ネット通販を運営する企業に対し集客効率化支援致します。

カテゴリー「トピックス」の記事

スマートフォンのバッテリーを長持ちさせる有効な方法

 / テクニカル, トピックス, ノウハウ, 雑学TIPS

スマホでAndroid使ってる方に是非知ってほしいコツ

スマホのバッテリーがすぐに減ってしまう、ものすごいスマホの背面が熱くなるという方かなり多いと思います。 この理由の大半は自分自身で導入しているアプリやスマホメーカのアプリの通知機能が原因です。


アプリ通知機能をOFFにすると電池の持ちが従来の2倍以上も改善します。手持ちの10台の開発機で実験しましたが最高で4倍のバッテリー持ちになりました。

熱くなる原因はほとんどがアプリとスマホの相性(ファイル構造の違い、プログラム干渉によるリトライ通信の無限ループが原因)で表面では見えないトラブルが起きていました。

この対策ですがつまり通知機能をOFFにすれば解消します。


通知をオフにするアプリは幾つかありますが、無料で使えて広告が出ないという点でこのアプリがオススメです。「hide nortification」Google Playでダウンロードして使って見てください。


hide nortification

このソフトを使ってOFFにしたいアプリをチェックするだけ。私の場合はメールとFBとインスタ、Google Play、カレンダーだけ通知をOnにしてそれ以外はOFFにしました。どの機種も劇的にバッテリー持ちが改善しました。

画像アップロードに於けるセキュリティ対策

 / Security Tips, テクニカル, トピックス, ノウハウ

WEBサイトのセキュリティ対策の中でも重要なのが画像のアップロード時の不正対策だ。最も行われている攻撃は画像のファイルのメタ情報に不正コードを埋め込んで、後から復元&実行を穴のあるプログラムコードに混ぜて処理させファイル改竄に持ってゆくというものだ。この手法は古くからある手法だが残念ながら今でも十分有効な攻撃手法です。

画像ファイルアップロードで考慮すべきこと

  • ファイルのアップロードデータをドキュメントルートの外フォルダへ配置する。移動ではなく保存先を最初から外部にする。
  • ファイルのファイル名をオリジナルでは無いランダムなベースファイル名にする。
  • アップロードした画像の中身が本当に画像ファイルなのか検査する。プログラムなのに拡張子が画像拡張子の場合を検査
  • アップロードした画像の中にあるメタインフォに不正コードを含まれてしまう可能性があるのでexiftoolで削除する
  • Google captchaなどを使用してバッチ処理の攻撃を防ぐ
  • ファイルの格納は1種類に統一する。仮に画像種別が複数あっても保存時に変換する。変換するとメタ情報が消去される。
  • 画像ファイルのアップロードできるサイズを規定し必要以上の大きなサイズでメモリ圧迫を避ける。

exiftoolを導入

元々はexiftoolの目的は画像のメタ情報(撮影時の機種、タイムスタンプ、画像のタイプ、場所などの付帯情報)を編集するツールです。このソフトはオープンソースなのでダウンロードしてどんなプラットフォームでも利用が可能です。それではLinux(CentOS6,7)などで利用する場合について解説していきたいと思います。

exiftoolのホームページ

ダウンロードしたら適用なディレクトリに配置して解凍します。

もしMakeする際にエラーが出るとしたら、perlモジュールが足りないため発生する可能性はあります。その場合はcpanをyumでインストールし cpanツール起動しライブラリーをインストールしてください。「cpan[1]> install ExtUtils::MakeMaker」

exiftoolでメタ情報を除去

気をつける点は”-all= *.jpg”の”=”の後は半角1個分のスペースの後に画像ファイル名を指定しないとエラーになる。またデフォルトで変換前のファイルはoriginalという名前が付加され残ります。残すと危険なので削除を最後に実施します。

 

画像変換にImageMagickを使う。

GoogleのreCaptchaで投稿を安全にする(連続投稿のブロック)

簡単に設置できるので試してください。「私はロボットではありません」のボックスが表示されます。

Google reCaptcha

Apacheログからセキュリティアタックの解析をする。

 / Security Tips, テクニカル, トピックス, ノウハウ

ApacheのWEBログから攻撃の手法を読み取るツールをご紹介したいと思います。ツールの言語はPython2.x系で記述されていますが、少し手を入れてpyhon3.xで動作するパッチを作ってみました。2.x系と動作比較した感じは動作良好のようです。

コードGoogleで登録されているapacheログのセキュリティ解析ツール(scalp)

https://code.google.com/archive/p/apache-scalp/

それではダウンロードして準備しましょう。

python3.x系で動作させる場合はこのパッチを適用

実行にはApacheのログが必要です。まずは例えばフォルダー「input」を作ります。そこへアパッチのログを一旦コピーしましょう。次に解析結果を「out」フォルダー入れるために作成します。出力結果はHTML形式にします。尚コマンドラインが長いためシェルで実行する事をお勧めします

scanする攻撃パターン検索用のスキーマ(default_filter.xml)

ブラウザにてhttp://xxx.xxx.xxx.xxx:8000/out/xxxxx.access_log_scalp_Thu-07-Sep-2017.htmlのような感じでアクセスしてみてください。下記のような表示が出てくるはずです。

まとめとして、ログが巨大な場合はsplitコマンドで予め分割して編集してから解析ツールに通すほうが良さそうです。また新たな攻撃パターン手口はdefault_filter.xmlを編集して登録すると拡張できる点は良いですね。

タグ: , , ,

TOPへ戻る