私が歌川です

@utgwkk が書いている

洞窟の中で高校の予習をしていたら、今日の授業の教科書をぜんぜん持ってきていないことに気づいて、親に持ってきてもらうかどうか悩んでいた。自転車で往復すると時間がかかる。

定期的に忘れ物をする夢を見る。

GitHub Actionsを使ったDDoSに巻き込まれた

事例集です。

きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた。PR出すところを間違えたのかな、と思って見てみたがどうも様子がおかしい。

  • prog という名前のバイナリファイルを置いている
  • .github/workflows/ci.yml*1の中身をガッと書き換えている
    • on: [pull_request] でworkflowを起動している
    • 20並列でjobが走るようにmatrixを設定している
      • fail-fast: false なので、どれか1つのmatrixが失敗しても他のジョブは続行される
    • base64 encodeした文字列をdecodeしてevalしている
      • ドメインの名前解決を行ったあと ./prog を実行するコマンドにdecodeされた
  • PRをめちゃくちゃな回数closeしてreopenしている
  • PRを出したユーザーではなく、リポジトリのオーナーがcommitしたかのようにcommit logを偽装している

走ってるworkflowリストを見にいったらめっちゃenqueueされている!! ひとまず当該PRを出してきたユーザーをブロックして、enqueueされたworkflowを全部キャンセルした。

当該ユーザーのリポジトリ一覧を見ると、めちゃくちゃforkして同様のPRを出しまくっている*2。これはいかんなーと思ってabuse reportを書いて送信した。

他の人は認識してないのか、とちょっとTwitterを検索してみると、GitHub ActionsがDDoSに使われているという @github へのメンションがあった。

これに対してGitHubの中の人が反応していた。

どうやら状況を認識されたようで、中の人の反応から数十分ぐらい待ったら当該ユーザーのアカウントが消えた。

リプライツリーには、このリポジトリのスクリプトを使って攻撃を仕掛けているという報告もあった。片っ端からpublicなリポジトリを見つけてはforkしてPRを作りまくるというのをやっていたようだ。


GitHub Actionsについてちょっと考えてみると、任意コードをいくらでも並列に実行できる環境があちこちに転がっているということになって、攻撃者にとっては魅力的ではありそう。そういう使い方をしないでほしい。

しかし、生きてるといろいろありますね。

*1:テストを走らせるworkflow YAML

*2:最後に見たときは250個ぐらいforkしてた

ゲーミングアイコン

無彩色ベースだと思ったよりゲーミング感が出ない。

f:id:utgwkk:20201201150532p:plain

.gaming {
  animation: 0.5s infinite gaming;
}

@keyframes gaming {
  0% {
    filter: hue-rotate(0deg);
  }
  50% {
    filter: hue-rotate(180deg);
  }
  100% {
    filter: hue-rotate(360deg);
  }
}

まちカドまぞく6巻発売まで

まちカドまぞく (6) (まんがタイムKRコミックス)

まちカドまぞく (6) (まんがタイムKRコミックス)

楽しみですね。

自粛生活さすがに飽きてきた。日々の楽しみ、生きる喜びが失われている。新しい生活様式に身体が適応できていないと感じる。

リモート飲み会みたいなのにはぜんぜん参加してない。普通の飲み会と同じぐらい満足できる体験を得られた試しがなくて、なんか疲れる。家で飲酒する気にもなれない。日曜日に4週間ぶりにビールを飲んでいて、以前では考えられないようなペース感になっている。

こういう調子で平日は仕事をして、土日はぼうっとするぐらいしかできることがなくて、余計にすり減っている気がする。

電子メールというRSSフィードリーダー

RSSフィードに更新があったら電子メールを送信するのは、2021年ならIFTTTで完結する。Subscribe to any RSS FeedというAppletが提供されているので、ポチポチ設定したら完了する。自分でAppletを作ってもよい。

IFTTTのサービス絞り込み画面は、クエリに対して単語ごとに前方一致でサービスを絞り込む。なので mail ではなく email と打たないと電子メールが出てこなくて、対応していないのかと最初は勘違いしてしまった。

10年前には、こういうことをするWebサービスが登場してニュースサイトに取り上げられていた。

japan.cnet.com

Firefoxにはライブブックマークといって、ブラウザのブックマーク欄でRSSフィードを購読する機能があったけど、ちょっと前に廃止されていた。

2018 年 12 月: Firefox の組み込みフィードリーダーとライブブックマークは、Firefox バージョン 64 以降、削除されました。

support.mozilla.org


Web漫画の更新に追いつくためにこのような仕組みを導入することにした。更新を自分から追いかけるのが億劫なので、向こうから通知されてほしい。フィードリーダーを読みに行くのも面倒なので、普段使っているところに流れてほしい。