今日も技術書典13で買った本を少し読み進める。
『ハッキング・ラボで遊ぶために辞書ファイルを鍛える本』ipusironさんの、あいかわらずすごい情報量。
派手さこそないものの、パスワードクラッキングの上で欠かざるアイテムである辞書ファイル。ハニーポットにsshログイン用意しておいて、攻撃者の試行パスワード入力(鮮度や品質の良い可能性がある)を集積する、というの正直賢いなと思った。
rockyouファイルの解析からのパスワード選択傾向分析、crunchでの文字組み合わせ辞書作成、cuppでの標的型辞書作成、KwProcessorでのキーマップウォーキング辞書作成、最後は辞書を使ってのJohn the RipperやHydraによる実行、とさまざまなツールが登場し、自分のパスワード選定に薄ら寒い思いも感じる。
『セキュリティチェックシートの薄い本』技術書典のTL眺めててタイトルや概要で一番興味を惹かれた1冊だったので、読むのを楽しみにしていた。
チェックシートは本来は発注者側の発注者責任を果たすためのもので、チェック項目をそもそも発注者が理解していないと意味がない。想定されるリスクに対してサービス提供者がそれにどのような低減策をとっており、それを受容できるかの判断をすべきである、というのが本書の主張で、大いに同意できる。
発注者からのおかしなチェックシートに対してどう答えるかということから始まってはいるが、大きな目標としては発注者の意識改革を求めていくことにあるのかな、と読んだ。JTCでも大元のほうは理解している方々は多いものの、そこからの1次受け、2次受けあたりが一番厄介そうな気がする。
本筋とはまったく関係ないが、ちょっと変わった組版だったので奥付を見たところ、FlightBooks https://flightbooks.pub/ で作られてるとのことだった。ベタ組み前提のようなのだけど、FlightBooksの制作利用者は和・欧・数・記号の文字をおそらく多用するので、少なくとも本文段落についてはjustify(均等割り付け)をデフォルトにしたほうがよいのではないだろうか(今は左寄せなので欧文や数字が混じるところで右側がガタつきやすい)。フォントをアウトラインにしているのはCSSタイプセットエンジンでType3系なのかな。
『技術書典13記念NFT発行できるかな?(仮)』お世話になっている@vvakame先生の恒例の勢い書き…かと思ったら今回大著だな!とまずそこに驚いた。しかし中身は勢い書き日記の収集だったので「そうそう、こういうのでいいんだよ…」という妙な喜びがある。
業務も技術書典もこなしつつ、毎日けっこうちゃんと進捗してるのは本当にすごいし尊敬する。
紙面に関しては、Re:VIEWてくぶスタイルのデフォルトとしてURL折り返し促進を入れちゃったほうがよさそうかなぁと思った。itemizeとfootnoteでなんでこうなりやすいのかについてはTeXの深い沼っぽくてよくわかっていない(ボックスの何かの違いかな)。コードリストのほうはminted使うようにするか(pygments前提になるのと-shell-escapeを要するのでデフォルトにはしづらい)、物理的にreレベルで改行してねという感じでよろしくお願い。
『メールを取り巻くテクノロジー』メールの、特にSMTP送信寄りの話。SMTPは渋谷駅みたいなもので、一度更地にして全部作り直すべきでは…というくらいな代物になっているけど、もはや壊すこともできないので、DNSの力も借りてなんとかしてみようという状態。そういった今どきのSMTP送信技術まわりをざっくり紹介している。
著者陣は高レピュテーションでsender代行を行うblastengineを開発提供していて、なるほどこういうビジネスもあるのか、と。でも確かに、昔業務でIPブロック範囲だとレピュテーション指定で到達させてくれない海外大手(日本のブロックをかなり限定していたっぽい)に届けるために別ルートでMX立てて送ったことがあったし、今はSophos Mailで送信も任せるようにして向こうに届かない問題はほぼ解決したので、送信だけでも需要は高そうではある。
これを読んでいるうちに一念発起し、ずっと「やらないとな〜」と思っていた重い腰を上げておうちサーバもSPF/DKIM/DMARCに対応したので、マジ感謝を捧げたい。
