12/31

 進捗報告

修論の作成を進めた ( 2 sessions + 10 mins ) 

 序論の文章を書き進めたり,関連システムについて資料を揃えたりしていた.また,latexのファイルの方をしばらく放置してていたので,その内容を更新したりしていた.次のセッションでは,序論の文章を完成させて,攻撃の詳細について記述していきたい.

 latexファイルの方を修正して,参考文献をきちんと書けるようにした.それで,序章の方も書き進めて,その過程で研究目的のところに①とか②とかを使ったのだが,これが不正な文字としてエラーになる.これはどうしたことか,回避策も含めて次のセッションで考えていく.

年越しの準備をした ( 2 sessions ) 

 祖父母宅に行って,紅白を一緒見ながら食事をしたりした.毎年の恒例行事をこなして,今回も無事に年越しができそうである.あとはゆく年くる年を見て,年越しうどんを食べたら完璧である.そばについては食品アレルギーがあるため,うどんで代用.

 年の終わりにゆく年くる年を見て,年越しうどんを食べることができたので,完璧.

徳丸本を読み進めた ( 1 session + ) 

 CSRFのところを読み進めて,CSRFの脆弱性の悪用によって何が起こるのかとを確認したのち,なぜCSRFが起こるのかについて理解した.次は対策の部分を読み進めていく.そこまでできたらレジュメの作成に移れると思うが,phpの関数を色々使っているのでそれについても調べたほうが良いかもしれない.

生活面

12時起床.悪夢を見て起きたのだが,大体6時間睡眠で,十分な覚醒度を得た.

昼は,米,味噌汁,鮭でバランスよく食べれた.夜はオードブルで好きなものをつまんだりして,なんだかんだで結構タンパク質を取ることができた.


書いた人 -> at 0 件のコメント:
Labels:

12/30

 進捗報告

修論の作成を進めた ( 3 sessions  ) 

 使うための結果の半分くらいが取れている状況なので,文章を書き始めた.普通にまずは序章から書こうということで,序章の章立てをさらに細かく区切ってトピックぐらいにまで分解して文章を書き始めている.序章の文章については12月のセミナーの予稿を書く段階で,そこそこに練ったので,同じような構成で書いていけば良い.

 さらに文章を書き進めて,序章の研究背景を半分くらい書いた.参照するべき資料を参照して,内容を簡単にまとめて書いたりしている.これらを参照して,最終的に研究目的につながる形になっていけば良い.

徳丸本を読み進めた (1 session ) 

 年始の輪講のために徳丸本を読み進めていた.今回のところはCSRFに関する内容で,XSSとの区別をつけて理解しないといけない部分である.

本読みをした ( 1 session  + 50 mins ) 

 現実逃避で星を継ぐものを読み進めたりしていた.だんだんと序章の内容を理解するための鍵が出てきて,面白くなってきている.

生活面

12時起床.おおよそ7時間睡眠.十分な覚醒度を得た.

朝は米,味噌汁,シャケ,漬物でバランスよく食べれた.

夜は味噌豚,野菜,米,ワカメスープでバランスよく食べれた.

書いた人 -> at 0 件のコメント:
Labels:

12/27

 進捗状況

部屋の片付けをした ( 30mins ) 

 床の埃などが気になったので,箒で掃除をした.洗濯物も回収することができた.これで性つ環境がすっきりとした.

本読みをした ( 1 session ) 

 ランダムウォーカーを読み進めていた.ファンダメンタル分析とテクニカル分析についての概論の章を読み終えて,テクニカル分析についても議論の章に進んだ.

研究システムのクロスコンパイルを進めた ( 5 sessions + 60mins ) 

 研究システムをクロスコンパイルするための方法を調べたりしていた.OpenWrt側が配っているSDKを持ってきて,開発マシンに移動して,回答して中身を調べるなどしたところ,きちんと専用のコンパイラなどが含まれていることが確認できた.これらを使って,システムのコードをコンパイルしていく.あとは,ライブラリのコンパイルをどうするか考えないといけないのか.

 パスを通して,sdkのコンパイラなどを使うことができるようになった.libmicrohttpdなどをビルドするときに,configureでそれらを指定してやったらいいらしいのだが,方法がよくわからない.次のセッションで引き続き調査を進めて,できればビルドするところまで完了したい.libcurlやlibcjsonについても同様なのか?調べる.

 実際にconfigureやmakeを走らせて,libumicrohttpdをビルドしようと試みているのだが,うまくいかない.どうにもライブラリの参照などがうまくいっていないように見える.色々パスを通したりしながら,反応を見ているが,もう少しというところ.次のセッションで肩をつけたい.

 configureを工夫していたら,libmicrohttpdのビルドが成功した.この流れでcjsonについてもビルドを成功させて,libpcre2についてもビルドを成功させた.libpcre2は最適化オプションの関係で一回ビルドに失敗したけれども,オプションを変えることで対応できた.


修論の作成を進めた ( 


生活面

朝11時起床.おおよそ7時間睡眠.十分な覚醒度を得た.昼はチャーハンを食べた.非常にボリュームがあったが,割合あっさりと食べれた.夜はホットサンドイッチを作って食べた.これもわかりやすい味つけで食べやすかった.


書いた人 -> at 0 件のコメント:
Labels:

12/26

 進捗報告

徳丸本の輪講を進めた ( 70mins ) 

 徳丸本の輪講を進めた.今日の内容はSQLiであり,SQLiでどのような攻撃を引き起こすのかということについて,また,それらの対策としてどのようなことを実施すればよいかということを学んだ.sqliの根本対策としてはプレースホルダーを使うこと有効であった.特に静的なプレースホルダーを使うことで,mysqlなどのデータベース側の実装を信頼すればよくなり,アプリケーション上での危険が少なくなる.

研究テーマについて議論した ( 1 session ) 

 クラスメートの研究テーマについて議論した.大まかにいうとアプリケーションの挙動をそれよりも低いレイヤーから監視しようという内容なのだが,そうすると,当然ながらアプリケーションの動きを正確に追うことは困難になるので,大味な分析しかなできない.大味な中でも検知できそうな対象を探すという部分が困難なポイントと言えるかもしれない.

クロスコンパイルの準備を進めた ( 2 sessions +  ) 

 開発したシステムをクロスコンパイルする方法について調べを進めていた.どうやら,開発対象のファームウェアがクロスコンパイルのために必要なツールキットを提供しているらしく,それを使うことでうまくいきそうである.しかし,拡張ライブラリなどについては,このパッケージに含まれていないように見えるので,それらをどうするかを次のセッションで考える.

修論の作成を進めた ( 

本読みをした ( 1 session + ) 

 星を継ぐものをよみすすめた.

生活面

朝11時起床.おおよそ7時間睡眠.十分な覚醒度を得た.

昼はクリームパンとスコーンを食べて珈琲を飲んだ.なんだか,コーヒーショップ的な退廃的な感じでよいのではないだろうか.

夕方にクラスメートと1時間ほど散歩をした.これによって十分な歩行量を得た.

書いた人 -> at 0 件のコメント:
Labels:

12/25

 進捗報告

研究発表を聞いた ( 1 session + ) 

 保管研究室の研究発表を聞いたりした.今日はファイル整理や,配線整理など,機械学習で何かを整理するという話だった.

研究室の清掃活動をした ( 1 session ) 

 研究室の床や書類などを全体的に整理した.この研究室には清掃時間みたいなものが準備されていないので,月1歩かないかの頻度でしか清掃をしておらず,やり始めると毎回相当な時間がかかるのだが,今回は総出で取り組んだので,現実的な時間内で片が付いた.

openwrtの導入作業を進めた ( 1 session + 60 mins ) 

 openwrtの導入作業を引き続き進めていた.tftpd64がまともに動作しないという話だったが,研究室のマシンに変えてみたら,うまくいった.しかし,requestは確かに受信しているのだが,responseが返せていない.次のセッションではこの原因を特定して,openwrtの導入作業を完了させたい.

 色々と試してみたけど,どうにもルータ側にfirmwareの配布を弾かれているように見える.ウィキの記載を見るとどうやら自分でfactoryというイメージファイルを作らないといけないらしくて,それにtp-link公式が配っているfirmwareが必要なのだが,対応しているイメージが見当たらない.というか僕の手元にあるバージョンのルータが公式サイトに載っていない.なんだこれは.

クラスコンパイルを進めた ( 1session + ) 

 開発したシステムをmip32向けにクロスコンパイルする必要があるので,そのための情報を収集していた.まずは,現状のホスト向けのコンパイル情報とクロスコンパイル用の情報を書き分ける必要がある.それができたら,必要なライブラリなどを揃えていく.ライブラリを揃える方法については要調査.


書いた人 -> at 0 件のコメント:
Labels:

12/24

 進捗報告

XSSについて調査した  ( 2 sessions +  ) 

 昨日に作成した資料のところの不明箇所について追加で調査したりした.今回のサンプルとして載っているくらいの内容であれば,javascriptをエスケープするとともにhtmlでエスケープも首尾よくやれば実施できると思ったのだが,たぶんその通りで,しかし,それを毎回やるというの手間で形骸化しやすいという話かと思う.

発展的なXSSについての補足資料についてはまだ読み込めていない.xss gameとかは紹介してもよいかもしれない.

XSSゲームを攻略した  ( 2 sessions + ) 

徳丸本の輪講を進めた ( 40 mins ) 

徳丸本の輪講を進めた.今日はXSSの話で,htmlの要素付近以外のところでのXSSのリスクについて説明した.主には,JSの動的生成におけるXSSの脅威と,その対策について説明した.


書いた人 -> at 0 件のコメント:
Labels:

12/22

 進捗報告

SkipAfterのデバッグを進めた ( 60 mins +  ) 

 SkipAfterの処理を書き直すなどして,動作を確認した.この結果,gzipのものについては検査をせずにスルーするという動作がきちんと実現できていることを確認できた.しかし,何点かの画像ファイルについて適切に表示ができなくなっている問題が非常に気になる.この辺りの原因を次のセッションで考える.しかし,計測実験をする分には大きな問題はないので,移植作業へ進めてもいいかもしれない.この問題については,のちにキャッシュをせずに学校でアクセスしたところ問題なくアクセスができることが確認できたので,しばらくは様子見とする.

ネットワークについての話を聞いた ( 1 session ) 

 今日はTCPについての話を聞いた.TCPの概要とフラグ,状態の遷移について説明を受けた.しかし,輻輳制御の話がなかった.

徳丸本の輪講を進めた ( 40 mins ) 

 今日はXSSについての内容で輪講を進めた.サンプルサイトの挙動がわかりにくいが複数人で話を進めることで,割とはっきりとした.根本的な解決としてはメタ文字のエスケープ,保険的対策としては入力値の検証や,x-xss-protection headerを付与するなどの対策がある.

Raspberry Piへの移植作業を進めた ( 5 sessions )

 RaspberryPiへの移動をした見たところ,x64では出ていなかった誤検知が発生してる.どうにもリクエスト先の扱いがおかしいようである.この問題について調査を進めていく.

 さらに作業を進めて,誤検知の発生を修正することができた.これによって,きちんとjuice shopに対してアクセスを実施できる.しかし,ここで問題が発生しており,処理速度が非常に遅い.どうにも,ルールのスキップがうまくいっていないように思う.

 検知率の改善のために小文字への変換が必要なので,その処理を書き進めていた.テストを書いて,それを埋め合わせるためのユーティリティを書いた.その処理が適切に動くことを確認できたので,検知処理の中に組み込んだ.これで,UAを検知できるようになった.

 UAを検知できるようにして,Raspberry piで持って行って,検知率を図ったりした.図ってみると,結構な精度がでていて,実験環境下では,modsecurityと同様な検知精度.

修論の構成を考えた ( 1 session ) 

 修論の構成について指摘された箇所を考え直したりした.また,明日の進捗報告す使うための資料を作成するなどした.今週はあまりに色々なことをやっているので散らかっているが,なんとかいい感じに話そう.

生活面

朝11時起床.おおよそ7時間睡眠.十分な覚醒度を得た.

起床後ナゲットを食べたりした.

夜は米,スープ,ナゲットとで,きちんと食べることができた.

書いた人 -> at 0 件のコメント:
Labels:

12/23

進捗報告

解約申請をした ( 10mins ) 

 今のアパートからは卒業のタイミングで出ていくので,解約申請を提出した.解約を2月にするのか3月にするのか,というところが悩ましいところだったが,3月分を払うくらいなら,引越し先に移動した方が良いと思ったので,2月末での解約にした.

進捗報告を作成した ( 1 session ) 

 進捗内容に不足していた暫定的な計測結果を取得して,進捗報告書を完成させた.とりあえず,どのような取り組みをしているかを話して,できたところと,まだできていないところを整理して,無理そうなことは無理だということを主張することが必要である.

徳丸本を読み進めた ( 4 sessions + 10mins ) 

 今回はXSSの発展編を読み進めていて,タグの文字列要素や属性以外の部分で発生するXSSについて確認している.例えば,URLを期待するところや,イベントハンドラ,<script></script>内にユーザの入力を埋め込んだ動的なJS生成などにおいて,XSSが発生する可能性がある.これらについては,HTMLとしての文字参照への置き換えの以前に,JSの文字列としてのエスケープをしておく必要がある.

 さらに読み進めて,一通り内容をつかむことができたので,それをもとに資料を作成している途中である.次のセッションでも作成作業を進めていく.

 必要な内容をそろえていって,とりあえず教科書で扱っていることは一通り扱うことができたのでレジュメは完成とする.また帰って一通り確認してから全体として理解してほしいイメージを整理しておこうと思う.

ルータの設定作業を進めた ( 1 session ) 

 実機ルータに対してtftpdで設定を入れようとしたのだが,どうにもうまくいかなかった.windows上で実行可能なtftpdサーバが軒並みファームウェアの配布に失敗している.しばらく考えたのだが,結局うまくいかなかったので,また明日考えよう.


生活面

11時半起床.おおよそ6時間睡眠.中程度の覚醒度を得た.

昼はおにぎり弁当を食べて,コーヒーを飲んだ.これによって活動量を回復できた.

書いた人 -> at 0 件のコメント:
Labels:

12/21

進捗報告

圧縮ファイルへの対応を進めた ( 3 sessions + 15mins ) 

 引き続き,ヘッダの差し替えをする処理を書き進めていて,Transfer-Encodingを削除書して,Content-Lengthを追加する処理を書いて,テストして,これらがうまくいくことが確認できた.Content-Lengthも自分が再計算した結果に差し替えた方が安全と思われるので,Transfer-Encodingの処理を拡張して,Content-Lengthにも適用できる用にしたい.

 さらに書き進めて,削除関数の一般化ができた.これについてのテストもできたから,実行して,期待通りの動作をしていることを確認した.全体の名前はTransfer-encodingのfixupということで命名して,順番に,削除関数1回目ー>削除関数2回目ー>ContentLengthの付与で回せばうまくいくはずである.次のセッションで,それを確認する.

 ヘッダの付け替え処理に関してもきちんと動作していることが確認でき,これらを有効にすることでクライアントまで圧縮形式で応答されて表示についても適切に達成されることを確認できた.これにて,圧縮ファイルへの対応は完了である.

フィルタ交換に対応した

 シャワーヘッドのフィルター交換に対応することができた.

本読みをした ( 1 session + ) 

 引き続きウォール街を読み進めた.今日はファンダメンタル分析の根拠とする基本ルールについて.この分析手法では,市場の参加者は,1.成長性が高いと見込まれ,2.同条件では配当が高く,3.リスクが低く,4.金利が低くて債権や預金などよりも株式市場が魅力的であればあるほど,株式に対して高い値をつけるという前提がある.

 半ば逃避で星を継ぐものを読み始めたのだが,なかなか面白い.

買い物に行った ( 1 session )

 飲み物とか,夜の分の食料品を調達するためにアタックスまで行って,色々と仕入れてきた.コーヒーを液体で買うのは重量の観点で憚られるし,お湯でさっと作れるのが良いから粉物のインスタントコーヒーを買ってきた.サイドデスクにおいておけばすぐに作れるので便利.

書いた人 -> at 0 件のコメント:
Labels:

12/20

 進捗報告

server proxyの仕様を修正した ( 6 sessions ) 

 いずれにしても,圧縮ファイルを扱う以上,いままでと同様の形式のParserではHTTPを捌けないということがわかってしまったので,その回避策を考えている.調べてみると,一応libcurl側にもheaderとbodyを分けて,それぞれの対応関数に渡すというオプションがあるようである.その場合,status lineが取れなくなってしまう.statu codeは取れるらしいので,status codeからstatus lineを再構築する関数を作っている.テストは書いていて,あとは処理を書くだけ.これがうまく行ったら次はヘッダのコードを書き直して,bodyのコードを書き直す.transfer-encodingの扱いについてはどうするか,また考えていない.

 ステータスコードの部分がうまく行ったので,ヘッダのコードを書き進めている.headerの部分では,これまでの処理を流用してうまく書いていきたい.ところ.次のセッションまでで方がつけば良いと思う.

 ステータスコードの部分は調査が間違っていて,分離されたヘッダをきちんと調べたら冒頭にステータスコードがのっていたので,これをパースすれば良かった.ヘッダとかボディのコールバック関数についてはきちんと書けていて,一時バッファには格納できているらしい.なので,これをうまくパースするようにしたらいい.ボディに関してはまた見当がついていない.

 ヘッダに関してのパーサも書き直して,きちんと期待通りの動作をするようになった.また,bodyのコードもとりあえず,期待通りの動作をしているように見えるようなところまで来ている.あとは,ヘッダの差し替えをやる必要があるのだが,それ以前に,数々の変更点によって,テストが動かなくなっているので,それらを修正をするところから次のセッションをスタートしたい.

 テストを修正して,動くようになったから,今度は,TransferEncodingのヘッダを消すためのユーティリティを作っている.この機能についてのテストは既に書いているから,それが転けないように機能を作っていく.これができたら,次はcontent-lengthの追加をするための関数を作って,正規化全体をやる関数をつく流ことでうまく動くようになるはずだ.

生活面

11時起床.おおよそ8時間睡眠.十分な覚醒度を得た.


書いた人 -> at 0 件のコメント:
Labels:

12/19

進捗報告

面接発話内容検討 ( 1 session ) 

 面談で話す内容を固めたりしていた.ヒアリングシートの中身を見て,具体性が低そうと思われる部分についてまとめたり,配属で許容されるふり幅がどれくらいかについて考えたりしていた.また,最終的にどのようなことができるようになれば良いかについても考えた.

配属面談をこなした ( 30 mins ) 

 配属についての面談を人事と実施した.なんとなく希望通りの配属が実現できそうな印象は受けた.

徳丸本の輪講を進めた ( 30 mins ) 

 徳丸本の輪講を進めた.今日の内容は入力値の検証であった.Webアプリケーションの対策としては処理系が不適切な入力値で動作する可能性があるので,これを直すことが根本解決である.入力系では,入力値を検証するが,これによって不正リクエストを落とせる可能性があり,その点で保険的対策となりうる.

雑用をこなした ( 30 mins ) 

 段ボールの廃棄作業を進めて,押入れの中の紙類を片すことができた.

skipAfterの実装を進めた ( 3 sessions + 50 mins ) 

 値の取得や,ルールのスキップについてのテストを書き終えたので,実際の処理を部分を書き始めた.新たに書く必要があるのは,sec_rule_tからのマーカーの抽出と,それを用いたスキップ先ルールのアドレスの取得である.スキップするかどうかについてはコンテキストに持たせることにした.とりあえず,これらの関数の処理をなんとなく書くことができたので,テストを通るか確認していく.

 テストを通して,機能が想定通りに動くことを確認した.しかし,juice shopの通信でこれを使ってみると相変わらず誤検知が出ている.誤検知を発生させているルールも同じルールである.圧縮ファイルをあきらめるルールが動いていない原因を探ってみると,どうやら圧縮形式を示すヘッダが返ってきていないようである.このため,相変わらず,ファイルの中身が検査されて,検知を発生させる.次のセッションでは,この原因について考える.

 libcurlのAPIの使い方を間違っていて,そのせいでヘッダが適切にバックエンドに伝わっていなかったようである.これを修正したところ適切な圧縮形式でデータが返ってくるようになった.しかし,それはそれで問題があり,現状の自分のシステムでは,パーサは圧縮を含むレスポンスを適切に返答できる形式にはなっていない.なのでパーサ自体を書き直さないと話が進まないという面倒な事態になっている.次のセッションでは,とにかく,これをどう扱っていくかという修正方針を練りたい.

徳丸本を読み進めた ( 1 session ) 

 徳丸本を読み進めて,XSSの基本的な内容をさらうことができた.フォームへの入力や,クエリからの文字の取得などをする際に,HTMLのタグを閉じたり,勝手に開始するような入力を作れると,様々なjavascriptが実行可能な状態になる.これが罠サイトからの遷移で発生する反射型と,正規サイト自体に保存させる持続型があった.これを防ぐためにはhtmlの特殊文字をエスケープしてやればよい.残りの部分と発展編についてはまた明日.

本読みをした ( 30 mins + 

生活面

朝7時40分起床.おおよそ7時間睡眠.十分な覚醒度を得た.

朝からうどんを食べたので,今日はカロリーを持った状態で1日を始められる.

昼はからあげ高菜をとりめしに乗っけたようなものを食べた.軽めでサクッと食べれた. 

夕方にクラスメートとキャンパス内を散歩して,これによって十分な歩行量を稼ぐことができた.

夜は麻婆丼を食べた.量があったけど,あっさり食べれた.

書いた人 -> at 0 件のコメント:
Labels:

12/17

 進捗報告

検知システムのスキップ処理を実装した ( 2 sessions + )

 検知システムのスキップ処理のためのテストを書き進めている.昨日の作業によって,スキップ処理自体はactionの実行の中では解決できないということが分かったので,それようの関数のインタフェースを書いた.

 テストをある程度書くことができたので,実際に関数の中身を書いていきたいところ.テストが通ったら,実際のテスト適用のための関数内でも,スキップ用の関数を使っていきたい.

徳丸本の輪講をした ( 40 mins ) 

 徳丸本の輪講を進めた.今日は同一オリジンポリシーとCORSについて学習した.同一オリジンポリシーは,サイトをまたいだリソース取得を防止するための仕組みであり,その例外的措置がCORSであるということだった.

引っ越しについて調べた ( 1 session + ) 

 そろそろ引っ越しについてまじめに考える必要があるので,引っ越しの手順として発生する作業内容を調べたり,次の物件の検討を付けたりしていた.だいたい,価格帯も場所も定まってきたので,とりあえずは良しとする.あとは不用品の処分について見通しを立てないといけない.

徳丸本のレジュメの作成を進めた ( 1 session + 70 mins )

 今日は入力値の検証について読み進めた.入力値は脆弱性に対する根本的解決にはなりえない.しかし,入力値を検証して,期待しているものと異なっているときには落とすようにすることで,仮にアプリケーションに脆弱性が存在していたとしても,それを悪用する文字列を落とせるかもしれず,そのような意味で,入力値の検証はWeb狙いの攻撃の保険的対策と言える.

 とりあえず,入力値の検証について読み終えたので,担当範囲のレジュメを作り始めた.構成を決めて,脆弱性がなぜ作りこまれるのかというところから書き始めた.次のセッションで,入力値の検証の大体の内容を決めるところまで進めたい.

修論の構成について考えた ( 2 sessions + 20 mins ) 

 修論作成に対して追加で読むように言われた資料に目を通したりしていた.しかし,この制度自体について,僕自身はあまり肯定的ではない.

 そのほかのところも見直して,目次案をブラッシュアップした.とりあえず,今見た感じだと良さそうなので,一回寝て,明日の朝もう一度読み直して,問題なさそうなら提出しようと思う.


生活面

朝11時起床.おおよそ7時間睡眠.十分な覚醒度を得た.

昼は,高菜弁当を買って食べた.肉じゃがも入っていてボリュームがあったが,さらっと食べれた.

夕方にキャンパス内を1時間ほど散歩して,これによって十分な歩行量を稼ぐことができた.

夜は,研究室でうどんを食べたりした.年越しみたいで,なかなか味があった.


書いた人 -> at 0 件のコメント:
Labels:

12/16

 進捗報告

漏水問題対応 ( 60 mins + 

 台所での漏水問題が発生しているので,その写真を撮って説明を入れるなどして,管理会社に連絡した.水についてはペットボトルをきって,簡易的な受け皿をつけることで,水を受けているという状態.

 結局夕方まで待ってみたけど,上階の住人との連絡がつかず,業者を入れることができなかった.今の所,機能のような漏水は出ていないけど,結局治っていないから,再発のリスク大.明日は管理会社が定休日らしいので話は進まない.早くても明後日になるだろうか.

進捗報告書を作成した ( 1 session + ) 

 進捗報告書を作成した.先週に実装したアクセスログについて言及し,このログと誤検知の分析によって,パフォーマンス低下の主要な要因を明らかにしたことを記載した.これを解決するためにはskipAfterの実装が必要なので,この実装を今後は進めていく.

skipAfterの開発を進めた ( 1 session + ) 

 skipAfterの実装を進めていて,それをテストするための関数を書いているところである.で,テスト用リストに追加するルールを生成するテスト用ユーティリティは書いたのだが,図書考えていたインタフェースでは,自分のやりたいことは達成できないということがわかってしまったので,代わりの方法を考えている.一つ関数を新たに作ればいけそうなので,次のセッションでやっていく.

本読みをした ( 1 session + 50 mins ) 

 ウォール街を読み進めた.今日は住宅バブルの話.ローンの売り買いによって,市場に対してそれを売る方法が色々とあるようであるが,この値の話は本の記述だけだと正確に理解できなかった.それから実際の分析手法についての話に移っていって,まずはテクニカル分析.テクニカル分析はチャートを元に今後の値動きを予測するもの.

生活面

昼間はホットサンドを食べた.家でホットサンドを作る時はいつもマヨネーズ,チーズ,ハムというオーソドックスな味付けにしている.とても食べやすい.

夜間は,米,コーンスープ,牛すき焼きでバランスよく食べれた.

夜間に散歩に行って,日中不足した運動量を補うことができた.

書いた人 -> at 0 件のコメント:
Labels:

12/24

 進捗報告

検知機構のデバッグを進めた ( 1 session +  ) 

 検知機構のログがうまく取られない問題をクリアした.今までは,検知するかどうかというところだけをみていたから,検査用関数が最後まで走っていて,なので,そこでログを書き出せばよかったのだが,遮断が入るようになったことでうまくいかなくなっていた.遮断を決め込んだタイミングで,ログを書くようにしたことで,問題は解決された.

本読みをした ( 1 session + ) 

 ウォール街のランダムウォーカーを読み進めた.今日のところは,インターネットバブルでの異常な高騰について.また,アナリストや市場の人々が,それにどのように応じたのかについて.

徳丸本のレジュメ作成を進めた ( 2 sessions ) 

 明日使う分のレジュメの作成を進めた.hiddenパラメータのところの理解が微妙に間違っていたので修正する.あと,クッキーモンスターバグにも言及したい.

 第1回のレジュメが完成した.通しで何回か説明する練習をして,明日に備える.

買い物に行った ( 1 session )

 食料品を少し買い足そうと思ってトライアルまで出かけた.店で買い物をしたらクリスマスの雰囲気も少し感じられたのでよかった.

生活面

13時起床.12時間睡眠.十分な覚醒度を得た.睡眠負債の返済が進んだ.

夕方にトライアルまで歩いて行って,1時間半ぐらい歩いた.これによって十分な歩行量を稼ぐことができた.夕飯はトライアルで買ってきたチキンタルタル丼を食べた.あまり賢くないコンセプトだが,美味しく食べれる.

書いた人 -> at 0 件のコメント:
Labels:

12/13

 進捗報告

検知機構の検知率改善を進めた  ( 2 sessions + )

 検知率改善のヒントを得るためにmodsecの検知ログを解析するスクリプトを書いたりしていた.やはり比重としてはpmfromfile,rx,pmが大きいようで,自分のシステムでもこのあたりについては既に対応済みである.pmが大文字小文字を区別しているのが今のところのネックなような気もするので改善していく.

 ルールの改良の方針を立てることができたので,Raspberry pi上で動くかどうかの確認を急ぐことにした.しかし,どうやら,ルールが誤検知をしていて,正常通信まで止まるようになってしまっている.原因を探るべくlogを確認したところ,ルールがきちんとロギングされていない.該当箇所のコードを確認したところ,どうにもlog_bufferを持たずにロギングをしようとしていそうな感じがする.次のセッションで,このあたりのコードを中心的に調べていく.

修論の作成環境を整備した ( 1 session + ) 

 修論も今回は基本的にDocsで書く運用で進めるので,Docs上に目次案に対応したファイル群を作って,準備を進めたりした.また,.texについてもコンパイルをする環境を整えて,タイトルやセクションなどを切る作業を進めた.次のセッションでは,各項目の細かいトピックを整理したりする.

電話をした ( 3 sessions ) 


生活面

12時起床.おおよそ6時間睡眠.十分な覚醒度を得た.


書いた人 -> at 0 件のコメント:
Labels:

12/12

 進捗報告

市内の用事を片した ( 2 session ) 

 市内の方に用事があったので,出かけて片してきた.ついでに本屋によって必要な資料をそろえたりもした.ちょっと街に出かけて気分が良くなった.

修論の目次案を作った ( 60 mins ) 

 修論の全体的な構成を見直して,目次案を作成した.書き始めても,もはやこれ以上大幅な変更はないと思われるので,これで決め打ちして書き始めてよいものと思われる.

検知機構のテストを作成した (  1 session  ) 

 検知機構のテストを書き進めていて,variable pickerのカウンタ処理をテストするコードを書いていた.コードを書いてから,だいぶ後でのテスト作成になってしまったので,やや予定調和なテストになってしまっているが,作成の過程で,RESPONSEの値の抽出のコードの不具合を見つけることができたので,良かった.

検知機構の検知率を改善した ( 1 session )

 検知率改善のために,CRS上のどのルールが攻撃を検知をするのに際して,有効に機能しているのかを調べ始めた.どうやらスキャンツールの攻撃に関しては,scanner-detectionは一番有効に機能しているようであり,User-Agentをみて検知しているようであった.しかし,これはどうか.僕の環境では,niktoは自身をそういう風には名乗っていないように思うが.要確認.

 niktoの検知をmodsecurityでやっているログを手に入れたので,これを解析するスクリプトを書いている.これによって,検知に必要なオペレータを抽出して,優先的に実装しよう.

徳丸本のレジュメ作成を進めた ( 2 sessions )

 徳丸本を読み進めて,同一オリジンポリシーやCORSについて勉強している.これらはブラウザセキュリティの話題.あるホストからのわたってきたWebページの読み込みに際して別のホストからデータをとってくることがあるが,セキュリティの観点からこれらは制限がかかっている.まず,Javascriptから別ページの情報を参照するのは基本的にダメ.どうしてもアクセスする場合には,CORSの制限の中でなら許可されているようだ.

 4章に入って,脆弱性自体の話を始めた.基本的にWebの脆弱性はWebアプリケーション羽状での処理と,そこからの出力によって起こるという話で,それはそのとおりだということ.

本読みをした (1 session + 30 mins ) 

 夕食で家に帰ったついでに本読みを進めた.手元のウォールストリートのランダムウォーカの3章を進めているところ.今日はコングロマリットの数字上での成長についてで,自身の会社よりも株価収益率が少ない会社を買収していくことで,数字上では会社を急成長させることができるということらしい.株価収益率が低い会社を買収すると,何もしなくても,一株当たりの利益があがるからだ.これによる投機ブームが巻き起こり,いかにも砂上の楼閣という形だが,間もなく暴落しました,という話.

生活面

朝9時起床.おおよそ9時間睡眠.十分な覚醒度を得た.

昼は生協のネギ塩丼を食べた.わかりやすい味付けであっさり目で食べれた.

夜は,コメ,フルグラ,カレーカツで,きっちり食べれた.


書いた人 -> at 0 件のコメント:
Labels:

12/11

 進捗報告

検知機構のテストを書き足した ( 2 sessions +30mins ) 

 検知機構のテストで不足に気づいているものが3件ほど存在しているので,それを書き足したりしている.今は1件書き終えたところで,これを動かして,きちんと動作しているかを確認する.次のセッションではvariableに関わるテストを2件ほど作成していく.本来であれば,予定調和なテストは避けて,きちんと期待する出力に合わせたテストを前もって作っておくべきだ.

 さらにテストを書き進めた.コンテキストのコピーをとるためのテストを書いたのだが,これがこけてしまう.調べてみると,コンテキストの中でコピーされていない値がいくつかあったり,コピーするアドレスを間違えていたりと,いくつか実装ミスがあり,それが原因だった.それらを修正することで,このテストは通るようになった.引き続きテストを作成していく.

検知機構の検知率を改善した ( 5mins + ) 

研究発表を聞いた ( 1 session ) 

 ほかの学生の研究発表を聞いたりした.今日の内容については割合関心が持てるものであった.チップセットの配置の最適化などについては,素朴だが重要な問題であり,いろいろなアルゴリズムが考案されているようであった.生成物の評価について生成AIを使いましょう見たいな分野についても色々と手法があるようだった.

セキュリティイベントに参加した ( 1 session + 30 mins )

生活面

11時40分起床.おおよそ5時間睡眠.中程度の覚醒度を得た.

書いた人 -> at 0 件のコメント:
Labels:

12/10

 進捗報告

検知機構の点数処理機能の実装を進めた ( 40 mins ) 

 Outboundについてのテストケースを全て書いて,点数の足し上げがきちんと機能していることを確認することができた.ここに攻撃を打ってみて,こけないことが確認できた.以上で点数の処理については実装完了とする.

検知機構のアクセスログの実装を進めた ( 1 session + 50 mins )

 アクセスログのログフォーマットを考えて,とりあえず必要な情報が入った形式を作ることができた.その形式でログを出力するように仕様.ログについては正常にレスポンスが返った場合とはじく場合の2種類しかないので,単純な真理値で分岐させればよい.まずはテストケースを作成しているところで,これが完成したら,期待通りのフォーマットになるように関数自体を作成していきたい.

 アクセスログのテストケースを作成して,それを満たすような形でアクセスログを書く関数を作成した.アクセスログの中には時刻を含むので,時刻の文字列を作成する関数を別で作成する必要があった.そして,とりあえずテストケースを通過させることができるようになったので,実際の攻撃を加えて検知率を取得する作業を実施している途中である.次のセッションでも同様の作業を実施していく.

ソフトウェアアーキテクチャの勉強を進めた ( 2 session + )

 ソフトウェアアーキテクチャの基礎の3章と4章を読み切った.ここでの内容は,モジュール間の結合についての指標(cohesionとconnascence)の概念とその運用,アーキテクチャ特性についての概要であった.connaascenceには静的なconnascenseと動的なconnascenseがあり,それぞれの項目に強さがある.connascense自体については強さを確保すべきであり,同じ強さの中では距離を小さく保つべきである.また,そもそも論としてモジュールのconnascenceの度合いを低く保つことが重要であった.アーキテクチャ特性については,それぞれのilityについての定義が存在していないことが混乱をもたらしている.通常,アーキテクチャ特性どうしは競合するので,本当に必要な特性を選んで,それを元に作っていく方が良い.

 必要なアーキテクチャスタイルを選択するためにはドメインのステークホルダーとの対話が必要.順位づけをせずに3つくらいに絞るのが良い.多くをサポートしようとすると複雑性が高まるので得策ではない.練習方法として,アーキテクチャカタがある.

徳丸本のレジュメ作成を進めた ( 2 sessions ) 

 担当範囲のレジュメ作成を進めてHTTPのヘッダなどについて説明を書いていた.今は認証方式などについて調べたりしているが,脇道な気もするので,とりあえずBASIC認証の部分を書いてしまって,それから余裕があればトークンベースにも言及する.

 引き続きレジュメの作成を進めた.入力データの保持方式についての説明を書いて,BASIC認証の流れについても言及した.これでだいたい5ページ.これ以上の内容はあまりかけないので,cookieによる認証のリスクについて説明して,終わりにしたいと思う.なので,次のセッションではそれらの説明を書いていく.

本読みをした ( 2 sessions ) 

 宮台氏の2014年の本とかを唐突に読み始めて大体50ページくらい.独自の用語が大量にある上,社会学の用語も基本的に説明なしで使うので注釈なしでは読めたものではない.論理展開や根拠も疑問に思うところがあるが,とりあえず読み進める.サブカルの捉え方は面白い. 

生活面

朝11時起床.おおよそ8時間睡眠.十分な覚醒度を得た.

夜は米と,鳥の香味焼き,フルグラでバランスよく食べれた.


書いた人 -> at 0 件のコメント:
Labels:

12/9

 進捗報告

検知機構の点数の足し上げ機能の実装を進めた ( 3 session + 10 mins )

 各レベルごとの点数のメンバを作って,そこに点数を足しあげるような処理を作成した.テストを先に書いて,これを満たすようにコードを書いていくという形式.結果として,結構スムーズに実装を進めることができた.しかし,実際に攻撃を仕掛けてみると,遮断ルールはがやはり発動していない.原因を調べるとblocking paranoia levelという値の設定に基づいてそれぞれの値を足し上げていくので,それが実装されていないと,足しあげ処理自体が動かないということらしい.次のセッションでは,blocking paranoia levelを設定したり,取得したりできるようにする.

 最終的にblocking paranoia levelを無事に足し上げることができた.どうにもvariableの名前が小文字ではなくて大文字で出てくるようであり,variable pickerを修正したら動くようになった.次のセッションでは,outboundの方においても足し上げる処理ができるようにする.

進捗報告資料を作成した ( 80 mins ) 

 先週の分の進捗報告をまとめたりしていた.質疑への応答内容などをまとめたり,点数の計算機能についての紆余曲折について説明したりすることができた.



生活面
朝9時起床.気付けば椅子で寝ていて体が痛い.睡眠時間は6時間くらいであり,覚醒度はそれなりである.

書いた人 -> at 0 件のコメント:
Labels:

12/8

 進捗報告

検知機構の点数の足し上げ機能を実装した ( 3 sessions + 60mins )

  検知機構の点数を足し上げるために,各レベルで不審度を管理してそれを足し上げるように改変する必要がある.そうしたわけで,点数ごとのメンバを作成したわけだが,これを追加した際に別のテストケースがこけるようになった.この原因がよくわからないので調査している.次のセッションでも引き続き調査していく.

 デバッグを続けて,随所のテストコードとかをリファクタリングしたりしていた.先のセッションでのこけていたテストケースについては参照しているヘッダがcompileされていなかったことが原因だった.ヘッダに変更を加えたときはとにかく一旦meke cleanしておくことが安全だと思った.次のセッションで,点数の足しあげ処理を書いていきたいが,まずはテストケースを作成するところから始めたい.

ネットワークの輪講の発表を聞いた ( 1 session )

 有線LAN周りのネットワークの発表を聞いた.パケットフォーマットとか,カテゴリとかを復習する機会にはなった.しかしVLANの話題がなかった.

解約申請をしようとした ( 20mins + ) 

 家の解約申請の通知が届いたので,一応フォームをみて,解約の流れを考えたりした.2月末から3月末までの間で引越しをするわけだが,家の解約をどのくらいスピーディーにやるかについてはよくわからない.物品の整理も含めて,計画的に実施していきたい.

部屋の片付けをした ( 80 mins + ) 

 部屋の本が多すぎるので,引っ越しに備えて100冊くらいに部屋そうと思って選別を始めた.評価基準は,今後再読をするかどうかというところで,その基準で考えると振るい落とされる本がほとんどである.まだ途中なのでもう1セッションくらいやって,落ちた本は全て実家に郵送してしまいたいと思う.

本読みをした ( 1 session )

 村井理子のエッセイを読み直すなどしていた.ガルシアマルケスのシナリオ教室の本も読み進めたが,これについては,あまりにもつまらないので読むのをやめることにした.

生活面

9時40分起床.おおよそ8時間睡眠.十分な覚醒度を得た.

夕方にクラスメートとキャンパスを30分ほど散歩した.これによって十分な歩行量が得られた.


書いた人 -> at 0 件のコメント:
Labels:

12/7

 進捗報告

片付けをした ( 50 mins + )

 しばらくずっとバタバタしてデスク周りもだいぶ散らかっていたので,片付けをした.机の上の不要な資料を整理して,作業スペースを確保した.また,床の清掃もして,目に見える範囲のほこりを除去した.さらに,この1週間で積み上がっていた洗濯物に関しても片付けることができた.

ブックマークのページを刷新した ( 1 session + ) 

 この前学び直したHTMLとCSSの知識を使って,新しいリンク集用のサイトを作ったりしている.とりあえず,boxの配置を決めるところまではできた.今はボックスの中のレイアウトを考えている.次のセッションでは,この作業に見切りをつけて,

徳丸本のレジュメの作成を進めた ( 2 session + 60 mins) 

 徳丸本の演習環境を本の説明に従って作成することができた.本の説明が書かれてからしばらく経過しているということもあり,ソフトウェアのバージョンアップで使えなくなっている部分もあった.これらについては,徳丸本サポートサイトの方の記述を参考にすると直すことができた.次のセッションでは3章の内容を読み進めていく.

 3章の説明を読み進めて,HTTPにおける認証について学習した.認証方式としては,HTTP自体が備える認証機能と,Cookieによる認証がある.次のセッションでは,この部分について簡単にレジュメにまとめるとともに,3.2以降の内容についても読み進めていく.

 3章を読み切ったので,レジュメを書いている.だいたいの構成を考えて,それをドキュメントに書いた.あとはそれぞれの要素の細かい内容を書いていくという段である.これはそこそこ時間がかかるかもしれない.

HTML&CSS3の感想を書いた ( 70 mins ) 

マイナ保険証の登録作業をした ( 5 mins ) 

 マイナポータルでマイナ保険証の登録作業ができそうだという話を聞いたのでみてみた.しかし,どうやら今はメンテナンス中のようであり,明日までは利用できないということ.また明日やってみることにする.


生活面

12時起床.昨日は3時前くらいに家に帰ってきたので,だいぶ疲れていたが,8時間ほどの睡眠で十分な覚醒度を取り戻した.

昼はレーズンロールパンを食べた.軽めで食べやすかった.

書いた人 -> at 0 件のコメント:
Labels:

12/3

 進捗報告

HTMLの本を読み切った ( 2 sessions + 15 mins )

 HTML&CSS3の内容をようやく読み切った.内容については,表紙の内容とはちょっと違って,基本的には演習ベースな形であった.なので,時間もかかったのだが,その甲斐もあって,CSSのフローティングとかについての理解がようやく形を保つことができた.残りの詳しい仕様については,必要に応じて調べれば良い.後は,ここで学んだことを使って,何かスタティックなサイトを作ってみて,デザインの練習をする.ひとまずは,リンク集を更改していくか.

ルータの設定作業を進めた ( 3 sessions + ) 

 openwrtの導入作業を進めていてた.この前は,macのtftpdでopenwrtのイメージを配布しようとして,タイムアウトするという問題があった.この問題は依然として存在しているが,利用するtftpdを変更することで解決できた.利用したのはtftpyというpython製のtfpdモジュールである.4行くらいのスクリプトを書くことでtftpdを立ち上げることができて,これによってイメージを配布できた.イメージ配布後,scpでsysupgrade用のファイルを転送して,sysupgradeを実行.これによってルータ起動時にopenwrtで上がってくるようになった.次のセッションでは,設定ファイルを作成して,wifiブリッジとして利用できるようにしていく.

 ルータの設定作業を進めていたのだが,tp-linkの設定とは同じファームウェアでも互換性がないらしい.設定を移植して再起動したらアクセス不可になった.この機種についてはどうしたらfailsafeモードに入るのかが明らかになっておらず,結局もう一度同じ作業を繰り返す羽目になった.それで,設定を進めて,とりあえずLAN側はアクセスが通るようになったので,次はWAN側を設定する.

 設定作業が完了して,ネットワーク通信がすべてこのWifiブリッジを介して飛ぶようになった.また,この設定作業をまとめたブログ記事についても公開することができた.これにて,Baffaloのルータ問題はすべて解決.トータルでは5sessionくらいかかっているので,やはり機器の設定というのは大変であるという結論.勉強にはなった.

アシモフの小説を読み進めた ( 1 session + ) 

 黒後家蜘蛛の会をずっと放置していたので読んでいる.いかにも娯楽小説という感じだが,楽しく読めている.

生活面

夕方に外を8キロくらい歩いて,これによって十分な運動量を得ることができた.また,言った先でうどん屋にいって晩飯を食べた.ゴボウ天うどんで,あっさり目で美味しく食べれた.出汁がいい感じだった.

書いた人 -> at 0 件のコメント:
Labels:

12/2

進捗報告

異常値スコアの足しあげ処理のデバッグをした ( 3 sessions ) 

 デバッガを回しながら,異常値スコアが意図しないリセットに遭っている原因を探した.結果としてはルールセットと実装の噛み合わせの悪いところがあり,それが原因と思われた.僕のルールでは複数のスコアをそもそも1箇所に集めてスコアリングしているのだが,元ルールではスコアを集め始める前に,集め先をリセットするルールがあって,このせいで,足しあげた点数がリセットされる.元ルールでは,リセットの後にまた集めるから良いのだが,僕のシステムではそれはうまく動かない.こういうわけで,足しあげた点数がリセットされた状態でブロック判断のルールに突入して,全ての通信が許可されるという結末になっていたわけである.次のセッションでは,この問題の修正を試みる.そして,テストケースがしばらく放置されていたので,これらが再び動くようにして,その後で,テストを足して,実装を書く.

 テストケースを点検していたら,どうやら意図せずカウンタをオンにしていたので,テストケースが大量にこけるという問題が引き起こされていた.これを修正したところテストの失敗の大多数は治った.あと2つくらい気になる失敗があるので,次のセッションではそれらを修正して,次の問題に移りたい.

 テストケースが動くようになったので,plごとの異常値スコアのためのメンバをコンテキストに追加する作業をしている.構造体へのメンバへの追加自体は簡単だが,それによって初期化関数とかコピー用関数とかの挙動についても変化するので,書き直しに迫られている.次のセッションでもこの作業を続ける.

徳丸本の輪講の準備をした (1 session ) 

 徳丸本を輪講することになったので,内容をざっと確認して,ページ割について考えた.攻撃についての説明が一番重い.だいたい20ページくらいの分割で1ブロックとして4章が18ブロックくらいある.これを交代しながら毎日見ていったらちょうど1か月くらいで終わる計算である.担当範囲の目星を大体決めたので,次のセッションからは,自分の範囲のレジュメを作り始めたい.

進捗報告資料を作成した ( 65 mins ) 

 今週の分の進捗報告資料を作成した.誤検知の問題の修正にかなりの時間を費やしてきたので,それらがどのようになされたかについて,かなりの文章量を割いている.今週は発表資料とか予稿作成とか,わかりやすい進捗があったので話しやすい.

研究発表を聞いた ( 45 mins ) 

 クラスメートの研究発表を聞くことができた.これによって,スキャンツールやhoneypotのためのソフトウェアなどについて色々と情報を仕入れることができた. 

HTMLの本を読み切った ( 1 session + ) 

 手元のHTML5&CSS3デザインブックをそろそろ片付けようという気になって,再び読み始めた.今はchapter5で,ニュースサイトのレイアウトを色々と作っているところ.コンチャプターを抜けると後は楽になりそうなので,もう少し粘りたいところ.


生活面

朝7時半起床.おおよそ6時間睡眠.十分な覚醒度を得た.

朝からゴミ出しでペットボトルを廃棄して,ゴミ箱を空にすることができた.

朝から洗濯機を回している.洗剤という洗剤がこの1週間手元になかったので滞っていたが,これでようやくバッファが捌けそうだ.おそらく1ラウンドでは捌き切らないので,今日明日で2ラウンドくらい回す.

書いた人 -> at 0 件のコメント:
Labels:

12/1

 進捗報告

健康診断の準備をした ( 60mins ) 

 健康診断に出かけるので,その準備をしたりした.だいたい12:10くらいに出発したら良さそう.

健康診断に行った ( 6 sessions + )

 電車を乗り継いで健康診断に行ってきた.健康診断自体は1時間強で終了して,低血圧と低体重を指摘されたけれども,それ以外は特に問題なかった.しばらく健康診断という健康診断を受けてこなかったので何を言われるか気が気でなかったのだけども問題がなくてほっとした.

 それ以外は,出かけた先の町をひたすら歩いていた.イオンや本屋,橋や電気屋などを見て回った.地元に近い感じの町並みでかなり親近感を得た.

 夕方には市内に戻ってきたので市民図書館でdockerの本を読んだりしていた.

修論の構成を考えた ( 80 mins + ) 

生活面

11時起床.おおよそ8時間睡眠.十分な覚醒度を得た.

夕方にミスドでフレンチクルーラとチュロスと食べた.コーヒーも飲んだ.健康診断に備えて何も食べていなかったので,血糖値とカフェイン量の回復で目に見えて元気になった.


書いた人 -> at 0 件のコメント:
Labels: