遂に達成＼(^o^)／

Webサーバでは、httpsプロトコルでSSL/TLSと呼ばれる暗号通信が可能です。

そのあたりの設定について、安全かどうかを調査することが出来るQualys SSL LabsのSSL Server Testがあります。
今回、Let's Encryptに移行したので、久々に評価をしてみました。

その結果がこれです（ドーン！）（;ﾟ▽ﾟ）

ついにやりました！
「A+」は最高得点で、内容を見てもほぼ満点です。（*´∀`）b
※今まで、自己証明書だったので、Certificateが×でRatingがΩ＼ζ°)ﾁｰﾝな感じでした。(´・ω・`)

まあ、互換性とかスルー出来る（≒古いOSへの互換性などを切り捨てられる）非商用サーバなので、攻めた設定ができるところが非常に大きいとは思いますけどね。

もちろん、このSSL/TLSだけ安全でも仕方なく、OS、ミドルウェア、Webアプリケーションのパッチは勿論のこと、正しいネットワークやWebサーバの設計あってこその安全なのですけどね。
自前サーバを作ると、色々勉強になっていいですね。

不思議な動画

いつもはセキュリティに関する情報を入手するために使用しているX(twitter)ですが、Stable Diffusionを使ったAIアートの動画が出てきてびっくりしました。

https://twitter.com/mark_riedl/status/1715473941194530900

大自然の背景に人が踊っているような動画なのですが、止めると人が消えて背景になってしまうというものです。
リアル画像版AA（アスキーアート）のような感じなのかな？とも。
一度見てみてくださいませ。これはすごい。（;ﾟ▽ﾟ）

冷凍餃子フライパンチャレンジ...

味の素さんが、面白いことをしてました。

なんと、3500個以上に及ぶ数の「冷凍餃子を焼いたら焦げたフライパン」だけを集め、研究開発を行っているとのこと。
同プロジェクトのホームページでは、キーエンスの協力を得て3Dモデル化してくれています。

見ていくと、結構既にボロボロなフライパンも多く、たぶん何焼いても焦げ付きそうな...。＼(^o^)／
焦げ付かないコツは、油を大さじ1杯引くのと、10分蒸し焼きにすることなんだそうです。

なんだか餃子食べたくなってきた！（;ﾟ▽ﾟ）

HTTP/2の設計自体に脆弱性が発見されました。。。

軽量で高速に処理できるということで、数年前から流行り始めたHTTP/2でしたが、残念ながらプロトコルそのものに脆弱性が見つかってしまいました。

HTTP/2 Rapid Reset という攻撃手法により、なんと1秒間に3億9800万リクエスト（！）もの通信を仕掛けて、サーバを落としてしまうというものです。

このサイトに詳しく書かれていますが、おおざっぱに説明すると以下のような感じです。
※間違っていたらご指摘ください...テスト勉強には上記のサイトを確認されることをお勧めします。ホントに（;ﾟ▽ﾟ）

HTTP/2は、雑に言うとSTREAMという単位で通信し、それを多重化することで効率よく通信しようとします(100個くらいのリクエストを多重化するので、1個1個やり取りするHTTP/1.1の100倍くらい効率がいいらしいです)。
で、このSTREAMをリセットするRST_STREAMというリクエストを投げると、サーバとクライアント間で何の調整もせずに、それまでのSTREAMを破棄します。
そして、サーバはクライアントからの新規リクエストを受け付ける状態になります。

通常の状態であれば、大きな問題にはならないかも知れませんが、これが大量のクライアントにより非常に短時間の間に繰り返して行われると、サーバがSTREAMを破棄してリソースを開放する前に、新たなリクエストを受け取ってしまう、ということが起きてしまいます。
こうなると、サーバにおいてSTREAMを破棄するための処理が、大量に積み重なっていくことになります。
結果、サーバのリソースが食いつぶされてしまい、最終的に落ちてしまう、ということになります。
これがHTTP/2 Rapid Resetです。たぶん（;ﾟ▽ﾟ）<スマン

この脆弱性が発見されたことにより、当サイトも実験的にHTTP/2を有効にしていましたが、無効化致しました。
一部のWebサーバでは、リソースの最大値制限することでこの問題を緩和しているようですが、そもそもプロトコル上の問題なので、スマートに解決できる問題ではなさそうだからです。
しょぼいサーバのうえ、旧来のHTTP/1.1に戻ってしまいましたので、アクセスがだいぶ遅くなってしまうかと思いますが、ご容赦ください...。

HTTP/2のプロトコルが見直されて、軽量で高速なWebサーバを構築できる日が、再び来ることを楽しみにしています。(´・ω・`)

※参考サイト

• How it works: The novel HTTP/2 'Rapid Reset' DDoS attack
• HTTP/2 Rapid Reset: deconstructing the record-breaking attack
• CVE-2023-44487 HTTP/2 Rapid Reset Attack

証明書変えてみました

当サイトの証明書、定期的に「いい加減、オレオレ証明書もアレだな～（;´д`）～３」と、思っていたのですが、なかなか踏ん切りがつかず絶賛放置プレイでした。

しかし、今回思い切って、あの「ホワイトハウス」でも使われている「Let's Encrypt」を採用してみました。＼(^o^)／

まあ、某サイトでは「Let's Encrypt使ってたら詐欺」とまで言われましたがｗ

大丈夫です。

このサイトは皆さんに何も求めておりません。
書いた内容が間違っているかもですが、それは個人の考え・諸説ありますということで、平にご容赦頂きたく。m(_ _)m

ひょっとしたら、Chromeなんかだと「いつもと違う証明書」ということでエラーになるかも...。
その時は、以下の手順で解消できます。

① chrome://net-internals/#hsts にアクセス
②「Delete domain security policies」のところで、当サイトのドメイン「grnbbs.mydns.jp」を入力し、「Delete」ボタンをクリック
③ 当サイトに再度アクセス

これで、このエラーを解消できるはずです。