2019-01-06

はてなダイアリーからはてなブログに移行しました

更新

2019年春にはてなダイアリーが終了するようで、はてなブログに移行しました。

2018-11-29

TSUTAYAの店頭在庫検索で、表示してる店舗の在庫を一括取得して結果を表示するブックマークレットを修正した

更新ブックマークレット

ツタヤのサイトがSSL化したので非SSLのHatena::Letのブックマークレットは使用不能になりました。
したがってブックマークレットを再登録する必要があります。下記リンクから登録できます。

TSUTAYAの各店舗の在庫を一括で調べる方法

2018-05-11

KeePass 2.39でDACLによるメモリアクセス保護ができるようになった

セキュリティ

以前KeePass2のセキュリティについて検討していたときに作者に要望した機能が実装されました。
その機能はDACLを使って他プロセスからメモリが読みとられるのを防ぐものですが、デフォルトではオフになっているので、設定しないと使えません。
公式サイトによれば、いろんな問題が懸念されるため、ほとんどのユーザーには推奨しないようです。また、ポータブル版ではなくインストール版でないと意味はありません。
設定は以下のXMLをKeePassが入ってるフォルダにKeePass.config.enforced.xmlというファイル名で入れると出来ます。

<?xml version="1.0" encoding="utf-8"?>
<Configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema">
	<Security>
		<ProtectProcessWithDacl>true</ProtectProcessWithDacl>
	</Security>
</Configuration>

実行しているKeePassから情報を抜き取るツールにKeeFarceというのがありますが、上記の設定をすると抜き取られなくなります。

設定前

[.] Injecting BootstrapDLL into 2648
CallExport: returning.
[.] Done! Check %APPDATA%/keepass_export.csv

設定後

[.] Injecting BootstrapDLL into 3940
Process found, but OpenProcess() failed: 5
[.] Done! Check %APPDATA%/keepass_export.csv

2018-01-27

Microsoft Officeとハードリンクの組み合わせはうまくいかない

Windows 問題解決

当方の環境

Windows 7
Microsoft Office 2010

始末

起きた問題: ハードリンクしているファイルをExcelで編集したところハードリンクが切れて編集してない側が古いままとなった
原因: Microsoft Officeの仕様
対策: ショートカットやシンボリックリンクを使う
参考文献: WindowsのMS Officeとハードリンク: 航海日誌 Starlog

2018-01-03

KeePass2のセキュリティに関する話

Windows セキュリティ

KeePass2のセキュアデスクトップはセキュアじゃない説

KeePass2はマスターパスワード入力時にキーロガーの捕捉を阻止するセキュアデスクトップを利用できます。
てっきりUACの機能を使っているのかと思ったら自前でそれっぽく実現しているという話を見つけました。

operating systems - How does the Windows "Secure Desktop" mode work? - Information Security Stack Exchange

そうだとすると管理者権限なしにキーロガーを仕込める余地があることになります。
実際、2014年にセキュアデスクトップを回避する方法が明らかにされて、その対策をすべきだというリクエストのスレッドが立っていました。

KeePass / Feature Requests / #2143 Add countermeasures for secure desktop keyloggers

スレッド主は1Passwordのようにプロセス監視を付けてほしいようですが、開発者はデスクトップの名前がランダムでDESKTOP_ENUMERATEを指定していないという回答にとどまっていました。
それで十分かどうかは私にはわかりません。

実行中のKeePass2からデータを抜き取る方法とその対策

実行中のKeePass2からデータを抜き取れるソフトにKeeFarceとKeeThiefがあります。
KeeFarceを使ってみましたが確かに抜き取れました。その対策について言及しているページがありました。

KeeFarce - KeePass schützen? - solariz ★ BLOG

別のユーザーとして実行するか、管理者として実行することで通常のユーザー権限からアクセスを防げるとあります。
管理者として実行した場合は通常のユーザー権限のキーロガーから守ることも出来ます。
一方で管理者権限で実行するのは危険という話もあります。

windows - Should I run KeePass as administrator? - Information Security Stack Exchange

また、別のユーザーとして実行するのはログオンが面倒である上にKeePass2を実行しているユーザーからは抜き取れることになるのでいい対策とは言えないかもしれません。
ところでKeePassXCにはDACLを使ってメモリダンプを作らせない実装があります。

Prevent memory dumps on windows. by rockihack · Pull Request #344 · keepassxreboot/keepassxc · GitHub

これによって通常のユーザー権限からのメモリの読み取りも防げますが、同様に制限されたDACLでKeePass2を実行させると抜き取りを防げます。

KeePass 2.39でDACLによるメモリアクセス保護ができるようになった

上記エントリ内の設定を有効にしてKeeFarceを実行するとOpenProcessで失敗します。

私の見解

セキュアデスクトップが仮にセキュアじゃなかったとしても二段階認証を使えばすぐには復号できないのではないかと考えましたが、OtpKeyProvが思っているより解読に弱いということもあり得ます。私にはそれを検証する能力がありませんので、とりあえずないよりましだろうということでセキュアデスクトップと二段階認証を使うことにします。
データが抜き取られる対策はDACLのやつでいいだろうと思いますが、それでも抜き取る方法があるかもしれません。
あと、管理者権限が取られた場合はどのみちどうしようもないと思います。

2017-11-04

Firefoxで任意のサイトの検索BOXを検索バーに登録する

問題解決

Add to Search Barというアドオンを入れると検索BOXを右クリックして検索バーに登録できるようになります。

アニメイトオンラインショップの例

検索BOXを右クリックして「サーチバーを追加」で追加されます。ジャンルを音楽にしておくと音楽の検索バーとして登録されます。

2017-09-05

AtomでURLの部分をダブルクリックするとブラウザが開くようにする

Atom

click-link

このPackageを入れるとCtrl＋クリックで開けるようになります。
ダブルクリックで開くようにするにはコードを下記のように変更します。
11行目

atom.workspace.activePaneContainer.paneContainer.element.addEventListener("click", function(e) {

を

atom.workspace.activePaneContainer.paneContainer.element.addEventListener("dblclick", function(e) {

63行目

if (e.ctrlKey || e.metaKey) {

を

if (true) {