2018-08-17

Firefox で「サーバが適正な中間証明書を送信しない可能性があります」という表示が出た時に見るページ

あるいは中間証明書の解説

f:id:kasei_san:20180817183111p:plain

原因

中間証明書 がサーバにupされていない

中間証明書ってなあに?

証明書3階層の中間にある証明書

ルート証明書 → **中間証明書** → サーバ証明書

サーバ証明書を証明するのが中間証明書で、中間証明書を証明するのがルート証明書
中間CA発行局が発行している

証明書の証明ってどうやっているの?

上位の証明書の公開鍵で電子署名を複合することで、正しい証明書かチェックしている

電子署名 is 何?

証明書の本文のhash値を、発行局の秘密鍵で暗号化したもの

電子署名を使った証明書の証明の流れ

発行局の証明書(中間証明書)をダウンロード
A.発行局の公開鍵で、電子署名を複合
1. 証明書の本文のhash値を取得
AとBが一致していることを確認

なお、中間証明書の証明のためには、最上位のルート証明書の公開鍵が必要

ついでに、ルート証明書について

予めブラウザに入っている世界で信頼できるとされている認証局の証明書

ルート証明書は自分の秘密鍵で電子署名を作成している(オレオレ証明書)

中間証明書の補完について

ほとんどのブラウザでは、サーバに中間証明書が無くても、勝手になんとかしてくれる

証明書のAuthority Information Access 拡張フィールドに、中間証明書のURLが書かれている
これを見て中間証明書を取ってきてくれるらしい

当然対応していないブラウザや、curl などではセキュリティ警告が出る

「俺の環境では動いた」系問題なので厄介

第六種オレオレ証明書

正規の証明書だが中間証明書はupされていない状態

高木浩光先生が命名

第六種オレオレ証明書

正規の認証局(中間認証局)から取得したサーバ証明書であるが、中間認証局の証明書をサーバに設置していないため、クライアントが認証パスを検証できないもの。

高木浩光＠自宅の日記 - オレオレ証明書の区分改訂版, Phishing被害者の実例, ISPのパスワードを破ってメールを奪回する子供向けゲーム

高木浩光先生は今後は増加してくのではないかと予測している

(ブラウザで補完してれるので、気づきづらいため)

高木浩光＠自宅の日記 - 第六種オレオレ証明書が今後増加するおそれ, 訂正（15日）

2018-08-08

Docker For Mac の docker build で `no space left on device` した時の対策

docker

原因

docker for mac は仮想マシン上で動いているが、その仮想ディスクの容量がいっぱいになると発生

対策

prefarence で仮想ディスクのサイズを変更する

画面上、変更できないように見えるけど、クリックしたら普通に変更できた

f:id:kasei_san:20180808104401p:plain

f:id:kasei_san:20180808104422p:plain

ただし、今回はディスクリセットで対応

f:id:kasei_san:20180808104436p:plain

余談

仮想ディスクをクリアしたら、フォーマットが Docker.qcow2 から Docker.raw に変わった

なお、仮想ディスクのありかは ~/Library/Containers/com.docker.docker/Data/com.docker.driver.amd64-linux/Docker.raw

最近 raw フォーマットになったらしい。こっちのほうがスループットが良いらしいですよ!

Docker for Macのディスクスループットを約2倍にする - Qiita

2018-08-05

円記号問題の歴史

文字コード

円記号問題の歴史をまとめました

ISO/IEC 646 の誕生

元々、文字コードの国際規格 ISO/IEC 646 では 0x5C は国ごとに自由に設定してよい領域 だった

アメリカ(ascii) では、 0x5C をバックスラッシュ
日本(JIS X 0201) では、0x5C を ¥

アメリカで `0x5C` を特殊な用途に使う例が発生

MS-DOSでは、0x5C をディレクトリ区切り記号
C言語などでも、 0x5C をエスケープシーケンス等の制御コードに

なんでわざわざ国ごとに異なる文字を特殊な用途つかうの...

そのため、日本では `0x5C` に2つの意味が...!

円記号
ディレクトリ区切り記号やエスケープシーケンス等の制御コード

日本で SHIFT_JIS が生まれる

JIS X 0201 ベースなので、0x5C は ¥ のまま

欧州で文字コード規格 ISO/IEC 8859-1(Latin-1) が作られる

¥ は 0xA5

世界の文字コードを統一すべく、unicode が生まれた

U+005C はバックスラッシュ
¥ は、U+00A5

windowsのunicode対応が始まる

SHIFT_JIS(windowsだとcp932) から、unicodeに変換するときどうしよう?
- ¥ に2つの意味があるため、単純な変換はできない

そうだ! 💡 0x5C も 0xA5 も ¥ を表示しよう💡

なおキーボードで ¥ を入力すると 0x5C が入力される

そして悲劇へ...

日本語版windowsで円記号を入力しても、他の環境ではバックスラッシュに見える

見た目上バックスラッシュか円記号かわからないので、コードを書く時に混乱したり予期せぬエラーが発生する

参考

srad.jp

naruse.hateblo.jp

2018-08-04

misspell で無視したい単語をgitで管理する方法

スペルチェッカー misspell。超便利なのでみんな使いましょう

github.com

前提

misspell では、-i オプションにカンマ区切りで、スペルチェックを無視する単語を追加できる

misspell -i "hoge,fuga" .

やりたいこと

misspell のチェックを無視する単語を git で管理したい

スペルチェッカー的には間違いだけれど、いろんな経緯で使わざるを得ない単語とか

解決方法

無視する単語を .misspell_ignore.txtに保管
そのファイルで -i オプションを作るスクリプトを組んだ

ファイル

.misspell_ignore.txt

hoge
fuga

1行1単語(差分をわかりやすくするため)

./script/misspell.sh

#!/bin/sh
misspell -i `cat .misspell_ignore.txt | tr '\n' ','` -error .

.misspell_ignore.txt の中身をカンマ区切りに変換して -i オプションに渡している

これで、無視したい単語をgitで管理できる!! 🎉

CircleCIで使いたい場合

checkout してから、上記のスクリプトを実行する

  misspell:
    docker:
      - image: nickg/misspell
    steps:
      - checkout
      - run: ./script/misspell.sh

workflows:
  version: 2
  ci:
    jobs:
      - misspell

参考

kakakakakku.hatenablog.com

2018-06-22

Dockerのディスクioがボトルネックになる原因とその対策

docker

dockerのディスクのマウント先がループバックデバイスだと遅い

ループバックデバイスは特定のファイルをデバイスとみなす仕組み
ゲストOSでの書き込み→ループバックデバイスへの書き込み→物理ディスクへの書き込みとなるので、直接物理ディスクに書くより遅くなる
参考: Dockerの仮想Disk領域を別の物理ディスクに置き換える

ストレージドライバがaufsだと遅い

ただし現在はデフォルトでaufsが選択されることはほぼない → Docker = AUFSという図式はもう忘れたほうがいいかもしれない、あるいはDockerとストレージドライバの話 - Qiita

2018-06-01

Dockerのmemory, memory-reservation について

docker

memory : ハードリミット。ここで指定した以上のメモリを使用しようとするとOOMKillerが走る
memory-reservation : ソフトリミット。ホストのメモリに余裕がある時は、これ以上使用することもある
- 余裕が無いときは、memory_reservation 内にとどめる
- ECSでは設定上のこの値を見て、ホストにコンテナを追加できるか判断する