洞窟の中で高校の予習をしていたら、今日の授業の教科書をぜんぜん持ってきていないことに気づいて、親に持ってきてもらうかどうか悩んでいた。自転車で往復すると時間がかかる。
定期的に忘れ物をする夢を見る。
GitHub Actionsを使ったDDoSに巻き込まれた
事例集です。
きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた。PR出すところを間違えたのかな、と思って見てみたがどうも様子がおかしい。
- prog という名前のバイナリファイルを置いている
- .github/workflows/ci.yml*1の中身をガッと書き換えている
on: [pull_request]でworkflowを起動している- 20並列でjobが走るようにmatrixを設定している
fail-fast: falseなので、どれか1つのmatrixが失敗しても他のジョブは続行される
- base64 encodeした文字列をdecodeしてevalしている
- ドメインの名前解決を行ったあと
./progを実行するコマンドにdecodeされた
- ドメインの名前解決を行ったあと
- PRをめちゃくちゃな回数closeしてreopenしている
- PRを出したユーザーではなく、リポジトリのオーナーがcommitしたかのようにcommit logを偽装している
走ってるworkflowリストを見にいったらめっちゃenqueueされている!! ひとまず当該PRを出してきたユーザーをブロックして、enqueueされたworkflowを全部キャンセルした。
当該ユーザーのリポジトリ一覧を見ると、めちゃくちゃforkして同様のPRを出しまくっている*2。これはいかんなーと思ってabuse reportを書いて送信した。
他の人は認識してないのか、とちょっとTwitterを検索してみると、GitHub ActionsがDDoSに使われているという @github へのメンションがあった。
@github @natfriedman A button to cancel all running workflows would be kinda handy when GitHub Actions was used for some DDOS attacks
— Pascal Berger (@hereispascal) 2021年2月4日
これに対してGitHubの中の人が反応していた。
Well that sucks. Looking into it now. Did you report the user already?
— Martin Woodward (@martinwoodward) 2021年2月4日
どうやら状況を認識されたようで、中の人の反応から数十分ぐらい待ったら当該ユーザーのアカウントが消えた。
リプライツリーには、このリポジトリのスクリプトを使って攻撃を仕掛けているという報告もあった。片っ端からpublicなリポジトリを見つけてはforkしてPRを作りまくるというのをやっていたようだ。
GitHub Actionsについてちょっと考えてみると、任意コードをいくらでも並列に実行できる環境があちこちに転がっているということになって、攻撃者にとっては魅力的ではありそう。そういう使い方をしないでほしい。
しかし、生きてるといろいろありますね。
ゲーミングアイコン
無彩色ベースだと思ったよりゲーミング感が出ない。
.gaming { animation: 0.5s infinite gaming; } @keyframes gaming { 0% { filter: hue-rotate(0deg); } 50% { filter: hue-rotate(180deg); } 100% { filter: hue-rotate(360deg); } }
まちカドまぞく6巻発売まで
「まちカドまぞく」今月は休載でしたが、来月発売のコミックス第6巻の表紙ができましたので公開します!
— まんがタイムきらら編集部 (@mangatimekirara) 2021年1月28日
発売日は今月より少し早い2月25日となります、お楽しみに。 pic.twitter.com/sL07BQdTxc
- 作者:伊藤いづも
- 発売日: 2021/02/25
- メディア: コミック
楽しみですね。
■
自粛生活さすがに飽きてきた。日々の楽しみ、生きる喜びが失われている。新しい生活様式に身体が適応できていないと感じる。
リモート飲み会みたいなのにはぜんぜん参加してない。普通の飲み会と同じぐらい満足できる体験を得られた試しがなくて、なんか疲れる。家で飲酒する気にもなれない。日曜日に4週間ぶりにビールを飲んでいて、以前では考えられないようなペース感になっている。
こういう調子で平日は仕事をして、土日はぼうっとするぐらいしかできることがなくて、余計にすり減っている気がする。
電子メールというRSSフィードリーダー
RSSフィードに更新があったら電子メールを送信するのは、2021年ならIFTTTで完結する。Subscribe to any RSS FeedというAppletが提供されているので、ポチポチ設定したら完了する。自分でAppletを作ってもよい。
IFTTTのサービス絞り込み画面は、クエリに対して単語ごとに前方一致でサービスを絞り込む。なので mail ではなく email と打たないと電子メールが出てこなくて、対応していないのかと最初は勘違いしてしまった。
10年前には、こういうことをするWebサービスが登場してニュースサイトに取り上げられていた。
Firefoxにはライブブックマークといって、ブラウザのブックマーク欄でRSSフィードを購読する機能があったけど、ちょっと前に廃止されていた。
2018 年 12 月: Firefox の組み込みフィードリーダーとライブブックマークは、Firefox バージョン 64 以降、削除されました。
Web漫画の更新に追いつくためにこのような仕組みを導入することにした。更新を自分から追いかけるのが億劫なので、向こうから通知されてほしい。フィードリーダーを読みに行くのも面倒なので、普段使っているところに流れてほしい。
