CodeNote

先日 MongoDB の Query を書ける営業社員から「Mongo Query の出力結果を Google スプレッドシートに貼り付けると左に列がずれるのでコードレビューしてほしい」と相談されました。

続きを読む

「渋谷ECミートアップ」というタイトルに釣られて参加してきました。

• 渋谷ECミートアップvol.2〜若手エンジニアで新しいECをつくりだそう〜 – connpass

ペパボが主催で「渋谷ECミートアップ」という名前を付けるのはどないやねんという話は置いておいて、参加レポートをご紹介します。

続きを読む

Ansible を使い始めて最初にハマったことは、パスワードなしで SSH 接続できるサーバには ansible-playbook コマンドの -k, –ask-pass オプションを付けるとエラーになるということでした。

続きを読む

タイトルで完結してますが、実際に今日ネットワークのトラブルシューティングしたお話です。

続きを読む

Windows10 にて L2TP/IPSec VPN クライアントの接続設定について調査しました。

基本的な VPN 設定方法は下記の記事を参考にしました。

• Windows10のL2TP接続　■セカイVPN■

通常は上記の記事だけで無事に設定完了できるはずですが、Mac OS で VPN Server を構築してる場合はもうひと工夫という名の設定が必要になります。詳しくは下記の記事をご参考ください。

• OS X Server：Windows から VPN サービスに接続する方法 – Apple サポート

具体的にどういう手順でトラブルシューティングをしたかは、別に記事を書きます。

WordPress プラグイン All in One SEO Pack の「ソーシャルメディア」機能を利用して、Facebook og:image をいい感じに表示する設定をしました。

続きを読む

社内の業務改善の仕事をしている関連で、コンサル出身のファッション EC スタートアップ CEO の方にお話を伺ったついでに、おすすめのビジネス本を紹介していただきました。

続きを読む

Slack では一部機能を制限して使える Multi-Channel Guest や Single-Channel Guest といったアカウントも作成することができます。

社内で「取引先企業とのちょっとしたやり取りを Slack 内でしたい」という要望を解決するために、これらの Slack アカウントの料金体系について調べてみました。

続きを読む

VNP で受け取ったデータは PPP (Point to Point Protocol) へ流されていて、そこで使われる認証方法「MSCHAPv2 認証」について調べた内容をまとめてみました。

MS-CHAP (エムエス・チャプ)

マイクロソフトのRAS(Remote Access Service)で利用されるPPPでのCHAPのこと。Windows NT LAN ManagerではMS-CHAP v1、Windows 2000ではMS-CHAP v2が利用されている。

MS-CHAP v2

MS-CHAP v2の仕様は RFC 2759 で情報提供プロトコル扱いで公開されている。

プロトコルレベルではCHAPと同等だが、MD5でアルゴリズム番号5とする部分を、0x81として用いる。MD4とDESを用いてチャレンジとレスポンスを生成する。

MS-CHAP v2はv1の欠点の改善と機能強化が行なわれており、双方向認証への対応、常にパスワードとチャレンジに基づく暗号鍵を作成する、送受信で別の暗号鍵を用いる、などの特徴がある。但し、相変わらずMD4である点には変更が無い。

このため、MS-CHAP v2には情報漏洩に繋がる可能性のある脆弱性が相次いで報告されており、危険である。

• [引用元] MS-CHAP ‐ 通信用語の基礎知識

MS-CHAP v2 の脆弱性に関する注意喚起

問題は、MS-CHAP v2を単体で利用して、PPTPベースのVPN接続を行っている場合に生じる。悪意ある第三者が中間者攻撃や無線通信を盗聴することで認証トラフィックを取得し、認証に関する情報（パスワード）を窃取される可能性がある。こうして盗まれた認証情報が悪用されれば、なりすましや不正アクセスにつながる恐れもある。すでに、この攻撃を行うためのツールも公開済みだ。

日本マイクロソフトはこの状況を受け、2012年8月21日にセキュリティアドバイザリを公開した。上記に該当する環境では、拡張プロトコルの「PEAP」を併用したり、L2TP、SSTP、IKEv2といったほかのプロトコルを利用することを推奨している。

• [引用元] 認証プロトコル「MS-CHAP v2」の脆弱性に相次ぎ注意喚起 － ＠IT

セキュリティの観点では VPN は PPTP よりも L2TP over IPSec で構築した方がよいということが分かりました。

参考情報

• MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起

「４月から入社したエンジニアの新入社員さん向けにどういう研修をしていこう？」ということが、ずっと議題としてあがっている昨今です。

そんな前提の下、４月号の WEB+DB PRESS が時期的に「Web開発新人研修」という特集記事を扱っていました。

この特集を目にして「過去の WEB+DB PRESS を全て目を通して、今でも使える特集をピックアップして研修に使えばいいじゃん」という話になって、WEB+DB PRESS総集編 [Vol.1~84] を取り寄せました。

目次だけざっと目を通してみると prototype.js や ActionScript など今からわざわざ手を出す必要がない内容もあれば、計算量の話など一生使える枯れた知識も載っているので、良い特集だけピックアップして使っていきます。