月別: 2009年12月

⊂⌒⊃｡Д｡)⊃カジ速≡≡≡⊂⌒つﾟДﾟ)つFull Auto | セブンアンドワイ、今度はソースコードを流出させる。

セブンアンドワイさんのWEB通販サイトがちょっと(や、ちょっとじゃなく)ひどいんじゃないかと言うことで話題になってしまっています。

最初のうち、「大変だねぇ」って見ていたのですが、人のこと笑っている場合じゃないということに思い当たりました。

7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出？ – スラッシュドット・ジャパン

WEBサイトのファイルを何にも考えずにsvnで管理していたら、デフォルトでソースコードは丸見えになっているのです。

ちゃんと対策している人からしたら、「そんなことも知らないのか」だと思うのですが、Apacheのデフォルト設定で見えるのだから、見えてしまっている人、結構多いんじゃないでしょうか。自分も一通り見直してみたら、丸見えになっているサイトが見つかりました・・・(>_<)

あわてて対策したので、対策まとめです。

１．ドットで始まるディレクトリを見せない

　とにかくまずは見えないようにしましょう。Apacheに設定を追加します。

<Files ~ "^\.ht">
Order allow,deny
Deny from all
</Files>
<Directory ~ "\.svn">
Deny from all
</Directory>
<Directory ~ "\.git">
Deny from all
</Directory>

これだと、.svnと.gitディレクトリを見せない設定になります。
ただこれだと、将来たとえば.mogyaとかいうディレクトリを作るバージョン管理ツールが出てきたらまた同じ問題に悩まされることになるので、いっそのことドットで始まるディレクトリパスは一切見せないことにしました。

<LocationMatch "/\..*">
Deny from all
</LocationMatch>

２．そもそも.svnディレクトリをあげない

mogya 自分が管理している中に、 .svnが見える設定になっているサーバがあった。Apacheのデフォルトだと見えちゃうのだから、設定した覚えがない人はみんな見えちゃうはず。これって結構深刻な問題なのでは。
masuidrive @mogya つうか、.svnをサーバにアップしてることが間違えなんじゃ？.htaccessとかで見れなくしても、危険だよ。スクリプトのバグで見えたりするかもしれないし。

大変もっともな指摘をいただきました。対策はこちら。

mogya 最新版をsvn update で持ってくるとどうしても入っちゃうと思うのですけど、どうやって管理されてますか？
masuidrive @mogya svn exportで取ってきますよー。うちは概ねcapistranoとかツールでやっているので。

なお、すでにsvn updateで運用しているシステムから.svnを消したい場合は、

$ svn export ./ ./ –force

ってしてあげるといい感じです。

自分もとりあえずあわてて対策打った感じなので、それじゃ甘いとか、もっと楽な方法があるとか、教えていただけるとうれしいです。

関西アンカンファレンスに行ってきました。
「HTML5で作るiPhoneアプリケーション」というテーマで、モバイラーズオアシスiPhone版を作る課程でわかったノウハウのお話をさせていただきました。

　愛機let’snoteR7のHDDをSSDに置き換えて、Windows7を入れました。
Aeroは使っていないけれど、ウインドウスナップという機能で、画面の左右にウィンドウを配置できるのがとっても便利です。

複数ディスプレイの扱いなど、WindowsXPで不満だった部分は改善されているし、Aeroをはじめ、余計な機能はちゃんとOFFにできるので、とても満足なWindows7なのですけど、一つだけ問題がありました。

Windows7には、新しいショートカットキーとして、Windowsキー＋数字というのが用意されています。
たとえばWindows＋２を押すと、タスクバーにある左から二つ目のウィンドウがアクティブになります。

Windows7から、タスクバーにアプリケーションのショートカットを配置できるようになったから、起動していなかったら自動で起動してくれたりなんかもします。
こうなっていると、Windows＋３でiTunesが立ち上がるわけですね！

・・いらない。絶対いらないそんなキー。そんな重いアプリをショートカットで立ち上げたい人がいるもんか。

自分の場合、virtualWinというデスクトップ拡張ソフトを入れていて。いままでずっと、Windows＋１～４は画面の切り替えに使っていたのです。
画面を切り替えようと思ってWindows＋３を押すたびにitunesが立ち上がるのは耐え難いものがあります。itunesは移動させてもいいのですけど、画面切り替えにWindows＋数字を押すのはもはや手が覚えてしまっているので、OSといえど譲りたくないのです。僕のWindows＋数字キーを返して！

いろいろググったのですけど、コントロールパネルの操作程度でこのキーの機能を変更することはできないみたいだったので、AutoHotkeyというアプリを導入することにしました。Windows＋数字キーをOSに奪われたみんなのために、やり方を書いておきます。

AutoHotkeyというのは、Windows標準のショートカットキーを含めて、ほとんどあらゆるキーの組み合わせをカスタマイズすることができてしまう、劇薬みたいなソフトウェアです。
これを使うと、Windows＋数字キーを押したとき、Windows標準の動作を無視して、代わりにほかのキーを押したことにすることができます。
さすがに、virtualWinの画面切り替えをそのまま登録するのは難しそうですけど、virtualWinにWindows＋数字以外のホットキーを割り当てておいて、AutoHotKeyでWindows＋数字キーを押したとき、そのキーを押したことにすれば、Windows＋数字キーで元通りの操作ができるようになるはず、というのが作戦です。

実際やったのはこんな感じ。

virtualWin：Windows＋Alt＋F1～F4を押したときに画面を切り替える

AutoHotKey：Windows＋１～４を押したら、Windows＋Alt＋F1～F4を押したことにする

Windows＋Alt＋F1なんて普通の指では押せないようなキーの組み合わせを挟むのがポイントです。これで、Windows＋１～４でvirtualWinの画面切り替え機能が使えるようになりました。わーい。

virtualWinとWindows7なんて組み合わせの人はそうそういないと思いますが、似たような感じでほかのアプリのために使っていたキーが使えなくなった人はいそうなので、参考になればうれしいです。