今日の午前中はgithub.comが落ちていて大騒ぎだった。これはrubygems.orgが落ちた時以来だな(その頃ちょうど私はRubyを使った仕事をしてた)。

あまりに便利なものがあれば、好むと好まざると依存が生まれてSPoF化する。

どっかで「就活生の皆さん、いま騒いでる人の勤務先がgithub使える良い会社、それ以外は社内からgithubにアクセスできないクソ会社だよ」みたいな文章を見たのが印象的だった。なるほど。

ソフトウェアを開発する会社で、githubにアクセスせずに済む会社なんてこの先生きていけるわけがない。

まあそれでもソフト屋さん以外にはどうでもいい話なんだろうな。

似てる話としては、gmailからのメールを受け取れない設定になっているキャリアメールの人が、今だにけっこういる。そんな環境をメールと呼ぶことなんて、ありえる？ まあメール自体が死んで欲しい(←これも何年言ってるんだっていうね)というのは別として、ネットの人以外にとってはgmailと断絶しているメールを自分が使っていたとしても、そんなことはどうでもいいんだろうな。まあメールは監視のエラー通知と「今日出社遅れます」くらいにしか使ってないような…

SSL関連でもうちょっと。

FS=Forward Secrecyらしい。securityじゃなくてsecrecyね。

このFSはNSAが将来の技術革新で解読できる可能性を考えて暗号化されたストリームを大事に保管しているということをスノーデンが暴露した(?)ため、それに対抗するために暗号化済みのストリームを保存しておいていつか鍵がバレた、という場合でも平文がバレないような仕組みを数学者が考えだしたらしい。なるほど。へーへーへー。

そしてもう最近は楕円曲線暗号つかうのが常識になってるのね。私が以前に聞いた時は楕円曲線暗号の関連で研究だの開発だので競争になっていたなぁ。当時はまだ実用的な状態になってなかったという話。

世間はずいぶん進んでるんだな。

暗号にワイドショー的な興味を惹かれた私は、とりあえずダン・ブラウンの「パズル・パレス」を読んでます。そしてそこに出てくる日本人の苗字がタンカド…暗号ってのは奥深いよね。

暗号に興味がある人は、初期に有効な暗号化アルゴリズムを考案し活用することで天下人になったカエサルの書いた「ガリア戦記」を読むといいと思います。紀元前でシーザー暗号だもんなぁ。何千年経ってんだって話。

世間も大して進んでねえな。

私はEV証明書だとChromeのアドレスバーが緑色になると聞いていました。あの誇らしい緑色はEV SSLの証だと。でも実際にEV証明書を調達するにはまず会社か団体の組織を作らないといけない。登記とかして団体の存在を証明できないと取れないのよね。個人ではOVもダメで、DV証明書しか取れません。

DVってのはドメインを持ってれば良くて、これは別に本当のドメインでなくても、単純にホストを1台持ってれば良いのですね。Document Rootに特定の内容のファイルを置くとか、DNSのTXTレコードに特定の内容を書けるとか、admin@のメールアドレスでやりとりできるとか、そういう確認ができれば取れるようになっていて取得のハードルは実際低い。

で、DV証明書ってのは最近妙に安くなってきていて、これが年額1200円とかそのくらい。これは月に1回ペットボトルのジュースを買うよりも安い値段。試しに買ってみるのに充分な安さ。まったく激安なんですね。

で、試しに買って全部httpsにしてみたのはいいんだけど、DV証明書なのにアドレスバーが緑色になるんだけどうちのChrome(Mac)。バグってるのか？ このブログとか、外部リソースを読み込んでるページは(このブログをPCから見た場合は右側のWorldCommunityGridのiframeのシールとかgoogle chartのQRコードの画像ね)普通に白くなる。さらに外部リソースを非SSLで読み込むようにしているとバツ印がつく。まあそりゃそうだな。

しかし緑色のアドレスバーをあんまり信用しないほうがいいというのは驚いたな。アドレスバーだと、組織名が出るかどうかで判断すべきだったのか。緑色は全部EV SSLだと思ってた。でもEV SSLでも組織名が出ないとこも多い(?)から、やっぱり判別できないようになっていたんだ。

しかし証券会社のログイン画面も1200円/年のwtnb.mydns.jpもアドレスバーの色合いが同じだなんて。だいたいメガバンクと言われるSMBCやUFJ、みずほのログイン画面は揃ってTLS1.0のSHA-1なので緑色ですらないというね。まあガラケーユーザを捨てられないんだろうけど…

(追記) 2016/01/22

どうもやっぱり私が誤解していて、緑色の組織名が出るやつがEV SSL。ただ現状はちょっと問題があって、Chromeの基準が急激に厳しくなったせいで、EV SSLでも組織名の緑色が出なくなっているサイトが多い(OVやDVと区別がつかない！)ということみたい。鍵とhttpsの文字が緑色というのは単に暗号化が割と安全というだけの話でEV SSLであるという意味ではない。

つまり、こんにちのEV SSLは大部分がブラウザで見てDVと区別がつかないという状況らしい。何らかの区別がつくようにしないと、EV SSLが機能できないんでは？ という気がする。

教訓としては、長期間使える証明書を買ってしまうと新しいブラウザに対応できなくなる。だから証明書買うなら短期間で期限が切れるやつを安く買うのがいいんだろうな。そして短期間でちょくちょく乗り換えていくのね。

…ずいぶんめんどくせー話なんだな。

OpenSSHクライアントの脆弱性という話で、sshにこっそりroamingという機能が仕込まれていることを知った。その隠し機能に問題があり、さらにデフォルトで有効になっているという話。うーんこれは変なサーバにつなげなければいいだけの話なのかな。それとももっと深刻か。

このroamingが何の機能かというと、moshのように接続が切れてもセッションを続けて、次に接続した時にそのセッションを使える(切れちゃった後に復活できる)という機能のようだ。ただしOpenSSHの場合はサーバに対応する機能が入っていないという欠陥があって、まあ実際にこの機能がうまく動くケースはほとんどないみたい。そもそもRoamingに対応するサーバってあるんだろうか。有料のオプションだったりするのかな。

しかしまあ、、、割と魅力的な機能のように思う。隠す必要ないだろこれ。サーバの実装ができていないからドキュメント化しなかっただけだろう。

で、この種の機能を試すにはmoshを使ってみるのが一番簡単か、と思った。

moshでMacのクライアントからCentOS7のサーバにつなげることを考えると、

• Mac: brew install mosh
• CentOS7: yum install mosh

で、クライアント(Mac)から

• mosh サーバ名

でCentOS7にログインできる。moshは通信のバックエンドにsshを使ってくれるみたいで、サーバ側で新たにサーバを立てる必要はない。moshのクライアントがssh接続後にmosh-serverを起動して、そのmosh-serverとのお話をする。CentOS7のパッケージにはsystemdの.serviceファイルも含まれていないから、独自のサーバがあるわけではないんだと思います。プロトコル上はUDPのやつがあるみたいですけどね。

使用感はsshとさほど変わりません。最大の特長のRoaming機能を見ていくと、moshで接続したままネットを切る。wifiをオフにするとか、そういう操作。やってみると、コンソールの上部に青色で接続が切れてます的なメッセージが出ます。秒読みがあったりして。そして、つなぎ直すと再び操作できる。

これ短時間なら(?)、sshでもTCPのセッションが切れない内は復活が可能なんですよね。moshを使っても、wifi接続を切ってからCtrl-^+.でmoshの接続を切ってしまうと、サーバ側でmosh-serverのプロセスが残りますがre-attachする操作が実装されていないため、screenのようにre-attachできると期待していると痛い目にあうことになる。

このre-attachがないというのも嫌な感じの状態になっていて、detach状態のサーバがあってPIDがいくつ、みたいな表示が出るんですよ。でもそこにattachできないから、表示されているPIDのmosh-serverを自分でkillして回らないとゴミプロセスが残った状態になってしまうという…

まあこれならscreen使ったほうが便利ですね。re-attachがあればsshを捨ててmoshに移行すべきと主張するところでしたが…このへんがmoshが話題に上がってもいまいち普及していく印象を残せていない原因なのかもしれません。