ピーシーとコーシーとその他雑記

■[PC]クライアントとサーバ

ずいぶん偉そうな言い方だが、違う人達に３回ほど同じことを指摘したので４回目以降のためにまとめることにした。

　

俺にこのURLはられた人へ

よくあるミスだから、気にしないでおｋ。

たくさんの人が間違えることだからブログに書いたのです。

でも大事なことだからちゃんと覚えてね。

　

　

本文　

ソフトウェア設計で気を付けないといけないことの一つ。

「クライアントはリクエストなしにサーバからパケットを受けることはできない」

　

これは大原則。気をつけることというか、「してはいけないこと」かな。

一応言葉の定義をしておくと

• サーバ：常駐し、リクエストを受信して応答を返送するプロセス
• クライアント：リクエストを送信し応答を受信するプロセス

　

NW的な言い回しに言い換えると、パケットをlistenするのがサーバ。

そのlistenしている相手にパケットを送るのがクライアント。

　

クライアントのプロセスは常駐しないし、ポートの監視も行っていないので、いつ来るかわからないパケットを待つことはできない。（リクエストを送ったときのみ、応答を受信するまでポートの監視を行う）

一方でサーバは常駐し随時ポートを監視しているので、突然リクエストが来ても応答を返送できる

　

言い換えると、リクエストなしにパケットを送りたいのなら、受信側にもサーバとなるプロセスが必要。

それ（受信側へのサーバプロセス配置）を意図していないなら、シーケンス図が間違っていることになる。

　

具体例　その１

Webアプリケーションのシーケンス図の一部。

つまりクライアント＝Webブラウザ、サーバ＝Webサーバ。

（リダイレクトやjavascriptによる自動更新で）ユーザの操作なしに画面遷移する場合です。

クライアントは操作せず、サーバ側から更新後の画面がでるので

 |クライアント|                    |サーバ|
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　自動更新された画面　　　｜
　　　｜<-----------------------------｜
　　　｜　　　　　　　　　　　　　　　｜

と書きたくなるけれど、これは間違い。

Webブラウザは、サーバプロセスではないのでWebサーバから突然パケットを受けることはできない。

（必ず、対応するリクエストが存在する）

つまりは、裏側で（ユーザに見えないだけで）リクエストを送っているので

 |クライアント|                    |サーバ|
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　画面の自動更新要求　　　｜
　　　｜----------------------------->｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　自動更新された画面　　　｜
　　　｜<- - - - - - - - - - - - - - -｜
　　　｜　　　　　　　　　　　　　　　｜

と、するべき。

具体例　その２

おなじく、Webアプリケーションのシーケンス図の一部。

認証機能で、パスワードを要求する場合。

サーバ側からパスワード要求が行われるので

 |クライアント|                    |サーバ|
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　パスワード入力画面　　　｜
　　　｜<-----------------------------｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　　　パスワード　　　　　｜
　　　｜- - - - - - - - - - - - - - ->｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　　　　認証結果　　　　　｜
　　　｜<- - - - - - - - - - - - - - -｜
　　　｜　　　　　　　　　　　　　　　｜

と書きたくなるけれど、これは間違い。

この場合の間違いは２点

• パスワード入力画面は、パスワード入力画面表示を要求されて初めて表示される
• 認証結果をいきなりおくっているが、これに対応するリクエストがない

理由は具体例１と同じ。

クライアントには、要求に応答する機能はないので、入力画面にパスワードを返すことはできない。

また、呼び出しなしに応答があるのはシーケンス図としておかしい。

（関数呼び出ししていないのに返り値が帰ってくるようなもん。異次元ｗ）

なので、

 |クライアント|                    |サーバ|
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　パスワード入力画面表示要求　｜
　　　｜----------------------------->｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　パスワード入力画面　　　｜
　　　｜<- - - - - - - - - - - - - - -｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　パスワード（認証要求）　　｜
　　　｜----------------------------->｜
　　　｜　　　　　　　　　　　　　　　｜
　　　｜　　　　　認証結果　　　　　　｜
　　　｜<- - - - - - - - - - - - - - -｜
　　　｜　　　　　　　　　　　　　　　｜

と、するべき。

　

偉い人から見たら、突込みどころ満載＆何を今更　かもしれないけれど、現場でこの説明が必要だったのです。ご勘弁を。

　

（でも、有識者による変なところへの指摘は大歓迎です。　よろしくご鞭撻ください）

　

Permalink | コメント(0) | トラックバック(0)

■[PC]SailFin Sample Applications - Basic3pcc

書かれた手順だけだと若干情報不足なのでメモ。

Webと同じ情報が

$HOME_SAILFIN/samples/sipservlet/index.html

や

$HOME_SAILFIN/samples/sipservlet/Basic3pcc/README.html

にあった。

3pccのデモはユーザIDやドメインがCallSetupと若干違った。

それにより、X-Liteの設定が変わる。

具体的には以下の通り。

　ID: 一文字目が大文字 e.g. Alice, Bob

　Domain: sailfin.org

でもやっぱり動かない。何故だ

Permalink | コメント(0) | トラックバック(0)

■[PC] SailFin Sample Applications - OnlineBank

べつのサンプルを動かしてみる。

こっちは手順通りで動いた。

どうも、Registerが正しく受理されないときがある模様。

5xxも4xxも帰らないところを見ると、そもそもSIPの処理系にパケットが届いていないか、処理系にバグが潜んでいる気がする。

とはいえサンプルコードなので後者の可能性は低い。

厳密に探るならデバッグログ取ったりなんだりする必要があるのだが、ちょっとそこまで手を出す気にはなれないので一旦保留。

Permalink | コメント(0) | トラックバック(0)

■[PC]glassfish / sailfin install　- Eclipse

SIPサーブレット動かしてごにょりたいので備忘録。

ちなみにWindowsXP

glassfish

Eclipseはよくわからんのでごった煮のパッケージで導入

GlassFish Tools Bundle for Eclipse v1.2 (December 17, 2009)

http://dlc.sun.com.edgesuite.net/glassfish/eclipse/

これでGlassFish設定済のEclipseが入った。

sailfin

jarファイルをダウンロード

http://sailfin.java.net/downloads/download_windows.html

今回はv2の多言語版にした。

ここの手順を参考に導入

http://docs.sun.com/app/docs/doc/820-4277/abrat?a=view

jarファイルを実行

java -Xmx256m -jar sailfin-installer-v2-b31g-windows-ml.jar

sailfinディレクトリが出来るので移動して

lib\ant\bin\ant -f setup.xml

ロケールが日本語にならなかったモノの、ビルド成功。

samples

Eclipseでsailfinプロジェクトを作ろうとするが

ウィザードの設定項目に何を入れたらよいのか分からず詰まる。

Eclipse自体がよく分からん。

サンプルが存在するNetBeansの方がいいのか？

・・・とおもいきや、いかのURLを見つけた

http://sailfin.java.net/downloads/sampleinstructions.html

そもそもサンプル動かすだけならコマンドラインでいけそう。

コレの通りにやったら、一点だけ問題（後述）があったものの、成功。

X-Liteが唸った。うるさかった。

とりあえず、sailfinとsip softphoneの連携は問題なさそう。

あとは開発環境か・・・

つぎはこれ動かす予定↓

http://weblogs.java.net/blog/bhavanishankar/archive/2009/09/21/new-basic3pcc-sample-application-addition-sailfin

サンプルを動かしたときに起きた問題

SIPサーブレットが送信する initial-inviteに対して、クライアントが400を返してしまう事象にぶつかった。

エラーレスポンスとしては

400 malformed topmost via header

要するにviaヘッダが異常というレスポンス。

そこで中身を見たところ、viaヘッダにIPv6アドレスが載っていた。

どうもこいつをX-Liteがパース出来なかった模様。

そこで、Servletが動作するマシンのIPv6アドレス設定を削除して試したところ、解決した。

現状IPv6環境は想定していないので特に問題はないが、一応参考までに。

Permalink | コメント(0) | トラックバック(0)

■[PC]RubyOnRails 備忘録

Ubuntu 10.10 でRubyOnRailsを動かすまで。

RubyGemsインストール

# aptitude install gems

Rails

# gems install rails

エラーが出た。

% sudo gem install rails

Successfully installed rails-3.0.3

1 gem installed

Installing ri documentation for rails-3.0.3...

File not found: lib

アップデートしてみる

# gem update

結果は同じ。

一応

# rails -v

Rails 3.0.3

インストールは出来ている模様。

docmentsが巧く入っていない模様。

うーむ。。。

その他

# aptitude install apache2 postgresql

Permalink | コメント(0) | トラックバック(0)

■[PC]OAuth

この記事との差分を覚え書き

http://gihyo.jp/dev/feature/01/oauth/0002

aptitude install sqlite3 ruby-dev

aptitude install libsqlite3-ruby

gem install oauth

Ubuntu 10.10

gemだと、sqlite3-rubyが入らないのでaptで代用。

railsもバージョン 2.3.4 を

sudo gem install -v=2.3.4 rails

Permalink | コメント(0) | トラックバック(0)

■[PC]PostgreSQL 再入門

http://lets.postgresql.jp/documents/tutorial/ubuntu/2

http://www.postgresql.jp/document/pg836doc/html/tutorial.html

Permalink | コメント(0) | トラックバック(0)

■[PC][セキュリティ]OAuthを悪用したspam？ shoppybag　の概要

昨日、勉強会仲間のエンジニア集団で飲んでいたらこんな話題が上がりました。

　

「shoppybagというサービスの招待メールが知りあいから来たので、

　試しに登録してみたらgmailのアカウントが乗っ取られ、アドレス

　帳のアドレスへ勝手に招待メールを送信された」

　

とりあえずの疑問点は2つ

・どうやってグーグルのアカウント情報を不正取得したのか

・どうやって乗っ取ったアカウントを自動操作したのか

　

んで、これらを共通して解決できるのが

Google Mail API + OAuth

な気がしてきた。

　

そんなところから調査開始。

　

Permalink | コメント(0) | トラックバック(0)

■[PC][セキュリティ]OAuthを悪用したspam？ shoppybag　のへの対策

詳細は後で。まずは結論だけ。

　

技術面

• パスワードの変更は不要（というか、OAuthの使用上、パスワードは盗めない。理由は後述）
• アクセストークンの無効化手続きは必要かも（有効期限が分からないので、調査中）

　

精神面

• 知りあいからの招待でも、本人から言及がなかった場合は疑って掛かる（普通なら、招待したよーとか言ってくるよね？）
• 明らかに必要なとき　(e.g. Twilogでのtwitterのタイムライン取得）以外、むやみにAPIの利用許可をクリックしない

　

なぜパスワードの変更が不要なのか

ここ一番誤解が多そうなので敢えて解説。

乗っ取り＝ID/パスワードの盗難　ってのは確かに一般的な認識だし、間違ってはいない。

ただ、ID/パスワードが無くても最近は乗っ取りが可能だったりする。

それはOAuthの考え方を悪用すると出来るようになる。

　

OAuthは乱暴に言うと

「アカウントの持ち主が許可したんだから俺もやっていいだろ？」

という申請を出すための仕様。

例えで言うと、

　委任状を持って他人の転出届をしに行く感じ。

１）本来なら、転出届は本人確認（＝認証）が必要。

２）だが、正式な委任状があれば、本人以外でも手続きできる。

３）正式な委任状を作成するには本人確認が必要（ex押印する）

４）手続きする人はあくまで「本人確認を経て作成された委任状」しか持っていない（＝押印された書類は持っているが、印鑑は持っていない）

　

本件では、役所=google、委任された人=shoppybagに該当する。

印鑑＝ID/パスワードと読み替える感じ。

3'）ID/パスワードの入力は委任状作成時にしている（これはUser-google間で行う）

5'）shoppybagはID/パスワードを知り得ない

と読み替えられる。

　

まあ結論として、ID/パスワードを知らなくても乗っ取りが出来ますよってことです。

パスワードを変える必要はないけれど、パスワードを秘密にして安心していてもらっちゃ困ると。そういうことです。

（あ、もし理解違いがあったら指摘してください。おねがいします）

　

Permalink | コメント(0) | トラックバック(1)

■[PC][セキュリティ]OAuthを悪用したspam？ shoppybag　の動作内容　仮説編

おそらくは、このTwitterスパムと同系統。

http://www.itmedia.co.jp/news/articles/0908/10/news015.html

　

実際にshoppybagのサイトに行ったら、

「招待制なんだゴメンね。」

と言われて登録できなかった。

　

しかたないので、ついったーで誰かそのspamを転送してくれと頼みつつ、机上で調査。

　

勝手にメールを送られるまでの流れはこんな感じらしい。

１）ShoppyBagに登録したら、Google API の OAuth 認証が掛かる

２）ユーザが Google アカウントで認証する

３）Google API の利用許可画面が出る

４）許可してしまうと、ShoppyBagがGmailをAPI経由で制御可能になる

５）後は自由にspam送信。

　

何故こんなコトが出来るのかは、まず、OAuth について知らないとダメ。

で、OAuthについては以下のURLが参考になります。

http://ja.wikipedia.org/wiki/OAuth

http://gihyo.jp/dev/feature/01/oauth/0001

http://www.atmarkit.co.jp/fsecurity/special/106oauth/oauth01.html

　

まあ、要するにOAuth は自分のアカウントに関する権限を他者にも付与するための仕様です。

で、今回は　他者＝shoppybag　アカウントに関する権限＝アドレス帳の閲覧、メール送信　だったのかなと。

それを、ユーザが意図せず（理解せず）許可してしまったことが問題だったのではないかと。

　

先の流れをOAuthにあてはめて書き起こすとこんな感じ。

Service Providerがgoogle。

ConsumerがShoppyBagね。

１）ShoppyBag に登録したら、Google API の リクエストトークンが発行される

２）ユーザが Googleにリダイレクトされ、認証を要求される

３）認証後、リクエストトークンの認可画面が表示される

４）許可すると、ShoppyBag は認可済みリクエストトークンをアクセストークンに変換する。

５）後はアクセストークンを使って、自由にspam送信。

　

ちなみに、上記手続きはまともなアプリケーションと全く違わないので、google側でこれを見分けるのは不可能。

（ユーザが許可している時点でgoogleはその意志を受け入れないといけない）

これからは、「OAuthの認可画面はパスワード入力画面と同じぐらい危険だよ」っていう啓蒙が必要になるのかもね。

Permalink | コメント(0) | トラックバック(0)

■[PC][セキュリティ]OAuthを悪用したspam？ shoppybag　の動作内容　検証編

非リアでボッチなので、招待メール待ち

　

　

Permalink | コメント(0) | トラックバック(0)