,

2017-06-21

こっちが乞食なんですが、Google様にまたやられてしまいました。

某所でまた初期500ドルクーポンを配っていたので、無料トライアルに挑戦しようと思いもらいました。で作ったところ例によってクレジットカード登録必要ですとなりました。理由ボットではないということを確かめるためということでした。で登録したところ、「お客様請求アカウントで検知されたアクティビティが原因で、このアカウント現在一時停止されています。」ということで、有効になりません。英語できたメールを見ると停止が不満なら写真入りの公的証明書コピーを送れとなっています。Google様には悪いですが、機能検証用でタダならやってみようという身としてはそこまでする気になれません。基本放置の予定なんですが、クレジットカード不正使用として認識されちゃったりすると後が面倒になりそうでいい気持ちがしません。

素人感覚とすると、ボットではないということを確かめる以上の確認をされている気がします。まあこちらも素人ではないので、課金する気のない客に無料トライアルさせる気がないのは当然というのは理解できますが、そうならそうとそういう風に書いておいてもらいたいものです。まあ無料を売りに集めた情報を裏で売って儲けてる会社なんでそんなん当たり前って突っ込まれそうですが。お金取られないならって気軽にカード登録してみましたが、こうなってみると登録そのもの結構リスクですね。

Google様はサポートも弱いし、基本弱小を直接相手する気がないように見えるんですけど、カンファレンスで500ドルくらい配っても、カードがいるなら個人自分シャドウっぽく検証するって方法しかありません。それで自分個人情報を出せって言われると萎えてしまいますね。しかもそのあとそのカードで本格運用なんてほとんどないので、集めても意味ないし。使い方がわからなくて間にパートナー入れないとどうしようもないってことがわかるくらいがほとんどになってしまう気がします。

こうしてみると、クレジットカードの与信でシステムの可用性が損なわれるんですよね。まあ規約のどっかに書いてあって、法律的には当たり前なんでしょうけど。端から端まで読まないといつ止められるかわからないって結構不安ですよね。Google様も結構強引なんで、好きなことで生きていくのを推奨しながら、或る日突然収入を10分の1にするとか平気でしますよね。システム可用性のリスクの一番の原因はGoogle様の運営方針な気がする。まあそれくらいでないと大儲けできないってことですが。それにしても何でここまでカードにこだわるんですかね。クーポンが出せるということはシステム的には前払いにも対応できるはず。個人にしても不正使用とかまで考えると上限の決まっている方が断然安心です。まあパケ死狙いなんですかね。

別件ですけど昔趣味で作ったAndroidアプリが、規約違反ということで配信停止となりました。確かにいい加減なアプリだったんでまあユーザ保護という点では対してアクセスのない泡沫アプリは消されてもしょうがないかなと思いますが、全体的に技術よりお金の方に行ってる印象があります。それをいうとインターネット全体がイノベーションよりビジネスフェーズに入って来た感じですよね。

ということでこれから実害があるかもしれませんが、とりあえずは後味の悪さだけが残った感じです。もっとも一番の原因は大儲けしている人のおこぼれを預かろうってこちらの乞食根性なんですけどね。いつなくなるかわかりませんが、AppEngineの無料枠だけでちまちまと遊ぶことにします。

皆様もカード情報入力Google様のご意向にはにはくれぐれもご注意ください。

2017-03-24

脆弱性の原因

最近大きな脆弱性が出ていますが、その技術詳細を探してみました。

まずWordPress 4.7.1 の権限昇格脆弱性ですが、解説があります。

http://blog.tokumaru.org/2017/02/wordpress-4.7.1-Privilege-Escalation.html

コードになるとアクセス制御はif文になっちゃうから、その部分が一つ間違うとアウトなんですよね。根本的には”1A”が1にキャストできるのがどうよってコンパイル言語の住人的には思うのですが。

次はStruts2 Content-Disposition filename でコマンドインジェクションできちゃうって話です。

変な文字列を入れるとエラー処理に入るのですが、エラー処理の過程でその文字列をOGNLで評価してしまうというのが大きな流れのようです。

http://takahashikzn.root42.jp/entry/2017/03/08/132147

メッセージフォーマットするのに使うメソッドが、その内容をOGNLで評価するという機能を持つようです。HTTPのヘッダーの文字列出すだけなんだから、おとなしく出せばよかったということでしょうか。文字列評価できるから柔軟なプログラミングができてすごいぜってのは確かにすごいですが、エラーメッセージ出すだけなのにそれ使っちゃったてのが潜在的根本原因ですかね。

2017-01-30

GoogleCloudPlatform続き

GoogleCloudPlatformの請求を閉じました。

で色々見ていたのですが、まずは価格感をメモときます

主にバーチャルデスクトップ目的Windowsサーバを使っていました。2コアの7.5GBメモリです。

こまめに切っていたのでひと月で76.617 時間使って、CPU料金が$8.43、ライセンス料が2コアなんで2倍の153.233 時間で$6.13、転送量が21.258 Gibibytesで$2.55でした。ストレージは642.49 Gibibyte-monthsで$24.87でした。

本当にリモートデスクトップ目的なら、ストレージ10分の1でいいので、月200円+一時間20円という価格感でしょうか。付けっ放しだと月に1.5万円位なっちゃいますが、こまめに切れるならリーズナブルかも。

ついでの請求書ありかを見つけました。トランザクションを選ぶと月別の情報が選べるようになりますが、その上の方にドキュメントがあって、PDFCSVドキュメントダウンロードできました。

不親切な分安くなっているという側面もあるのでしょうが、やっぱ上限を設定できないと、一般人には使いづらいですよね。使用額もリアルタイムじゃないし、スクリプトで回してて、次の日100万請求されったてネタもありました。ま、その程度でビビってる雑魚相手したくないのかもしれませんが。というのは言い過ぎで、サポートが欲しければ、間にパートナ挟めよって話ですかね。

2016-12-19

MACICカードではまったのでメモ

MACICカードではまったのでメモ。いつの間にかPIVが使えなくなりました。

原因はSCM3310のドライバを0SX10.9にインストールしようとすると、

/usr/libexec/SmartCardServices/drivers/ifd-ccid.bundle

がなくなってしまうため、スマートカード機能全体が使えなくなるという事のようです。

復活させるためには、以下の二つのインストール必要でした。

http://sourceforge.net/projects/libusb/files/latest/download?source=files

https://alioth.debian.org/frs/download.php/file/4187/ccid-1.4.25.tar.bz2

10.9ではSCM3310は標準のドライバで使えるそうです。

2016-11-04

Googleクラウドプラットフォーム無料お試し

Googleクラウドプラットフォーム無料お試しに登録したのですが、「請求書の準備が整いました」とメールが来ました。

無料お試しと良いながら、いつ課金されるかとドキドキしているなのでメール記載されているライブサポートリンククリックしてコールバックしてもらいました。コールバックなのに最初自動音声で数分待たされたあげく、

「この窓口はコンシュマー向けなのでクラウドプラットフォームはサポートしていません。コンソールのサポートから問い合わせてください。」

と言われました。送られてきたメールからたどったのにと思ったのですが、サポートの人に行っても無駄だろうと電話はあきらめました。

コンソールからサポートを選んで、いろいろ探してみたのですがサポートレベルを指定しなければなりません。無料なので当然ブロンズなのですが、問い合わせしようとすると、選択肢が出てきません。電話で聞けるのは月に数万円払うレベルのようです。コミュニティへのリンクが出てくるだけで、メールでの問い合わせ方法も分かりませんでした。自分解決しろってことのようです。

確かに無料枠なので技術サポートはなくても良い気がしますが、請求書を発行すると言っておきながらその問い合わせ先がないのってどうよと思うのですが、さすがグーグル様。