが、そもそもインターネットとはギブアンドテイクで成り立って居るため、下り回線と同じぐらい上り回線を使うのは当然の話。
そんな当たり前の前提すら守れないで何が良識ですか。
料金の不平等な問題にしても、もっと料金コースに幅を持たせれば良いものをそれをやらずに文句ばっかり言っているISPの方こそ良識を疑ってしまいます。
今まで全く不満が無かったため特にいじってなかったbogofilterをなにげにバージョンアップしたらこんなエラーが出ました。
bogofilter: (db) DB->open(/home/hoge/.bogofilter/wordlist.db) - actually /home/調べてみたら「goodlist.db」と「spamlist.db」が「wordlist.db」に統合されるというBogofilter0.7以来の大規模なデータベース形式のバージョンアップがあったようなので、そのアップデート手順を書いておきます。
hoge/.bogofilter/wordlist.db bogohome: /home/hoge/.bogofilter -, err: 2,
No such file or directory
Can't open file 'wordlist.db' in directory '/home/hoge/.bogofilter'.
error #2 - No such file or directory.Remember to register some spam and ham messages before you
use bogofilter to evaluate mail for its probable spam status!
移行は極めて簡単
bogoupgrade -d ~/.bogofilter上記のコマンド一発でwordlist.dbができあがります。
ちょっと試した感じじゃ精度は落ちてないようなので、乗り換えても安心っぽいです。
なお、0.7からバージョンアップする強者は「man bogoupgrade」に書いてあるとおりにやってください(^^;
Solaris8にbogofilter-0.17.4を入れようとしたところconfigureの時に下のようなエラーが出ました
checking how to link with libdb... -ldbどうもBerkeley DBが見つからないと言うことみたいなので、ダウンロードページから落として入れようかと思い4.2.52をダウンロード開始。
configure: error:
====================================================================
Cannot link against libdb? Try 'rm config.cache', then re-configure.
If the problem persists, report it to the bogofilter mailing list.
Remember to include your config.log.
====================================================================
落ちてくるまで多少時間あったのでどこに入れようかと徘徊していたところ、/usr/local/にBerkeleyDB.4.1を発見(笑)
どうもインストールした人が入れてくれたもののようなのでありがたくそれを使うことにして次のようにconfigureの引数を渡す。
./configure --with-libdb-prefix=/usr/local/BerkeleyDB.4.1無事configure、make、make installが通りました( ̄▽ ̄)ノ 続きを読む...
1、telnet にて外部から login することができる2、隠し cgi にて root 権限で任意のコマンドが実行可能
3、外部からファームウェアのアップデートができる
4、elecom に指摘をしたところ、 fix はしないと言われた
というか、root権限で動いているCGIがあったり、外部からログイン可能なアカウントが有効になっている段階で何らかの陰謀があると勘ぐられても不思議じゃない状況なのに、それを治す気がさらさら無いelecomさんは企業として終わってますね。
私自身はLANEED製品でさんざん痛い目見たんで、集積回路が入って居るような製品ではelecom極力買わないようにしてましたが、これからは間違っても買わないように努力しようと思います。
trackerプラグインで入力した投稿者名がブランケットネームになるのをどうやったら抑止出来るのだろうとしばらく悩んでソースまでみてやっとこ気が付きました。
Pukiwikiで「:config/plugin/tracker/ページ名」にアクセスして「fields」の「形式」が「page」になっているとブランケットネームで表示されると言うことに・・・_| ̄|○
これを「text」にすれば名前の項目がブランケットネームにならなくなりますが、気が付くまで30分も掛かってしまって、ものすごい徒労感だけがあとに残りました(;´д`)ノ
(x)inetd経由でqpopperを立ち上げた場合限定のログの取り方のメモ
(以下はxinetdの場合)
# vi /etc/xinetd.d/pop3で
server = /usr/sbin/qpopper -s -f /var/log/qpopper.logと赤字の部分を追加してください。
あと、/etc/logrotate.d/にqpopper等のファイル名で
/var/log/qpopper {辺りを追加しておけば良いかと思います。
rotate 9
}
本当はsyslog経由でやった方が良いんでしょうが、どうも面倒で(^^;;
/usr/lib/newsyslogなるものでログを回しているようなので、「newsyslog solaris」でぐぐって見たところ
more /usr/lib/newsyslogとやってみたところ
エイプリルフールなのでインターネット中嘘情報だらけです。
代表的なところと言えば↓ですが、今年は例年よりつまらない感じ。
ちなみに、うちでもやろうかと思ったんですが余力が無くて断念しました(^^;
そういえば、今日総額制導入後初買い物をしてきました。
1点だけの購入だったので値札通りの価格で買えるんですが、レジに金額が表示されるまですっぱり忘れてて「あれ?なんで同じ値段なんだ」と妙にあわててしまいました(笑)