テクニカル諏訪子

【０７６】乗換 1.0.2登場

2023-10-23T16:00:00Z

乗換って何？

乗換はCLIでの路線情報を確認ツールです。
Yahooでスパイウェアが多すぎるため、CLI用のフロントエンドを作りました。

変更

ヤフー社はHTMLをちょっと更新されたから、乗換を修正する事が必要となった

ソースコード

Gitler
Codeberg
Notabug
Disroot

ダウンロード

リリースページ
 ソースコード
 バイナリー

以上

【オワコンテック】spliti 1.1.2登場

2023-10-23T00:00:00Z

splitiって何？

splitiはMixiのフェイクニュース部分向けプライバシーUIです。

変更

投稿内の画像もプロクシー化
投稿内の画像はレスポンシブに

ソースコード

Gitler

公式インスタンス

https://mixi.owacon.moe/

以上

【PostmarketOS】自分のレポジトリを作り方

2023-10-15T00:00:00Z

半年前に言った通り、あたしのパソコンでのLinuxを使用歴が非常に長いですが、スマホでの使用歴はそれ程長くないのです。
2020年にはMan(ko)jaroを使用していましたが、毎回パッケージの更新後に度々問題が生じた為、Mobian（PinePhone用Debian）に切り替えました。
Mobianは2022年まで使用していましたが、２年経ってもLinuxスマホの進歩があんまなかった為、再びPixel 3でGrapheneOS（Google非依存のAndroid）に戻りました。
しかし、2023年10月現在、ついに大きな進展が見られる様になった為、PinePhoneを処理して、PostmarketOSを試してみたところ、Androidを使用する意欲がなくなりました。

ちなみに、PostmarketOSはスマホ専用Alpine Linuxベースのディストリビューションです。

レポジトリの作り方

初回のみ

以下のステップは初回だけ実行して下さい。
まず、必要なツールをインストールします。

doas apk update
doas apk add alpine-sdk
doas addgroup $(whoami) abuild
doas reboot

再起動後、新しいディレクトリと鍵ペアを生成して下さい。

mkdir -p ~/.local/src/repo
abuild-keygen -a -i

新しいパッケージを作成する

次のステップは、APKBUILDファイルを作成する事です。

cd ~/.local/src/repo
mkdir urloli
cd urloli
nvim APKBUILD

例：

# Maintainer: Suwako Moriya <suwako at 076 dot moe>
pkgname=urloli
pkgver=2.2.0
pkgrel=1
pkgdesc="$pkgname"
url="https://076.moe"
arch="all"
license="GPL"
source="https://076.moe/repo/src/$pkgname/$pkgname-$pkgver.tar.gz"
makedepends="go"
options="!check !strip"

package() {
  mkdir -p $pkgdir/etc/urloli $pkgdir/usr/bin $pkgdir/etc/init.d $pkgdir/www/active/urlo.li
  mv -i config.json $pkgdir/etc/urloli/config.json
  make
  mv urloli $pkgdir/usr/bin/urloli
  curl https://076.moe/repo/init/openrc/init.d/urloli > $pkgdir/etc/init.d/urloli
  mv view $pkgdir/www/active/urlo.li
  mv static $pkgdir/www/active/urlo.li
  chmod +x $pkgdir/etc/init.d/urloli
  chmod +x $pkgdir/usr/bin/urloli
  echo "Change the domain name in \"/etc/$pkgname/config.json\"."
}

URLロリはGo以外従属ソフトがありませんが、Goはコンパイル時だけで必要ですので、「makedepends」に追加しました。
実行するには必要であれば、「depends」に追加して下さい。

注意：PostmarketOSやAlpineで、「ninja」をインストールする場合、apk add ninjaではなくapk add samuraiを使用して下さい。

次は「sha512sum」を生成し、ビルドを行って下さい。

abuild checksum
abuild

Alpineではパッケージの署名が必要ですが、PostmarketOSでは自動で署名される為、これは不要です。

レポジトリサーバーの準備

次のステップは、サーバーを準備です。
サーバーはOpenBSDの場合：

doas nvim /etc/httpd.conf

...
server "076.moe" {
  listen on * port 443 tls
  tls certificate "/etc/ssl/076.moe.crt"
  tls key "/etc/ssl/private/076.moe.key"
  root "/htdocs/076.moe/www"
  directory index "index.html"
  location "/repo/*" {
    directory auto index
  }
  location "/.well-known/acme-challenge/*" {
    root "/acme"
    request strip 2
  }
}

server "www.076.moe" {
  listen on * port 443 tls
  tls certificate "/etc/ssl/076.moe.crt"
  tls key "/etc/ssl/private/076.moe.key"
  block return 301 "https://076.moe$REQUEST_URI"
}

server "www.076.moe" {
  alternative { 076.moe }
  listen on * port 80
  block return 301 "https://076.moe$REQUEST_URI"
}

server "l3nbzyxgrkmd46nacmzf2sy6tpjrwh4iv3pgacbrbk72wcgxq5a.b32.i2p" {
  listen on * port 8450
  root "/htdocs/076.moe/www"
  directory index "index.html"
  location "/repo/*" {
    directory auto index
  }
}

server "7dt6irsmfvbrtgn4nuah56kky6mvr472fbwwaltuxpf26qdqkdhfvnqd.onion" {
  listen on * port 8500
  root "/htdocs/076.moe/www"
  directory index "index.html"
  location "/repo/*" {
    directory auto index
  }
}
...

doas mkdir -p /var/www/htdocs/076.moe/www/repo/alpine
doas chown -R $(whoami):$(whoami) /var/www/htdocs/076.moe
doas rcctl restart httpd

パッケージを公開

公開鍵をアップロードした後、パッケージを公開して下さい。

rsync -rtvzP ~/.abuild/*.rsa.pub (君のIPアドレス):/var/www/htdocs/076.moe/www/repo/alpine
cd ~/packages
rsync -rtvzP repo (君のIPアドレス):/var/www/htdocs/076.moe/www/repo/alpine

レポジトリの確認

最後のステップは、自分のパッケージをインストールする事です。

cd /etc/apk/keys
doas wget https://(ドメイン名)/repo/alpine/(.rsa.pubのファイル名)
cd ..
doas nvim repositories

http://mirror.postmarketos.org/postmarketos/v23.06
http://dl-cdn.alpinelinux.org/alpine/v3.18/main
http://dl-cdn.alpinelinux.org/alpine/v3.18/community
http://(ドメイン名)/repo/alpine/repo # これを追加して下さい

doas apk update
doas apk add urloli

以上

【オワコンテック】spliti 1.1.1登場

2023-09-09T00:00:00Z

splitiって何？

splitiはMixiのフェイクニュース部分向けプライバシーUIです。

変更

YouTube動画があれば、オワコンYouTubeに変更させる様に
サムネイルがなければ、getimg()関数をす部に終了する様に
もっと小さいバグを修正

ソースコード

Gitler

公式インスタンス

https://mixi.owacon.moe/

以上

【PHP】正しい連絡フォームの作り方（クライアント側をぜったいに信用するな！！）

2023-08-04T00:00:00Z

問題

現在の「モダン」ウェブ開発で、連絡フォームはJavascriptで制御されていますが、これは大きなリスクがあります。
その理由について、直ぐに説明します。

以下のスクショをご覧いただいたら、何が問題は何だと思いますか？

正解は：送信ボタンは<form>タグの外にある事です。
これでは、Javascriptを無効にした場合、送信ボタンをクリックする事が出来ません。

このフォームを送信する為には、この送信ボタンをフォーム内に移動し、type="button"をtype="submit"に変更する事で、Javascriptなしでもフォームを送信する事が可能になります。
そんな感じ：

そうして、入力画面で「required=""」というパラメータがあり、これによりJavascriptが無効であってもフィールドが入力されているかどうかを確認できます。
例：

しかし、このパラメータを削除すると、どのような事態が起こると思いますか？
正解はこちら：

また、確認画面ではフォームが<input type="hidden" />タグを沢山含んでいます。
その中の「value=""」部分を変更する事が可能です。
これにより、MySQLインジェクションも可能となります。

解決策

上述の問題を解決する為には、サーバー側でのチェックが必要です。
勿論、クライアント側とサーバー側の両方でチェックを行う事も可能です。

例として、PHPの場合を紹介します（PHPを使用するフォームが多い為）：

<?php
  session_name("formvals");
  session_start([
    "cookie_httponly" => true,
  ]);

  if (empty($_SESSION["csrf_token"])) $_SESSION["csrf_token"] = bin2hex(random_bytes(32));
  if (!isset($_SESSION["step"])) $_SESSION["step"] = 1;
  $errmes = [];
  $reqvals = [
    "name" => $_SESSION["name"] ?? "",
    "kana" => $_SESSION["kana"] ?? "",
  ];
  $optvals = [
    "url" => $_SESSION["url"] ?? "",
  ];

  if ($_SERVER["REQUEST_METHOD"] == "POST") {
    if (!hash_equals($_SESSION["csrf_token"], $_POST["csrf_token"])) {
      die("不正なCSRFトークン");
    }

    if ($_SESSION["step"] == 1) {
      foreach ($reqvals as $k => $v) {
        $_SESSION[$k] = filter_input(INPUT_POST, $k, FILTER_SANITIZE_STRING);
        if ($_SESSION[$k]) $reqvals[$k] = $_SESSION[$k];
        else $errmes[] = $k."をご入力下さい。";
      }

      foreach ($optvals as $k => $v) {
        $_SESSION[$k] = filter_input(INPUT_POST, $k, FILTER_SANITIZE_STRING);
        $optvals[$k] = $_SESSION[$k];
      }

      if (empty($errmes)) $_SESSION["step"] = 2;
    }
    else if ($_SESSION["step"] == 2) {
      $_SESSION["step"] = 1;
      session_destroy();
      header("Location: /success.html");
      die();
    }
  }
  else {
    $_SESSION["csrf_token"] = bin2hex(random_bytes(32));
    $_SESSION["step"] = 1;
  }
?>

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8" />
    <title>連絡フォーム</title>
  </head>
  <body>
<?php
  if ($_SESSION["step"] == 1) {
    if (count($errmes) != 0) {
?>
    <ul style="font-width: bolder; color: #f00; list-style: none;">
<?php
      foreach ($errmes as $e) {
        echo "<li>".$e."</li>";
      }
?>
    </ul>
<?php
    }
?>
    <form method="POST" action="/contact.php">
      <input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
      <table>
        <tbody>
          <tr>
            <td>お名前 (必須):</td>
            <td><input placeholder="山田 太郎" required="" name="name" type="text" value="<?= $reqvals["name"] ?>" /></td>
          </tr>
          <tr>
            <td>お名前 (かな) (必須):</td>
            <td><input placeholder="やまだ たろう" required="" name="kana" type="text" value="<?= $reqvals["kana"] ?>" /></td>
          </tr>
          <tr>
            <td>御社又は関連サイトのURL:</td>
            <td><input placeholder="https://076.moe/" name="url" type="text" value="<?= $optvals["url"] ?>" /></td>
          </tr>
        </tbody>
      </table>
      <button>確認画面へ</button>
    </form>
<?php
  } else if ($_SESSION["step"] == 2) {
?>
    <form method="POST" action="/contact.php">
      <input type="hidden" name="csrf_token" value="<?= $_SESSION['csrf_token'] ?>">
      お名前 (必須): <?= $reqvals["name"] ?><br />
      お名前 (かな) (必須): <?= $reqvals["kana"] ?><br />
      御社又は関連サイトのURL: <?= $optvals["url"] ?><br /><br />
      <button>送信する</button>
    </form>
<?php
  } else {
?>
    <p>不明なエラー。</p>
<?php
  }
?>
  </body>
</html>

結果：

ねぇねぇー！
簡単でしょー！

以上