TSUTAYAの店頭在庫検索で、表示してる店舗の在庫を一括取得して結果を表示するブックマークレットを修正した
KeePass 2.39でDACLによるメモリアクセス保護ができるようになった
以前KeePass2のセキュリティについて検討していたときに作者に要望した機能が実装されました。
その機能はDACLを使って他プロセスからメモリが読みとられるのを防ぐものですが、デフォルトではオフになっているので、設定しないと使えません。
公式サイトによれば、いろんな問題が懸念されるため、ほとんどのユーザーには推奨しないようです。また、ポータブル版ではなくインストール版でないと意味はありません。
設定は以下のXMLをKeePassが入ってるフォルダにKeePass.config.enforced.xmlというファイル名で入れると出来ます。
<?xml version="1.0" encoding="utf-8"?> <Configuration xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"> <Security> <ProtectProcessWithDacl>true</ProtectProcessWithDacl> </Security> </Configuration>
実行しているKeePassから情報を抜き取るツールにKeeFarceというのがありますが、上記の設定をすると抜き取られなくなります。
設定前
[.] Injecting BootstrapDLL into 2648 CallExport: returning. [.] Done! Check %APPDATA%/keepass_export.csv
設定後
[.] Injecting BootstrapDLL into 3940 Process found, but OpenProcess() failed: 5 [.] Done! Check %APPDATA%/keepass_export.csv
Microsoft Officeとハードリンクの組み合わせはうまくいかない
当方の環境
始末
- 起きた問題
- ハードリンクしているファイルをExcelで編集したところハードリンクが切れて編集してない側が古いままとなった
- 原因
- Microsoft Officeの仕様
- 対策
- ショートカットやシンボリックリンクを使う
- 参考文献
- WindowsのMS Officeとハードリンク: 航海日誌 Starlog
KeePass2のセキュリティに関する話
KeePass2のセキュアデスクトップはセキュアじゃない説
KeePass2はマスターパスワード入力時にキーロガーの捕捉を阻止するセキュアデスクトップを利用できます。
てっきりUACの機能を使っているのかと思ったら自前でそれっぽく実現しているという話を見つけました。
そうだとすると管理者権限なしにキーロガーを仕込める余地があることになります。
実際、2014年にセキュアデスクトップを回避する方法が明らかにされて、その対策をすべきだというリクエストのスレッドが立っていました。
スレッド主は1Passwordのようにプロセス監視を付けてほしいようですが、開発者はデスクトップの名前がランダムでDESKTOP_ENUMERATEを指定していないという回答にとどまっていました。
それで十分かどうかは私にはわかりません。
実行中のKeePass2からデータを抜き取る方法とその対策
実行中のKeePass2からデータを抜き取れるソフトにKeeFarceとKeeThiefがあります。
KeeFarceを使ってみましたが確かに抜き取れました。その対策について言及しているページがありました。
別のユーザーとして実行するか、管理者として実行することで通常のユーザー権限からアクセスを防げるとあります。
管理者として実行した場合は通常のユーザー権限のキーロガーから守ることも出来ます。
一方で管理者権限で実行するのは危険という話もあります。
また、別のユーザーとして実行するのはログオンが面倒である上にKeePass2を実行しているユーザーからは抜き取れることになるのでいい対策とは言えないかもしれません。
ところでKeePassXCにはDACLを使ってメモリダンプを作らせない実装があります。
これによって通常のユーザー権限からのメモリの読み取りも防げますが、同様に制限されたDACLでKeePass2を実行させると抜き取りを防げます。
上記エントリ内の設定を有効にしてKeeFarceを実行するとOpenProcessで失敗します。
私の見解
セキュアデスクトップが仮にセキュアじゃなかったとしても二段階認証を使えばすぐには復号できないのではないかと考えましたが、OtpKeyProvが思っているより解読に弱いということもあり得ます。私にはそれを検証する能力がありませんので、とりあえずないよりましだろうということでセキュアデスクトップと二段階認証を使うことにします。
データが抜き取られる対策はDACLのやつでいいだろうと思いますが、それでも抜き取る方法があるかもしれません。
あと、管理者権限が取られた場合はどのみちどうしようもないと思います。
Firefoxで任意のサイトの検索BOXを検索バーに登録する
Add to Search Barというアドオンを入れると検索BOXを右クリックして検索バーに登録できるようになります。
アニメイトオンラインショップの例
検索BOXを右クリックして「サーチバーを追加」で追加されます。ジャンルを音楽にしておくと音楽の検索バーとして登録されます。
AtomでURLの部分をダブルクリックするとブラウザが開くようにする
このPackageを入れるとCtrl+クリックで開けるようになります。
ダブルクリックで開くようにするにはコードを下記のように変更します。
11行目
atom.workspace.activePaneContainer.paneContainer.element.addEventListener("click", function(e) {
を
atom.workspace.activePaneContainer.paneContainer.element.addEventListener("dblclick", function(e) {
63行目
if (e.ctrlKey || e.metaKey) {
を
if (true) {