WordPress5.4.2セキュリティ修正リリース   5.2.7も自動適用

 2020/6/10にWordPress5.4.2がリリースされた。これにはセキュリティ修正が含まれている。 修正 https://core.trac.wordpress.org/query?milestone=5.4.2&group=component&col=id&col=summary&col=milestone&col=owner&col=type&col=status&col=priority&order=priority

 このリリースにはセキュリティ修正のほかに強化も含んでいる。5.4系を使っているなら上げるほうがよいだろう。 5.2系は 5.2.7でとりあえずよいのか…。 5.2.6、5.2.7の修正内容は見えない感じです。

パッチはリリースしているのに、修正内容が分からないのはいまいちです..

「特別定額給付金」オンライン申請は10分ほどで完了したが、これ使える人どれくらいいるのだろう。

郵送されてくるのを待とうかと思っていたが、オンライン申請できたのでやってみた。

申請用のWebページは、「マイナポータル」 にある。仕掛けはすでにあったのですぐにWebページを開設できたのでしょう。さて、申請のほうだが、入力項目はごくわずかなので、世帯分の氏名くらいで住所等もすでに登録された情報が表示されるのでサクッと完了した。

 さて、問題はこの申請をするのに使った環境だ。e-taxで確定申告したことがあればほぼハードルはない。振込先の確証の添付ファイルをどうするかくらいでしょう。まあ、スマホで写真をとるだけで準備できるのでそれほど手間ではないでしょう。
 e-tax使ったことがない人は、今回は、オンライン申請をつかえないのではないだろうか?というのは、こういうことだ、まず一番大変なのは利用者照明用電子証明書を搭載したマイナンバーカードを取得することだ。2019年秋の話だが申請してから3ヶ月くらいかかった。いま申請すると込み合ってもっと時間がかかるのではないだろうか? オンライン申請の受付終了日は、令和2年8月18日となっているので、マイナンバーカードが届くまでにオンライン申請の受付期間が終わってしまいそうだ。
 それから、マイナンバーカードを読み込む”カードリーダ”だ、10年ほど前の機種でも利用可能だったので、入手することは難しくないかもしれない。まあ、NFC対応のスマホでも代用できるようなので、今どきはスマホを使う方法が一般的かも知れません。

 ということで、今回のオンライン申請はすでにマイナンバーカードを持っている人くらいしか使えないのではないだろうか? その辺の情報があまり報道されないのは、マイナンバーカードを普及させたいからかもしれない。しかし、申請してから受け取るまでに時間がかかるのは普及するとは本気では思っていないからかもしれない。

WordPress5.4.1リリース  セキュリティ修正を含む が … 5.2.6も自動適用された

 2020/4/29にWordPress5.4.1がリリースされました。これには7件のセキュリティ修正が含まれています。ただ相変わらず修正内容に関する情報公開がぬるい。修正のほかに強化項目も含まれているので何用のリリースなのか分かりにくい。

■5.4.1での修正内容は

 情報公開で、分かりにくいポイントはいくつかあるが、ぱっと見どれがセキュリティ修正かわからない。NVD、JVNには4/30時点では、まだ情報公開されていないようです。修正内容のほとんどはバグ作り込みが、WP5.4となっています。そして2件の修正対象のバグ作り込みバージョンは5.3となっています。 これはREST APIに関するものです。 この修正では、5.2以前のものはなさそうなので、 5.2系を使っているところは様子見でよさそう。

 REST APIの件がセキュリティ修正かどうかが気になる。 #49648はプロパティのアトリビュートが取れない問題、#49645も同様にREST APIを使ったシーンで情報が取れない問題だ。これは、セキュリティかどうかに関係なくアップデートしておいたほうがよさそうです。 アップデートするとなると気になるのは、5.4や5.4.1で強化された項目の残バグの状況です。 

■残留バグ、つぎの修正の予定は?

すでに5.4.2を作業中のようです。これも強化を含む修正で、5.1で作り込んだバグの修正も含みそうです。 

■それで、どうする?

5.4.1については、 5.3系には適用するのでよいでしょう。 5.2以前は5.4.2が出るのを待つので良いでしょう。5.2は5.2.6が自動適用されました。
それからNVDなどの情報もチェックしましょう。

■追記:5.2.6の内容は?

5.4.1の修正内容ではなく、5.4.2で作業中のテーマの更新を先行して出したようです。WordPressの修正一覧ではマイルストーン、バージョンともに5.2.6はまだ登録されていません。 修正内容もチェックしておきましょう。

WordPress5.4がそろそろリリースされそう。 セキュリティ修正は?

 2019/12/13にWordPress5.3.1 セキュリティパッチがリリースされてから、セキュリティ修正はまだないが、5.4でどうなるかちょっとみてみた。 修正内容の管理も5.4もできている。

■5.4での修正内容は

 今時点で5.4がリリースされるような状況ではない感じがする。 最悪5.4はスキップして、5.5か という感じさえする。というのは、#49685 など、マイルストーンを5.5としている。修正できたら5.4にセットしなおすのかもしれないが。。。

それから、5.3以前の作り込みバグの修正はなさそうです。いずれも5.4での問題の修正とされている。

■4/2追記:

5.4リリースされていました。
結構クローズされていない状態でリリースされているようだ。 修正内容の項目数は、先日みたときより4倍くらいに増えている。まだまだ修正中という感じですね。となると、5.4.1のリリースもすぐかもしれない。 それから、5.4での強化のいろづけが簡単にできるようになるのはよさそう。。。 でも、大きめの残バグがあるので、5.4へのバージョンアップは修正パッチが出てからにしよう。

・脆弱性

2020年もプラグインがらみの脆弱性が多数報告されている。 プラグインのほうもチェックしておかないと。。。

活動量計 T-PRO Lifesense band2 想定外の電池切れ、半年ほどで寿命??

以前に電池の持ちについてレポートした T-PRO Lifesense band2 ですが、本日想定外の電池切れが発生しました。これまでは心拍計オンでも5日ほど電池が持っていましたが今回はフル充電した翌日に切れました。

 充電しても充電されるようすがありません。最近何かし違うことをしたかと言えば、USBの口つきのコンセントをかえたことです。まさかと思いながらコンセントを交換して充電しなおしました。復活?、100%まで無事に充電できたように見えます。昨日は間違いなく100%まで充電できていたので、1日でほぼ0%になったのは謎です。とりあえず心拍計オフでどうなるか様子を見ます。問題なければ、不具合のあるUSB充電アダプタで充電すると十分に充電できていないのに100%と表示されるということになるのですが…。 なんか納得いかない挙動です。

 別の観点で、今日何か特別なことをしたかといえば、特になにもしていない。接点をショートさせるような水気への接触などは特にない。 

 再現するのか様子見です。

2020/7/7時点で、再現していません。 当時だけ違うことは「 USBの口つきのコンセント 」です。 それが原因だったということなのでしょう。

スパム対策設定の成果

先のスパム設定の成果

設定対策後1ヶ月が経過しました。 先に公開した設定で、検出できなかったスパムは0件でした。 ただ、誤検知、つまり通常の配信メールなのにスパムと判定されたメールが4件ありました。これらは、除外設定で暫定回避して誤検出を抑制しています。

正式な誤検出対策の方法

誤検出を検出されたときに1件づつ除外設定をしなければならないのは面倒です。そこで、誤検出してしまった原因を確認して、その条件を除外することとします。
 DNSの逆引きで、unknownとなった送受信ログがあるものを対象としていますが、メースシステムの送受信でDNSで名前解決をせずに動作しているメールサーバーの存在が原因でした。つまり、メールの送信元がファイアウォール内のイントラネットであって、そこから中継サーバを経てインターネットに送信されています。

普通、メールサーバならイントラネット内でもDNSで名前解決するようにシステム設計するものなのですが、それなりにインターネットサービスをしている企業であっても名前解決・逆引きできないメールサーバがいくつかあります。DNS設定くらいしておいてほしいのですが、そんなことを言っても解決できないので、対処方法を考えてみます。
  問題はイントラネット内でのUnknownですので、Unknwonが10.x.xとか192.168.xとかのイントラネットIPなら除外する回避設定を正式対処としてみます。正規表現でUnknownかつ(10.xx.xx)でも(192.168.x)でもxxxでもない場合にスパムと判定するように見直します。といっても、メーラのフィルタにこのルールを設定できるのか疑問ですが。

スパム対策設定その後

先のスパム設定の結果と追加対策

対策前の1週間: 対象のスパムなどのメール は 284通。 これは振り分け前なので一部MLも含んでいる。 半数はスパム候補として判定されマークされている。一番対策したかったのは、メーラーやSpamAssassinでスパム判定し漏れてメインのメールボックスに入ってくる新しめ?のスパムでした。 100通/週くらいありました。

対策後の1週間;メインのメールボックスに入るスパムはほぼなくなり、1週間で2,3通でした。スパム判定の下メール内訳は次の通り、
先に追加したスパム判定ルールで検出したスパム:222通。うち、97通はメーラーやSpamAssassinでスパム判定し漏れたものでした。 追加したルールで引っかからず、メーラーやSpamAssassinで検出したものは157通ありました。 
 誤判定がないとは言えませんが、誤判定してしまうような環境から送信されたメールは不要としてしまってもよいかもしれません。数はほとんどないのでどうしても必要ならホワイトリストに入れることで回避できます。 スパムに困っている人は参考にしてください。

スパムメール対策 、おや多いと思ったら設定し漏れ…

最近スパムメールが増えてきたので、設定の見直しをしてみた。いくつかのパターンに分けて対策を試みる。

fromが自分のメールアドレスに偽装されているもの

このパターンは、一目でスパムとわかるので、まとめて削除できるが、事前に何とかならないか設定方法を見直してみる。
 このパターンは、サーバーで拒否してほしい。これは、送信元IPや送信元サーバーのドメインで判断できる。しかし、ここのレンタルサーバサービスでは提供されていない。仕方ないので、メーラで受信後に自動削除してみよう。
 メーラによって設定方法や設定ができるかどうか変わりますが、以下はThunderbirdでの設定方法です。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件で”カスタムヘッダ”「Received」 に”次を含む”「.XXXX (unknown」を指定し、 動作に「メッセージ削除」を指定する。
  この設定で、 *.XXXX ドメインと語るサーバー(本当のドメイン名unknownつまりDNSで逆引きできない)から送信されたメールを削除する。

特定IPからの送信を拒否

特定IPからの送信を拒否するより、送信元のメールアドレスが自分で、送信元のIPが自分以外のものを拒否するほうが効果的だろう。このパターンも レンタルサーバサービスでは拒否方法が提供されていない。同様に、メーラーで削除設定してみよう。上と、同様に
 仕方ないので、メーラで受信後に自動削除してみよう。
 ツール→メッセージフィルタ→新規→フィルタ名を入力→条件でカスタムヘッダ「差出人」に「次を含む」・「自分のメールアドレス」とand条件で「Received」 に「次を含む」、「unknown」を指定し、 動作に「メッセージ削除」を指定する。 「Received」 に「次を含む」、「(unknown」を指定し、 動作に「メッセージ削除」を指定する。※2019/12/26更新 普通にサービスされている正式なものにも意外に送信元名が設定されていないサーバーがあるので、IP逆引きできないものに限定することにした。これだけでも半数以上のスパムを処置できそうです。

以上の設定で、かなりの数のスパムメールが減るハズ。
とりあえず、1週間くらいこれで様子を見てみよう

それってホントに電子マネー?知らないと損をする仕組み

本来、お金とは「 貨幣。金銭。また、財産。 」とか、特に知識がなくて扱えるもののはずなのですが、困ったことに電子マネーはだんだんとゆるゆるになってきて非常な危険を感じている人も多いはず。

蔓延している意外に短い使用期限

古くからあるSUICAは有効期限はありませんでした。長期間使用していないと使えなくなりますが、追加チャージすると復活するので、使用期限はないと言ってよいでしょう。しかし、最近増えつつある電子マネーやポイントカードは比較的短い使用期限が設定されています。管理データの大容量化もあってか、細かく取得が記録可能となりそれぞれの使用期限が細かく設定されています。細かい間隔でポイントの状態を確認しておかないと期限切れとなりポイントが喪失してしまいます。例えば、あるとき最短の期限を確認して、直近で喪失するものが1年後だったとしても、翌日に付加されたポイントの使用期限がその月の月末ということもありえます。損しないように込め間にチェックしないと…、なんとめんどくさい。
 いずれにしても、有効期限があって、気が付かないうちに喪失してしまうものを”お金”といってよいものだろうか? 常に気をつけておかないといけないものなんてなんと使いにくい仕組みなのだろう。

複雑すぎるポイント還元の仕組み

消費税還元のしくみ、どのような方法で、どのような仕組みで還元されるのか、何が、どのタイミングでどこに還元されるのか、個別ケースが多すぎて覚えきれない。これも、知らないうちにポイント喪失してしまう人が多数でてきそうな予感がする。たとえば、Edyの場合だけでもないかもしれないが、使ってから還元ポイントが付加されるまでに1か月くらいかかるものもあれば、もっとかかるものもありそう。そして受取期限が3か月くらいと短い。それから、コンビニ払いの分の還元がレシート上では還元される旨かかれているが、2か月以上たつのにされていないように見える..。 自販機で払った分はどうなるのだろう? ..消費税は込みのはずだが…..。 

努力の割には結局、誰も得していないような気がしてきた.. 

キャッシュレス化の推進のために 消費税還元 をやったことになっているが、得をしたのは電子化を進めている事業者?かと思われるが、現状は手数料なしで運用していて、来年6月以降で手数料を取るように切り替えるという。この電子決済を利用している事業者の話では、現在は現金と電子決済と同額に値段設定しているが、電子決済の手数料が有料になったときは電子決済の支払いでは手数料分だげ値上げするという。支払い方法によって値段が違うというのは違和感がある。しかし、通販を考えれば支払い方法によって値段が違うのはあたりまえと言えなくもない。そのように同じものに対して支払う金額が現金のほうが安いなら、現金に戻るのは当たり前にように思える。
 つまり、一見、電子決済の業者が得をしているかのように見える消費税還元も、得をする前に、敗退してしまいそうな予感がする。もしそうなってしまうなら消費税還元をうまく活用できなかった運用方法のミスと言えなくないが、、、。
 いやいや、レジの製造業者は売り上げを伸ばしていると言うかもしれないが、短期的に買い替えの時期がシフトしただけで、逆に売り上げに波ができてしまい商品サイクル的観点でロスが発生しているので、逆にコスト増になっているかもしれない。
 長期的な成長していくことを考えに抜いていないと誰も得しないものになってしまう。なんか最近そんなものばかりが目立ってしまうのはなぜだろう。

セキュリティパッチでないのに短期間でWordPress5.3.2がリリース。 5.2系のパッチは?

 WordPress5.3.2が12/18にリリースされた。 5.2.6はリリースされているかは自動適用されていないので不明。5.3.2での修正内容からは5.3.1で作りこまれた致命的なバグとわかります。これが短期間でのリリースの理由でしょう。ないことです。1件のバグ(#48145)は煮え切らない解析の結果、5.3での修正(#45821)の影響で発生していると判断して、修正を行っている。意外にPHP側に問題があり、その問題回避をしているのかもしれない。 いずれにしても、5.3.2は5.3以降に発生した問題の修正なので、これらの対処のために5.2.6がリリースされることはなさそう。  それから、 分かりにくいが5.2.5が登録されていた。  
 そのほか5.3.2リリースでは、5.3系のアップデートはこれで終わりで次は5.4とされている。なので、5.3系へのアップデートは様子見とします。
 ただ、5.3.1に上がってしまっている環境については、5.3.2にアップデートすることとします。

■それより、プラグインのパッチは?

 プラグインについては、当てられるものはパッチ適用する。