ゆめみAdvent Calendar2の21日目の記事を2回目書き直しているカシマアキラです。
今回書き直そうと思ったのはどうやらNGワードが含まれており、元の文書も残してないわってことで、急遽年内に取り扱った技術や記事化できなかった内容をまとめてお送りします。
ほぼ雑記状態ですが。
NGワードで扱えなかった記事は別途自分のブログにアウトプットしなおします。
お題一覧
YubikeyとiOSのSafari
iOS13.3がリリースされて2週間経つか経たないぐらいの時間が経過しておりますが、iOS13.3はAirDrop爆撃対策の話やペアレンタルコントロールの話を多く見かけた一方でぼくの中で大変話題になったセキュリティ周りの話として、FIDOの正式対応の話です。
今年の2月ごろにYubicoよりiOSでもYubikeyが使える話が上がっており、心待ちにしていたのを覚えています。
待てど暮らせどリリースされないiOS13でしたが、iOS13.0がリリースされたときのバグの多さに辟易しながらもしかするとFIDOが使えるようになったかもしれない、と試しておりましたが、iOS13.2がリリースされてもまだ使えませんでした。(リリースノートやプレビュー版および開発版を試した方はこの辺を認識されていたかとは思います。)
しかしながら12月8日ついに13.3がリリースされ、もしかしたら使えるんじゃないか?と試したところ、GithubやDropboxの画面でセキュリティキーを使える画面の表示が!
これはぼくが待ち望んだ一番嬉しいニュースでした!
利用している範囲で使えたサービスを調べたところ、記事を書いている2019年12月21日段階では以下のサービスで利用可能です。
未対応のサービスはこんな感じで、サイト側はFIDOに対応しており、セキュリティキーの登録が行えるのですが、iOSのSafariの画面には鍵が使える表示は出てきませんでした。(対応お待ちしておりまーす!)
多分ですが、仮想通貨を取り扱っている業者や他のパスワードマネージャーのサイトも使える可能性がありますが、この辺は未確認です。
何が嬉しいってスマホやスマートウォッチから2FAのアプリを起動し、コードを覚えて入力フォームに書き込む…ということがなくなります。
物理的にUSBを差し込んで金属部分に触れるだけです。
NFC対応のGoogleのTitanやNFC対応のYubikeyならNFC経由でも認証ができるようになっているはずです。(ぼくが持っているのはYubicoのYubikey 5Ciのため未検証)
発表あってからほぼ1年経ちそうでしたが、無事リリースされてよかったです!
もっと広まれFIDO技術!(特に日本)
Firefoxの面白い進化
Firefoxは他のブラウザと異なる進化を遂げてるので好きなブラウザの一つになっています。
セキュリティとかPrivacyとかそういった面を重視しています。
例えば以下のような機能が備わっています。
多分今後も面白い技術が提供されていくのだろうと見守っています。
ブラウザ戦争が起きるので好きなブラウザを使えば良いのですが、便利機能にこんなものもあるよ、ということでご紹介も兼ねて。
ぼくは必要に応じてChromeもFirefoxもSafariも使います。IE, Edgeは…すみません。
Multi Container Tab
Multi Container Tabの便利なところは過去に取り上げるようにしました。
いまだにこれはインフラ周りで社内、社外、案件問わず、工夫のしがいのある機能だと思っています。
最近は自分のプライベートアカウントだけでなく、自社のアカウントに加え、他社のアカウントもこれで管理し始め、ブラウザのセッションを切り替える必要がなくてすごい助かっています。
プライベートウィンドウも使わなくなっていますね。(必要に応じてデバッグや挙動確認で使いますが。)
この機能に関しては、Facebookの話も絡んできます。
Firefox send
Dropboxにも同じ機能があり、Firefoxもファイルを送るための仕組みを今年リリースしました。
2年近くTest Pilot状態だったのですが、おそらくですが国内の某ファイル共有サービスで大問題になった話を受けて2ヶ月後にリリースされたのでおそらくそういうことだろう、と思っています。(Dropboxは7月なので後発組ではあるものの、同じ理由ではないかと思います。)
それぞれの違いとして、FirefoxはFirefoxのアカウントにログインすることで2.5GBまで、Dropboxはお値段次第で利用できる容量が変わってきます。
これがどう便利って自社でもデザイナーさんだけではないのですが、動画を扱ったりすることもしばしばあり、都度どうやってファイルを送ればいいですか?と聞かれることもあったため、Dropbox Transferの機能をベータ版の頃より申し込んで利用するようにしました。
昔は自社製S3を使ったアップロード転送ツールを使っていたのですが、鍵の管理と使うための有効期限管理が手間で使わなくなったかと思っています。
どちらも使い勝手は同じなので利用する手はないし、パスワードをメールの直後に送るなんて真似をしなくても良くなるので他社さんでも利用が広まるといいなぁと考えています。
DropboxやFirefoxの機能ももっと広まれ〜!
NextDNSとのパートナー提携
これはつい2,3日前の話でこの記事の話について触れたところ、NGワードが多分盛り込まれてたのかと思いますが、普通にAdvent Calendarへの公開とともに葬り去られたようです。
Gigazineで触れられていなかった、おすすめの設定などを書いていただのですが、記事内容も含めデータはもう手元にないため、後日時間を作って自分のブログにひっそり載せようと思います。
設定方法などはGigazineさんのサイトに記載されていますので参考に設定し、お試しいただければと思います。(詳細を割愛)
言えることはこの機能を使うのは利用者目線での利用となっていますが、利用者だけでなく運用者側もDNSがハイジャックされないよう各ドメイン管理企業が持っているドメインのロック機能を使うことを重要視したい内容だと思いました。
もちろん利用者側としても変なサイトへのアクセスは遮断しておきたいというのがあると思います。
どっちも健全な状態であった方が良いと考えています。
というわけで、Firefox周りの話でした。(一部別の話が混在した部分があり、失礼しました。)
Keycloakによる認証基盤
これは現在 も 検証中の内容ですが、Keycloakという認証基盤で、内容はLDAPやAD同期、FIDO、2FA、SSOなどのOauth周りを提供しています。
ということで、年内やってる暇がなかったので正月やら来年以降に試そうと考えています。
なんで必要かっていうと、OauthやLDAPを実装する社内エンジニアのことも考えての部分です。
keycloak自体の構築はすぐできたのですが、肝心のデータ部分や実際に利用する際のところがいまいちまだ試しきれていませんので、まだ社内のエンジニアにも非公開状態で運用しています(というか停止中)
最初は使ってみたときによくわかってないよねって状態だったのでだいぶ苦労したわけですが、Keycloakさえ使えれば代理の認証基盤として使えるんじゃないかな、と考えてる部分もあります。
案件にも適用できないかな、とかいろんなこと考えてます。(自社ではユーザ管理システムもお手製だったりしますので、実装の手間とかベースになるものがあったらコスト減らせないかな?とか。まあいろいろ画策しています。)
あとは社内の踏み台全部をkeycloakに紐づけてLDAPでLinuxユーザにログインできたら便利よね、とか。
鍵も自分で差し替えてって言えるし。
Keycloakは今後も情報を調べながら試す予定でいます。
ドメイン買取した話
ドメイン買取って何気にやったことなかったんですよね。
大体は、「そのドメイン取られていますので別のドメイン指定してもらえますかー?」で良かったのですが、今回ばかりは違いました。
詳細は明かせませんがドメイン買取ってこんなに大変なんだよってことを広めておきたいと思い、記事にしようかな、という感じです。
何が大変だったか
国内でのドメイン買取サイトってあるのか存じ上げないのですが、国内だったらそれほど苦労はないと考えています。
理由としては国内では日本の証明書(住民票含め、電気料金の支払い、パスポートや免許証)が通じるので、証明しやすいかと思います。
まれに海外サービスでも日本語対応しているサイトは日本の証明書でも良かったりするので、アカウント開設は簡単だと思います。
問題は完全に英語しか受け付けていないドメインの買取交渉サイトと実際にドメイン買取を行うサイトです。
詳しいサイト名は案件の都合がありますので差し控えますが、事前の知識として抑えていただきたいのですが、兎にも角にも手続きを誤るとどんどん時間が切羽詰まっていきます。
1. 用意するもの一覧
個人レベルでの話ですが、以下のものが必要になります。
- パスポート(これは国内のものでもOK)
- 英語の記載のある 公共料金の支払済証明書(間違って警察署で証明書くださーいって言っちゃったのと、英語じゃないとダメって忘れてて二回行くことになった)
個人レベルなら自分のもので全然問題ありません。
企業としてドメインを買い取る場合は経理担当者に取得しててもらった方が良いでしょう。
なんせPaypalやクレカで行けると思ったらPaypalはなぜか使えないし、自分の名前で登録した場合は自分の名前のクレカを使うこととなり、企業として支払を行うには経理担当者の名義での登録であれば良かったのですが、自分の情報で登録したため名義が違うと時間がかかるという問題になり…グダグダな感じで進めることになりました。
クレカによってはビジネス利用お断りのケースもあります。(クレカ会社に相談したら親切丁寧に、利用規約としての話を教えていただきましたが、そのためにビジネスカードがあることを話ながら気づかされました。)
では会社として買い取るために必要な内容ですが、これがさっぱりわからない部分でもあり、どういうこと?ってなっています。
- Articles of incorporation
- Certificate of Good Standing
この二つの提供を求められるのですが、ぼくはこの辺ちんぷんかんぷんでした。
というのも求められているものは分かっても期日も相まって情報不足だったためです。
企業を作るためには登記簿謄本が必要、というのはよく理解しています。
ですが、サイト自体は国内の証明書が通用しません。
ひとまず英語に書き直した登記簿謄本と日本語の登記簿謄本の二つをセットにしてpdfでお送りしましたが、社長のサインが必要ということで、???となりました。
日本ってサイン文化がないのでサインが必要と言われてもただ単に(登記簿謄本とは別に)サインしただけの紙があれば良いのか登記簿謄本に印鑑の代わりにサインすることができるのか?と言ったことやそもそも英語の登記簿謄本なんて日本国内で取れるのか?と言ったことなど情報が不足していました。
期限は1,2週間しかない中で、これら全部を成し遂げよ、と言われているので、「辛みがでかい…」と感じながらやっていたのですが、結果的にはおそらく登記簿謄本を英語にしたものは受け取れるはずである、というところまでは理解できました。
サインについてはマジで謎なので経理や可能なのかどうかを商工会所に聞くことになるのかな、と考えています。
他案件も担当している中でさすがにそんな時間は取れぬ、となり、別の手段でことなきを得ましたが、こっぴどく経理に怒られました。本当にご迷惑をおかけしすんませんでした。
久しぶり反省した部分です。
用意するものはこんな感じになります。
これら全ては個人ならサクッと用意できるのでご安心ください。
初動対応が大事だわ。。。
2. 期間
合計おそらく24日間かな?
期間は本当に短く、ドメインを買い取るのに仲介サイトがいるのですが、仲介サイトが売り手に問い合わせ、返事が来れば2週間で交渉が完了します。
もちろん連絡が来ないこともあるそうですが、連絡が来なかった場合は諦めるしかなくなります。
無事に交渉が成功した場合は別の支払サイトへ誘導されます。
別の支払サイトではアカウントが事前に作成されていたらスムーズに支払えますが、アカウントが未登録だった場合は先にアカウント登録を済ませたいのですが、メールアドレスを合わせる必要があるとかの情報も把握していなかったため、先に登録することもままなりませんでした。
1週間以内にケリをつけるため全てを迅速に済ませて支払ってしまいましょう。
きちんと対応できればすぐ終わり、ドメイン転送用のAuthコードも無事届きます。
ドメイン転送用のAuthコードを入力し、ドメイン管理会社からの報告が完了するまで、ドメイン転送が終わったというドメイン買取業者への報告は待ちましょう。
待つ理由としては先にドメイン転送が終わった報告をしてしまうことで、ドメイン販売側がAuthコードの使用を不可にするケースがあるためです。
Authコードが変わってしまうことで支払ったお金は販売元に届くのですが、ドメインは販売元のままとなり、ただお金を渡しただけになってしまいます。
ドメイン転送はAuthコードをドメイン管理会社に入力してから大体3日ぐらいで完了の通知が届いたように思います。
3. 料金
料金はいろんなところで取られます。
合計するとドメイン買取価格+ドメイン交渉料金が10$程度+銀行振り込みorクレカでの支払時に円からドル変換+ドメイン転送時にも料金が発生します。
ドメインの買取相場は3000\$から5000\$が相場らしいですが、それなら冒頭でお伝えした通り、ドメイン買い取るより違うドメインを取得した方が安いと思います。
そこまでして買いたいというケースはよっぽどの理由がない限りはクライアントからの要望であっても撥ねたほうが良い場合もありますね。
コストと労力に見合うなら別です。
それにしても、金と時間の勝負仕事だった……。
あとは特別苦労したところはありませんでしたが、ドメイン買取したいというクライアントさんがいらっしゃった時は、インフラ担当者さんや営業担当者さんは今回のぼくの経験をお伝えいただければと存じます。
まとめ
今年はかなり濃厚な一年でだいぶしんどい目にあった一年でしたが、身になった技術や知識として蓄えられたものが多かったかなーと思います。
来年はそこまで忙しくならないようコントロールしておきたいところですが、営業含めPMさんと相談しながら来年も進めて参りますので、よろしくお願いいたします。
多分年内はQiitaに記事を残さないかと思いますので、年内はお世話になりました。
良いお年をお過ごしください。
かしこ。かしこ?ぼくはカシマです。
映画(スターウォーズ)を見て、PUBG Mobileやってきまーす!(ぉぃ