「yomi search」の脆弱性対応

 ①踏み台にされる件

以下のようにrank.cgiを使うと、当該サーバーを踏み台にしたDDoS攻撃が行われる。

なので

・まず設定でランキング処理をやめる。

・サーバーにあるrank.cgiをrank.cgi.oldに変える。

②クロスサイトスクリプティングの脆弱性(CWE-79)

「yomi search」サイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性。これは「yomi search」の問題ではなく、ユーザー投稿コンテンツが表示されるサイト全てに当てはまる。以下「yomi search」での対応。

・「yomi search」での申請において、自動登録は絶対禁止（何しろ自動登録だと、いくらプログラムで弾いても、次々に新しいのが考案され、らちが明かない）

・申請内容を目で見て確認し、その場合、＜script＞〜＜/script＞などの怪しい所が無いか確認。自分でも当該urlなどをセキュリティーの高いブラウザ（chromeなど）で確認する。

参照：https://www.shadan-kun.com/waf_websecurity/xss/

まあ、これで完璧に弾いても、相手先にて やばいページにリダイレクトされれば、元も子もない。そもそも完全には対応不可能。この脆弱性を問題にすること自体が茶番。

何よりも、ユーザー教育、マスコミ教育が大切。

ちなみに、一般的なサニタイジング（無害化）対応cgiスクリプトはこちら。要は表示だけされて実行はしないように変換。ユーザー入力項目について変換処理を加える。

$value =~ s/&/&/g;
$value =~ s/</&lt;/g;
$value =~ s/>/&gt;/g;
$value =~ s/"/&quot;/g;
$value =~ s/'/’/g;

安いwi-fi6ルーターを使えるようにした。バッファローwsr-1500ax2s/nbk編だけど他にも当てはまるよ

 安いwi-fi6ルーター（バッファローwsr-1500ax2s/nbk）を買ったら、ブチブチ切れて使いものにならなかった。自分もブチ切れて、すぐゴミ箱に捨てようとした。でも、買ってすぐ捨てるのは悔しくて悔しくて、しつこく追及し、なんとかした

△切れるのとは関係ないが、ルーターはブリッジモード（APモード）でホームルーター（NTTのルーターなど）に繋ぐ。こうしないと二重ルーターになって速度が落ちる

①まずwifiルーターの、切れる設定を無くす

>バンドステアリングLite機能をオフ

>他者にちょっかいを受けないようにブロードキャスト機能をオフ（wifi一覧にでないようにする）。この機種ではANY接続をオフ

②高度な設定

>この機種はアンテナ数ともいわれるストリーム数(2*2)：5GHz帯が2ストリーム、2.4GHz帯が2ストリームを有効にし、機器が分散して繋がる設定にする。設定項目がそれぞれあるので、それぞれ有効に（初期値）

>>具体的には、ssidを分散して、それぞれの機器を別々のssidに繋げるようにする（なるべく）

・5GHzは遠くまで飛ばないが、その分、他者との競合がないので安定する。2.4GHzはその逆。なので、なるべく5GHzに接続。けど、間に障害物があると切れる（速度落ちる）

・チャンネルを固定し、途中で切り替わったりしないようにする。→これが切れる最大の原因（5GHzではDFSありを使わない、DFSだと環境により切り替わりが発生して1分とか切れる事象が発生）

>WiFi Analyzer（無料ツール）で解析して、良い隙間を見つける

>>自分の環境では、2.4GHz：13チャンネル、5GHz：48チャンネルに設定

自分の以下の機器で快適に動いています

pc：ibm(wifi6→5GHz)、hp(wifi5→2.4GHz)、del(wifi5→2.4GHz：これが5GHzに繋がる筈がダメ。このPCは他のルーターでも切れやすかった)

スマホ：ファーウェイ(→2.4GHz)、オッポ(wifi6→5GHz)、ipod touch(→2.4GHz)

ちなみに、高価な機種だと帯域幅が広くなり、なにかと調子よいそう

※今回のネット環境は、NTTフレッツ光・マンションタイプ（回線）、おてがる光（プロバイダー）による。ipv6オプションを契約（ルーターの設定は一切なし、nttのホームルーター以前で自動でやっているみたい）。

インターネット接続スピードが極端に下がるPCあり

 具体的には、新しいPCを買ったらアップロードが極端に遅かった。スマホは問題なくて、PCだけ遅いもこの現象。また、通常のウェブブラウジングでは気づかなくて、ftpやウェブテレビ会議などで、あまりの遅さに気づくもの。

原因：新しいPCの無線lanがwi-fi6でルーター側がwi-fi5になり、うまく処理できていないもよう。

対策：PC側のドラーバーの設定を古い規格、802.11nにしてOK.

（ルーアーの接続先を2.4GHzにしたり5GHzにしたり、いろいろ設定をかえてみたものの、自分の環境ではこれが一番）

ちなみに環境は、

lenobo thinkpad windows11 - WN-AX1167GR（i/o data）フレッツ光マンションタイプ200Mbps

悩みに悩んで、やっとたどり着いた。前から使っている他のPC（windows10）と遜色なくなった。

※2021.12.15

ドライバー（MediaTek MT7921 ワイヤレス LAN ドライバー）を検索してみたらwin11用の新しいドライバーが出ていたのでインストール。なんか、型番が違ったが無視（ダメだったら、ドライバー削除して再起動すれば元に戻るんじゃなーい）。

まずはドライバーの設定を元に戻す

スピードテストで速度テスト

OK、完了。

Tverが急に見られなくなった。それは今日Malwarebytes Browser Guardを入れたから。

chromeでTverが急に見られなくなった（見られるのもある）。 それは今日、chromeの拡張機能にMalwarebytes Browser Guardを入れたから。 なので削除したら、見られるように回復。

web右クリックブロックで文字選択できない時、できるようにするツール。

ブックマークレットという機能を使い、該当ページ全体のテキスト（文字）だけを表示します。

①ブックマークレットを使うには、事前にブックマークツールバーを表示しておきましょう。chromeの場合、「表示」-「ツールバー」-「ブックマークツールバー」で表示されます。

②ブックマークツールバーには、以下のリンクをドラッグ＆ドロップで追加してください。
テキスト抽出

使い方）
該当ページを表示して、上で作ったブックマークバーの「テキスト抽出」を押すだけです。
以上

※2021.03.15 chromeでブックマークレットのドラッグが出来なくなっていました。

なので、以下の操作をしてください。

→2021.05.22、ドラッグできるように戻っていました。

• ブックマークバーを右クリックして「ページを追加」を選択
  
• 「名前」に「テキスト抽出」あるいは好きな名前を入力
• 「URL」に以下のスクリプトをコピペしてください。
• javascript:(function(){var w=window.open();w.document.open();w.document.write('<html><body><textarea style="height: 100vh;width: 100%">'+document.body.innerText+"</textarea></body></html>");w.document.close();})()

ブラウザの「戻る」を押しても戻らない、それはgoogle拡張機能のせいだった。

ブラウザの戻るを押しても同じページのままで戻らず、おかしいと思って「戻る」を長押しして履歴を見たら、戻り先が現在のページと同じになっていて戻らないのだ。がっかりだ。

その後、他のブラウザでは起こらないことに気づき、chromeの拡張機能のせいだろうと。 それで一個ずつ拡張機能を無効にしていったら、以下の拡張機能で戻るボタンが正常になった。

「Ghostery – プライバシー広告ブロッカー」。仕方なく消した。案外よかったのに。

snsを横断して検索するツール（ブックマークレット）作りました。

文字を選択して、ブックマークバーのリンク（以下で説明）を押すと、snsが検索されるツールを作ってみました（いっぺんにtwitter、facebook、instagramを検索します）。

①ブックマークレットを使うには、事前に、ブックマークツールバーを表示しておきましょう。
「表示」-「ツールバー」-「ブックマークツールバー」で表示されます。

②ブックマークツールバーには、ドラッグ＆ドロップでリンクを追加できるので、以下のリンクをコピーして追加してください。
sns検索


使い方）
１．webページで検索したい文字を選択(ドラッグ)。
２．上で作ったブックマークバーの「sns検索」を押す。

以上

p.s.

以下のchrome拡張機能で右クリックでできるのでボツにします。

https://chrome.google.com/webstore/detail/search-hub/fkfpkkoheboebgbiolahgklhpapgcadn

ffftp v4.9 → v5.7 → v4.9に戻す

2022.12.14

結局、v4.9に戻しておしまい。

ーーー　以下、作業した内容　ーーー

ffftp v4.9 → v5.7 でいろいろあったので書いておく。まあ、以下を設定するとよい。

★必ず、設定の「設定ファイルの保存」を行ってから行う。

「ミラーリングアップロードでフォルダ名に:が付加の件」

・接続＞ホスト設定＞ホスト一覧＞設定変更＞高度＞「LISTコマンドでファイル一覧を取得」をチェック

・接続＞ホスト設定＞ホスト一覧＞設定変更＞高度＞「可能であればMLSDコマンドで一覧を取得」をチェック

「大容量フィルダのミラーリングが途中でとまる」

・接続＞ホスト設定＞ホスト一覧＞設定変更＞暗号化＞「暗号なしで接続を許可」をチェック。下にあるその他のチェックは全て外す。

あと、アップロードで「crlf」が「lf」だけにされるようで、ファイルサイズがほんの少し小さくなる。

×その後、ミラーリングダウンロードでもおかしなことが起こって使えなかった。やっぱり戻す、v4.9へ。

★v4.9に戻しても、正常には戻らなかった。設定の「全設定の消去」を行ってから、設定の「設定をファイルの復元」を行う。

2022.06.10

その後、ffftp起動時にウィンドウが小さくなる現象になやまされた。けど、右上に四角い拡大縮小のボタンがあり、それで縮小にしたときに最大値に拡大しておけばよいのだった。

2022.06.01

ffftp 5.7を試したら、ミラーリングアップロードでフォルダ名に「:」が付加されて大量の削除の憂き目にあった。‥処理前に確認して事なきを得たけど。

なので、ffftp 4.9に戻した。

---以下は以前の書き込み　最新版は上に書きます。--------

追記）FileZillaでゼロファイル探す（最後に追加）2021.03.05

---------------------------------

「ffftp 1.99で」
おそらく、アップロードでエラーになった時にゼロになるのだろう。
（セロにならなくても、半分だけ転送された中途半端なファイルも発見。やっかい）
だいたいは、ミラーリングアップロードでエラーが起き、その後自動で再開されるので気が付かない。
もしかしたら、転送の設定かサーバー側の環境によって起きる起きないがあるのかも。

どうしようかと考えていたら、「ffftp 2.0」や「ffftp 3.5」がいつの間にか出ていたので、「ffftp 3.5」の方に移行。

「ファイルサイズがゼロ」の件は、注意深く見て行きたいと‥。

p.s.
　その後v4.4を使ってみたら、時々エラーで異常終了。その時、ファイルサイズがゼロに。なので、V4.3に戻して使用。こっちの方が安定。
2020.03.23

p.s.2

　v4.7にしてみたら、激しく異常終了したので調べてみたら、ホストの設定画面＞「高度」タブ＞「LISTコマンドで一覧を取得」にチェックを付けるとよい、らしいのでしばらく使ってみようと。→結局、ミラーリングができなくて、v4.3に戻す。

→v4.9で安定するようになりました。2021.06.07

追記）

・画面の半分（ローカル側、ホスト側）が表示されない場合、どちらかが、かぶされている（中心線が左、または右に寄っている）ので、端の枠をドラッグしてみる。

・ffftpを起動したとき、左側（ローカル側）が狭くなっている（何度直しても元に戻る）。この場合、縮小表示（再縮小ではない）したときに、小さいバーだけの表示になっているので、その枠をドラッグして広げ、中心位置を真ん中ぐらいにもっていくと、最大表示でも真ん中になる。

参考：https://howpon.com/13644

-------------

FileZillaでゼロファイル探す

結局、ftpにはトラブルが付き物で、その時のエラーでゼロになる。そのエラー時のファイルが分かっていれば再送すればよいが、見逃したりする場合もあるかも。

そのとき（過去）のエラーを探す方法が「FileZilla（FTPソフト）でゼロファイル探す」。

FileZilla > サーバ > リモートファイルの検索で下記の設定で検索ボタンを押す。

・サイズがゼロのファイル

・ファイル名の最後が.html

chrome使用中、いきなりPCのCPUが100%になり冷却ファンがうなり始めた。

①win10のタスクマネージャーで見ると、google chromeの子どもたち（インスタンス）の一つがやらかしていて、cpu100%に。

②次にgoogle chromeのタスクマネージャー（右上点３つ＞その他ツール＞タスクマネージャ）で見ると、何者かがhttps://staticset.comに接続していて、そやつがcpuを食いまくっていて‥。

③次にgoogle chromeの拡張機能を一個ずつ停止させ（無効にする）、②を確認して行くと、ついさっき入れたばかりのカラーピッカーが原因と判明。はい、削除、一件落着。
あとは、止めたやつをもとに戻して終わり。

------------ 2021.03追記 -----------------

・chromeのタスクマネージャーで一発で「悪いヤツ」を見つけられるように。

　右上の3点ドットアイコンから｢その他のツール｣→｢タスクマネージャ｣でオープン。

開いているタブごとに、メモリ、CPU、通信使用量を表示してくれる。ここでCPUが100%近くになっているものがヤツ。

　

・ついでに、マルウェアのチェックもしておく。

アドレスバーに chrome://settings/cleanup をコピー貼り付け実行

｢パソコンのクリーンアップ｣クリックで、Chromeに不審なマルウェアがないかをチェック

------------ 2021.03追記 -----------------

p.s.
　後で思えば、これは仮想通貨のマイニング（発掘）が組み込まれていたんだなーと。実際自分でマイニングをしてみたら、案の定CPU100%になってファンがうるさくて‥。このようなことはWEBサイトにも組み込みが簡単なので、お気をつけを。

p.s.2
　その後、また同じシチュエーションにて同じ拡張機能を使ってしまい、同じことに。

ピクセルの色を表示する
http://wildwindweb.blogspot.com/

　というソフトでした。マイニングをしているのかどうかは確認できておりませんけど、これを消すと正常に戻りました。


参考）

ノートPCのファンが唸ってうるさい時、CPUのパフォーマンスを下げると静かになるよ～！

https://pasotora.blogspot.com/2019/07/windows10pccpu.html

ChromeブラウザーでYoutubeが見れなくなり、動画画面が真っ暗

1. 右上のGoogle Chromeの設定→　オプション→　高度な設定タブ→　コンテンツの設定を開く 

2. プラグインを選択し、「プラグインを個別に無効にする」をクリック 

3. 別ウィンドウが開く。右上の方の「詳細」をクリックして各プラグインの詳細を展開する。 

4. flashが２種類入っているので、場所の途中に\Chrome\と入っているChrome内蔵の方を無効に。 

5. Chromeを再起動。 

そしたら、ついでにRealDownloaderが出てこなくなっていたのも直ってしまった。