無無無庵2

(むさんあん) - 思考が無く - 躰が無く - 心が無く

トキメキ団塊親父のセカンド・ステージ - 退職爺のボケ封じ

パスワード流出を警告

パスワード流出を警告

Facebookで漏洩事件との報。日本人約40万人を含む全世界約5億人の個人情報。電話番号含む5億人超のFacebookアカウント情報がネットで公開される - PC Watch(21/04/05)Facebookから流出した日本人約40万人を含む全世界約5億人の個人情報が「再公開」 - INTERNET Watch(21/04/05)Webブラウザの付録的に「メルアド・パスワードの流出を警告」する機能が付加されている。メアド・パスワードの流出を警告する“Firefox Monitor”がメジャ...

... 続きを見る

Facebookで漏洩事件との報。日本人約40万人を含む全世界約5億人の個人情報。

Webブラウザの付録的に「メルアド・パスワードの流出を警告」する機能が付加されている。Firefoxをメインとして利用している俺はFirefox Monitorを利用しているが、Facebookでの漏れは無いとの事。以前ユーザ登録していた「Bitly」と「Dropbox」で漏洩しているとの事。いずれも既に退会しているのだが、登録時の物は生き延びているらしい。しかし、当時と現在のパスワードは大幅に変わっているから大丈夫であろうと楽観している。
Googleでは「Password Checkup」が拡張機能として提供されていたが、20/08/31で終了している。これと同等の機能は「Google Chrome」のv88で本体に実装された。漏洩パスワード警告機能が有効になっているかどうかは、設定画面の[プライバシーとセキュリティ]セクション(chrome://settings/security)にある“セーフ ブラウジング”で確認が可能。Microsoft Edgeはv88で「Password Monitor」を導入開始している。有効になるまでに数週間かかる場合もあるとのこと。なお、機能自体はデフォルトで有効になっている。(過去記事:パスワードモニター:学)

IMAP4とPOP:学

IMAP4とPOP:学

Windows 10に標準添付されている「メール」アプリでは、GmaillやOutlook.comのフリーメールサービスは受信の同期が取れて便利である。しかし、フリーメールサービスの中のYahoo!メールは、俺の環境では同期が取れていない。俺はメインのメールアプリとしてはThunderbirdを利用しているので、標準添付の「メール」アプリが動かなくとも困らないが、着信を知らせてくれるのは便利と思う。GmaillやOutlookの組み入れは簡単なのだが、Y...

... 続きを見る

Windows 10に標準添付されている「メール」アプリでは、GmaillやOutlook.comフリーメールサービスは受信の同期が取れて便利である。しかし、フリーメールサービスの中のYahoo!メールは、俺の環境では同期が取れていない。
俺はメインのメールアプリとしてはThunderbirdを利用しているので、標準添付の「メール」アプリが動かなくとも困らないが、着信を知らせてくれるのは便利と思う。GmaillやOutlookの組み入れは簡単なのだが、Yahoo!メールの作業は面倒だ。
ネット世界に首を突っ込んだ頃には、「スソノ.com」という静岡県の無料レンタルサーバを借り。メールアドレスが1つ付いてきた。当時はどこにサーバが在るのか判らないフリーメールを胡散臭く思っていたが、最近のように表計算データまでもがクライアントとなるのであればフリーメールでも問題無かろう。

とは言うものの、Yahoo!メールは当時から独自路線だったように思う。というか、当時は米Yahoo!だったのだろう。しかし、1999年からははYahoo! JAPANが提供している。とは言うものの、何故かWindowsとは組み合わせが悪いと見る。
単純に俺の理解不足のせいかも知れないが、「メール」アプリにYahoo!メールを組み入れようとしても、下図のエラーでダメなのだ。
20210404160121

GmaillやOutlook.comであれば「メール」アプリに組み込む際には名札があり、示される手順に従えば殊更に考えずとも完了するが、Yahoo!メール用の名札は無く手動で行わなければならない。主導の手順を解説するサイト記事は多いが組み込めていない。その原因は、POP/IMAPの設定ミスだと考えている。

Yahoo!メールはPOP/IMAPの両方に対応している。
俺のメール感覚としては、Internet Message Access Protocol(IMAP、アイマップ)は、『メールサーバ上の電子メールにアクセスし操作する』という事から、自分宛の手紙が手元無いことになるため使いたくなかった。
一方のPOP は、『ユーザが利用中のサーバからクライアントにメールをダウンロードし、ダウンロードがすんだメールはサーバから削除することを標準的な利用形態とする』ため、プライバシ保護の観点から良しとしていた。

しかし、最近の様にスマホ時代になると、パソコンのHDDに保管するような感覚ではメールを扱わなくなり、Webメールや複数のコンピュータから同一アカウントのメールを読む場合に、メールの未読状態等の属性やメールフォルダの構成等が一元的に管理できる利点があるということでIMAPの出番となっている。また、IMAPも進化して、現在IMAPと呼ぶときにはIMAP4を指すことが通常である。

いずれにしてもPOP/IMAPの両方に対応しているYahoo!メールを「メール」アプリに組み込めないのが癪のタネであるが..二十認証としているため、PWの入れ方
なお、「4月2日に、「Yahoo!JAPAN ID利用停止のお知らせ」との件名が書かれたメールが届いていましたが・・・- 花咲爺やの気まぐれ通信」のような出来事もあるとの事。クワバラ
🔰

ばらまき型攻撃メール

ばらまき型攻撃メール

ばらまき型攻撃メール(Dridex:BugatおよびCridexとも呼ばれ、Microsoft Wordのマクロを利用するシステムを介して銀行の認証情報を盗むことを専門とするマルウェアの一種)が流行っている模様也。ということで、本記事は(年度末は晴れたが 21/03/31)より分割した。情報基盤センターからのお知らせ【2021/03/29 5:20】ばらまき型脅迫詐欺メールに関する注意喚起【2021/03/30】ばらまき型攻撃メール(Dridex)に関する注意喚起【2021...

... 続きを見る

ばらまき型攻撃メール(Dridex:BugatおよびCridexとも呼ばれ、Microsoft Wordのマクロを利用するシステムを介して銀行の認証情報を盗むことを専門とするマルウェアの一種)が流行っている模様也。
ということで、本記事は(年度末は晴れたが 21/03/31)より分割した。

情報基盤センターからのお知らせ
  1. 【2021/03/29 5:20】ばらまき型脅迫詐欺メールに関する注意喚起
  2. 【2021/03/30】ばらまき型攻撃メール(Dridex)に関する注意喚起
  3. 【2021/03/31】ばらまき型攻撃メール(Dridex)に関する注意喚起
  4. 2021/04/01】ばらまき型攻撃メール(Dridex)に関する注意喚起
  5. 【2021/4/3 10:50】ばらまき型脅迫詐欺メールに関する注意喚起
  6. 【2021/4/6 8:20】ばらまき型脅迫詐欺メールに関する注意喚起
  7. 以上で、本件記事の追尾を終了とする。

  • 安心相談窓口だより:IPA 独立行政法人 情報処理推進機構
    性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意

FC2のTLS対応告知

FC2のTLS対応告知

FC2よりアナウンスあり。一部のサーバーで、2021年5月5日にTLS1.1以前の暗号化プロトコルを無効化する。これにより、古い端末やブラウザで画像やファイル等にアクセスできなくなるかも。自分のブラウザで利用できるかどうかは、こちらのサイトでご確認するべし。【重要】「TLS1.0」および「TLS1.1 」の脆弱性に対する対応につきまして - FC2総合インフォメーション(21/03/30)【重要】「TLS1.0」および「TLS1.1 」の脆弱性に対する...

... 続きを見る

FC2よりアナウンスあり。
一部のサーバーで、2021年5月5日にTLS1.1以前の暗号化プロトコルを無効化する。
これにより、古い端末やブラウザで画像やファイル等にアクセスできなくなるかも。
自分のブラウザで利用できるかどうかは、こちらのサイトでご確認するべし。
【重要】「TLS1.0」および「TLS1.1 」の脆弱性に対する対応につきまして - FC2総合インフォメーション(21/03/30)
以前(2017年9月1日)にTLS1.0の暗号化プロトコルを無効化している。
このことは、ブログ・ホームページをはじめ、FC2を利用する場合は影響する。

FC2ブログを利用の貴方のブログを、TLS1.1以前の環境の友達は立ち寄れなくなる。

TLS1.1以前の環境の貴方は、FC2ブログに立ち寄れなくなる。
自分のブラウザで利用できるかどうかは、こちらのサイトでご確認するべし。

「TLS1.0」「TLS1.1 」を使用中止し、「TLS1.2」にする方法は下記にて記載しているが、最新のWebブラウザにアップデートすることでも解決できるハズ🔰
過去記事:★SSL / TLS 設定方法:2

俺の知る範囲では、レンタルブログ屋では「はてなブログ」に続く2番目だ(流石は「はてな」、やる)。巷では告知はしていなくとも、同様の措置を行っているのかも知れないかな。

<<類似事項追記>>

カスペルスキーUpdate

カスペルスキーUpdate

過日(21/03/08)は見送りとしたカスペルスキーを、v21.2.16.590 (c) ⇒ v21.3.10.391 にUpdateした。同版が日本語版のリリース情報(インターネット セキュリティ 2021)に掲載されるようになった為。以前の理が有効なのかは不明。いずれにしても、「カリフォルニア州向け」とされるv21.3.10.391は、EUで悶着された著作権云々に対応した物であろうと独断した。著名なWebブラウザは著作権への抵触を避けている現在、遅ればせていると...

... 続きを見る

過日(21/03/08)は見送りとしたカスペルスキーを、v21.2.16.590 (c) ⇒ v21.3.10.391 にUpdateした。同版が日本語版のリリース情報(インターネット セキュリティ 2021)に掲載されるようになった為。以前の理が有効なのかは不明。
いずれにしても、「カリフォルニア州向け」とされるv21.3.10.391は、EUで悶着された著作権云々に対応した物であろうと独断した。著名なWebブラウザは著作権への抵触を避けている現在、遅ればせているとはいうものの日本でも法制化されLINEが槍玉に挙げられているから、「カリフォルニア州向け」を利用するほうが無難と判断した。
カリフォルニア州の居住者向けに本製品の特別なバージョンを作成しました。お客様がカリフォルニアにお住まいの場合本製品のこちらのバージョンをダウンロードしてインストールしてください。
なお前記によれば、v21.3.10.391には修正プログラム Aがアップデート公開されているが、現時点では未降臨也。
21/04/03、v21.3.10.391(a)にUpdateできた。

Yomi-Searchが危ない

Yomi-Searchが危ない

WonderLink氏が作成・配布していた検索エンジンプログラムの「Yomi-Search」に脆弱性有りとのことでJPCERT/CC and IPAに掲載されていた。JVN#94705238: Yomi-Search におけるクロスサイトスクリプティングの脆弱性「Yomi-Search」とは実に懐かしい。検索エンジンと言えばYahoo!の事を指していた時代(Googleは1998年設立)には自サイトの部品として検索エンジンを設置する事が流行りの時代に、その中では玄人受けする物であったと心...

... 続きを見る

WonderLink氏が作成・配布していた検索エンジンプログラムの「Yomi-Search」に脆弱性有りとのことでJPCERT/CC and IPAに掲載されていた。
JVN#94705238: Yomi-Search におけるクロスサイトスクリプティングの脆弱性
「Yomi-Search」とは実に懐かしい。検索エンジンと言えばYahoo!の事を指していた時代(Googleは1998年設立)には自サイトの部品として検索エンジンを設置する事が流行りの時代に、その中では玄人受けする物であったと心る。俺が自前サイトを作ろうと思ったのは、自前で検索エンジンを設置したかったためである。
当時は「牛飼いとアイコンの部屋」が配布するアイコンを用いたサイトに検索エンジンを付けるのが良かったと見る。「青森の峠さんの話」もその頃であった。

前記の掲載によれば「製品開発者と連絡が取れない」とのことであり、「Yomi-Search Ver4.22 の使用中止を検討」しろとのことだ。脆弱性としては「Yomi-Searchのページにアクセスしたユーザのウェブブラウザ上で、意図しないスクリプトが実行される」との事也。2012/01/23からのメールでの連絡に対して応答が無く、2021年1月22日に開催された公表判定委員会にて公表することが適当と判定されたとの事。

Yomi-Searchの著名度から、未だに利用している御同輩も多いかも知れぬが、要注意也。検索すると多数ヒットするが、危ない危ない

Googleから変なメール

Googleから変なメール

「MFI化の適用-まとめ」のとおり、「モバイル ファースト インデックス(MFI)化が適用」された場合、Search Consoleでモバイルファーストインデックスが実施された(「Mobile-first indexing enabled for ***」等のタイトルの)メッセージが届くとの事であり、配送されるのを楽しみにしていた。だが、待ち人を待つ時間は長い。モバイルファーストインデックスの確認方法と対応するための10の方法 - Webmaを読んで、FC2ブログ自体がM...

... 続きを見る

MFI化の適用-まとめ」のとおり、「モバイル ファースト インデックス(MFI)化が適用」された場合、Search Consoleでモバイルファーストインデックスが実施された(「Mobile-first indexing enabled for ***」等のタイトルの)メッセージが届くとの事であり、配送されるのを楽しみにしていた。だが、待ち人を待つ時間は長い。

を読んで、FC2ブログ自体がMFI化に対応しているのか疑問を抱いた。FC2ブログの執筆者でMFI化を奨める記事は多いが、執筆者自身のFC2ブログがMFI化されたという記事には御目に掛かっていない。試みに「FC2ブログはMFIに対応しているのか」でググったところ1サイトだけヒットした。これにより「FC2ブログ自体がMFI化に対応している」事は確認できた。しかし考えれば、MFI化を煽る記事は多いが、自サイトがMFI化されたという記事が少ないのは、実は未だなのではあるまいか😈
本日、Googleからメールが届いた。しかし、MFIの話題とは程遠いように見える。
以前「サチコ(Google Search Console)さんから妙なメールが届きました - Webテク倉庫」にて、気になる内容を拝読していたが、それとも違うようだ。Google翻訳すると以下のとおりであり、別件と知った。
Welcome to your Google Developer Profile!
Google Developer Profile, is a way to learn about Google technologies and unlock achievements. Your profile captures your achievements with badges and saves your progress as you complete pathways, which include codelabs and videos.
To better personalize your experience please visit your developer profile settings page and fill out your profile settings.
Complete Your Profile
Google Developer Profileへようこそ!
Google Developer Profileは、Googleのテクノロジーについて学び、成果を引き出す方法です。プロフィールはバッジで成果をキャプチャし、コードラボやビデオを含むパスウェイを完了するときに進捗状況を保存します。
エクスペリエンスをより適切にパーソナライズするには、開発者プロファイル設定ページにアクセスして、プロファイル設定に入力してください。
プロフィールを完成させる

Google Search Consoleのカバレッジは、「メインクローラ: PC」で変わらず。


📩
前記の差出人は「Google Developer Profile <googledev-noreply@google.com>」だが、「The Gmail Team <gmail-noreply@google.com>」から以下のメール。
2021 年 6 月 1 日までに、Gmail、Google Chat、Google Meet の情報をどのように使用および他サービスと連携するかをお選びください  The Gmail Team
Search Consoleから送られたSharedArrayBuffer警告 | 海外SEO情報ブログ

📩
更には「ヤフー株式会社」Yahoo!ボックス・Yahoo!かんたんバックアップ <backup-info-master@mail.yahoo.co.jp>から以下のメール。引用にあたり、頭に付く(https://)を消去した。
利用ガイドライン改定のお知らせ
Yahoo!ボックス・Yahoo!かんたんバックアップ
※対象者は2021年3月12日に調査した結果に基づいています。
※こちらのメールは自動送信メールとなっておりますので、
そのままご返信いただきましてもお答えいたしかねます。
─────────────────────────
□発行:ヤフー株式会社
www.yahoo.co.jp/
□住所:東京都千代田区紀尾井町1番3号
□編集 :
Yahoo!ボックス
info-box.yahoo.co.jp/
Yahoo!かんたんバックアップ
info-box.yahoo.co.jp/promotion/kantanapps/backup.html
□発行日 :2021年3月23日
□プライバシー
privacy.yahoo.co.jp/
□利用規約
about.yahoo.co.jp/common/terms/
─────────────────────────
Copyright (C)2021 Yahoo Japan Corporation. All Rights Reserved.
これについては細かく調べなかったが、そもそも俺は「Yahoo!ボックス・Yahoo!かんたんバックアップ」という物に手を染めた事は無い。また、同サービスの生死が判らない。ということで、無視することにした。
🥺
これらのメールの性格は兎も角、Gmailアドレスに色々と届き過ぎるのは好ましくない。

JQueryをUpdate

JQueryをUpdate

久しぶりに「JQuery」に目が向いた。JQueryはJavaScriptのライブラリである。WikiPediaによれば最新版のV3.6.0が2021年3月12日に公開されている。jQuery 3.6.0 Released! | Official jQuery Blog俺については「livedoorブログのjQuery(20/06/09)」に「JQuery 3.5.0」にしている。その後、履歴には記録していないが、現在はlivedoor・FC2共に「JQuery 3.5.1」を利用している。リリース間もないv3.6.0が動作するかは疑問であるが、人...

... 続きを見る

久しぶりに「JQuery」に目が向いた。JQueryJavaScriptのライブラリである。
WikiPediaによれば最新版のV3.6.0が2021年3月12日に公開されている。
俺については「livedoorブログのjQuery(20/06/09)」に「JQuery 3.5.0」にしている。その後、履歴には記録していないが、現在はlivedoor・FC2共に「JQuery 3.5.1」を利用している。リリース間もないv3.6.0が動作するかは疑問であるが、人柱気分でlivedoor・FC2共に「JQuery 3.6.0」に切り替え、以下の記述とした。
<script src="https://ajax.googleapis.com/ajax/libs/jquery/3.6.0/jquery.min.js"></script>
本ブログでJavaScript(JQuery)を利用しているのは「上下スクロールボタン」である。他で利用しているのはプラグインであり、それぞれが独自に組み込んでいる模様で前記のJQueryの利用宣言スクリプトは不要である。ネット検索するとJavaScript (JQuery)を使わない「上下スクロールボタン」の設置方法が解説されている。

MFI化の適用-まとめのとおり、2021年3月末からのGoogleが言うモバイル ファースト インデックス(MFI)化に向けてチェックすると、前記のJQuery(3.5.1)の利用宣言スクリプトの有り・無しで点数に差が出る事を知った..ということで、勉強のネタとする。

<<外す前>>
20210321093826
<<外した後>>
20210321093829

FC2ブログの古いテンプレートを使おうとすると、当該の頁に以下の警告が出る。
このテンプレートはHTML5で非推奨の「document.write, document.writeln」が含まれており、一部実行されない可能性があります。
警告の意味をググると色々と解説が有るが、JavaScriptにも関連することらしい。
それ以外にも俺の使い方では、テンプレート以外に、FacebookやTwitterのボタン・拍手ボタンが用いるJavaScript (JQuery)が関係するようだ。特に、2010年頃に作成されたプラグインが原因となっている模様也。(更に、YouTube表示がデカイ)
テンプレートでは警告が出るのであれば、プラグインでも同様に警告して欲しいものだ。いや、それ以前にFC2ブログ展示場を一度大掃除したほうがよろしかろう。

【21/03/25追記】
FC2ブログが標準で提供している「Twitter・Facebookのシェアボタン」を除去し、上記のカスタマイズ版に取り替えた(Firefox 87:覚)ところ、下図のように改善された。
20210325170543

ヘェ~「KB4589212」

ヘェ~「KB4589212」

「03/10、Win10 更新(03/10)」にてアップデート云々としてて、俺の古いCPUには配信されないのか(?)を考えていた「KB4589212」については、[2020/11/13] Intel CPUの脆弱性:学から見え隠れしており、①(20/11/12)当初はサポート ページに記載された第五世代のIntel CPUが対象との事であった。その後②(21.01.28)再度リリースとのことであり、21/03/10の3月定例累積更新に併せて「KB4589212」が自動Updateされたとの話題も見たが、俺の...

... 続きを見る

03/10、Win10 更新(03/10)」にてアップデート云々としてて、俺の古いCPUには配信されないのか(?)を考えていた「KB4589212」については、[2020/11/13] Intel CPUの脆弱性:学から見え隠れしており、①(20/11/12)当初はサポート ページに記載された第五世代のIntel CPUが対象との事であった。その後②(21.01.28)再度リリースとのことであり、21/03/10の3月定例累積更新に併せて「KB4589212」が自動Updateされたとの話題も見たが、俺の環境に定例更新と同時降臨はなかった。
その後、03/10夕刻に予期しないタイミングで再起動を求められ、KB4589212」がインストールされたサポート ページに記載されていない古いCPUに対して(?)とも思ったが、半分嬉しい。
20210310175904

😍
ところが本日03/11、同記事を掲載してきたソフトアンテナブログに関連記事が掲載され、③「必須アップデート」とトーンが変わった。なお、「更新を一時停止しても再開時に再び自動ダウンロードが開始する」・「更新プログラムの内容が更新されていて、一度インストールしていても再びダウンロードされる可能性がある」との事。要するに、昨日遅れながらでも自動Updateされたので安心也。
<参考>
  1. Intel CPUの最新の脆弱性「PLATYPUS」を修正するWindows 10のマイクロコードアップデートが公開 - ソフトアンテナブログ(20/11/12)
  2. Intel CPUの最新の脆弱性を修正するWindows 10 KB4589212が再リリース - ソフトアンテナブログ(21.01.28)
    JVNVU#97139173: Intel 製 CPU の投機的実行機能に対するサイドチャネル攻撃 (Vector Register Sampling、L1D Eviction Sampling)(21.01.28)

はてな、PW変更

はてな、PW変更

はてなでのアナウンスコメント一覧ページの人気コメント算出アルゴリズムが変わります - はてなブックマーク開発ブログはてなブックマークでは、近日中に、人気コメント算出のアルゴリズム改善を予定しています。 従来は、コメントに対しつけられたはてなスターの数をもとに人気コメントを算出しておりましたが、今後は、スター数に加えて複数の要素を基準として算出するよう改善します。 リリースの際には、あらためて本開発ブロ...

... 続きを見る

はてなでのアナウンス

それはそれで承知したが、記事内の以下が気がかりなので引用メモ
はてなスターをつけ、コメントページに誘導するスパムについて
現在、はてなブックマークにおいて、無作為にスターをつけ、自身のプロフィールページに誘導するスパムが発生している状況を確認しており、こちらについてもより抜本的な対策を検討中です。
不審なスターがついた場合はアクセスせず、はてなブックマークのユーザー通報機能等を活用のうえ、スパムの報告にご協力いただけますと幸いです。
また、このようなスパムを行うアカウントの中には、アカウントの乗っ取りが疑われるものも見受けられます。パスワードの他サービスとの使いまわしを避けるなど、パスワードの管理についてあらためてご注意ください。もし、自身のアカウントが乗っ取られている場合、下記手順で早急にパスワードを変更してください。
パスワードを変更したい – はてな Support
🤔既に、数ヶ月前から思い当たる事象が発生している。下図のように知らない人からスターが付き、クリックしても相手先無しという状態である。この邪推の是非は兎も角、パスワードを変更する。
20210310131823