こんにちは。ゆーろんです。 皆さんはインターネットをプライバシやセキュリティに関して普段どれくらい意識して使用していますか。 多くの人はMicrosoftやGoogleの言いなりにアカウントを作成し様々なアプリケーション/ハードウェアを連携させて利用していると思います。 今回はGAFAをはじめとする巨大Tech企業やISP/サーバ運営者、国家権力による過度な情報収集/プライバシーの侵害に反抗すべく、インターネットを可能な限り匿名/安全に使用する方法をまとめたいと思います。 目次 インターネットが匿名ではない理由 インターネットを匿名化利用するための技術 VPN トラッキング防止ソフトウェア 匿名化ネットワーク アンチ情報収集主義と分散型サーバシステム 参考資料 インターネットが匿名ではない理由 インターネット上での活動は私たちが思っている以上に匿名ではありません。 多くの人々は、インターネットを利用する際に自分の個人情報が守られていると信じていますが、実際には様々な方法で情報が収集されています。 例えば、ウェブサイトはクッキーやトラッキング技術を使用してユーザーの行動を追跡し、広告主やデータブローカに販売されることがあります。また、SNSや各種Webサービスへの投稿は、特定のユーザーを特定する手がかりとなることもあります。 またISPやサーバ運営者は、ユーザがどこのIPアドレス/URIにアクセスしたかを常に記録し続けています。 一般的にこの通信ログの保存期間は3か月から半年と言われていますが、実際のところはわかりません。 これは通信事業者やサーバ管理者にプライバシーを侵害され続けているという見方をすることもできます。 (※ 当ウェブサイトでは過去3か月分のアクセスログを保管し、それ以前は破棄しています。) 日本において、憲法第21条第1項で通信の秘密を保障を明示していますが、警察組織をはじめとする国家権力が腐敗/汚職蔓延し、権力による拡大解釈をした際に傍受される可能性は否めません。 個人的な政治哲学を少し話すと、3権(立法,行政,司法)/官僚組織の腐敗/既得権益化による暴走は、日本を含む世界中の多くの国家ですでに起きていると見ています。もはや国家は市民/国民の安全を守り切れているとは言えません、だからこそ個人でプライバシーやセキュリティに関する意識を高め続けなくてはなりません。 インターネットを匿名化利用するための技術 ここでインターネットを匿名にするためのテクノロジーをいくつか紹介します。 VPN VPN（Virtual Private Network）は、ユーザーのインターネット接続を暗号化し、別のサーバーを介してルーティングすることで、プライバシーを保護する技術です。 これにより、ユーザーのIPアドレスをサーバ管理者から隠すことができ、地理的制限を回避することも可能となります。 ただし、VPNを使用しても完全に匿名になるわけではなく、VPNプロバイダーがユーザーデータを記録する可能性があるため、信頼できるサービスを選ぶことが重要です。 ノーログポリシーで信頼性/評判の高いVPNサービスは以下の通りです。 NordVPN ProtonVPN MullvadVPN トラッキング防止ソフトウェア トラッキング防止ソフトウェアは、ウェブサイトによるユーザーの行動追跡を防ぐためのツールです。 これらのソフトウェアは、クッキーやスクリプトをブロックし、個人情報が収集されるリスクを軽減します。　トラッキング防止機能をもつソフトウェアには以下のようなものがあります。 ブラウザの拡張機能 Privoxy AdGuard U-Block Origin ブラウザ Brave LibreWolf トラッキング防止検索エンジン DuckDuckGo メッセージアプリ Signal Session 匿名化ネットワーク Tor（The Onion Router）やI2Pをはじめとする匿名ネットワークは、ユーザーの通信を複数のノードを経由させて暗号化し、その結果として元のIPアドレスを隠す仕組みが実装されています。 これにより、高いレベルの匿名性が提供される一方で接続速度が遅くなることが多くあります。また、一部のウェブサイトではTorからのアクセスを制限している場合もあります。 こうした場合は、VPN over Torと/Proxy over Torを利用することで回避ができます。 その機能に対応している有名なVPNサービスにはAirVPNがあります。 AirVPN - The air to breathe the real Internet - AirVPN AirVPN

お久しぶりです。ゆーろんです。 最近仕事が忙しくてなかなか投稿できていませんでした。 今回は大規模にWebサイトの構成自体を変更したので、お知らせという形とともにサイトの構成に使用したHugoに関して紹介したいと思います。 なおこの記事や新しいWebサイトの公開自体は2024年12月30日くらいになっていると思います。 目次 Hugoとは WordpressとHugoの比較 結論 Hugoとは HugoはGo言語で書かれた静的サイトジェネレーターです。 WindowsではGit,Chocolateryの環境があれば導入することが可能で、非常に軽量でありHTMLやCSS,JSの理解があればテーマの改善も非常にしやすいです。 The world’s fastest framework for building websites The world’s fastest framework for building websites 主に以下のような特徴があります。 静的サイト生成 CLI/Gitによる制御 Markdownをサポート

みなさんこんにちは、ゆーろんです。 今回はLAN全体を広告ブロックできるDNSサーバであるPi-holeをRaspberrypi zero 2 Wを用いて構築してみましたので、その手順を紹介したいと思います。 これによりサイトに表示されるバナー広告などが表示されなくなることが見込めます。 なお残念ながらYoutubeの広告はアルゴリズムが特殊なため広告ブロックはそのままではされません。 とは言っても通常のサイトは快適に見れるようになるのでLAN自体で広告ブロックをするのはよい選択だと思います。 クライアントのブラウザに個別に広告ブロックの拡張機能(u-block originなど)を入れる必要もなくなります。 今回の記事では主に構築方法と簡単な設定方法を紹介していきたいと思います。 目次 構築環境 Pi-holeのインストール DNSの指定 WEB GUIの設定 設定上の注意点 DMZにPiHoleを設定している場合 ローカルDNSを設定する 構築環境 筆者の構築では以下機材を用意しました。 Raspberry Pi zero 2 W microSD Card 16GB以上 USBtype-b LAN コネクタ Raspberry Pi zero 2 wケース 電源ケーブル USBtype-b LAN コネクタ を用意した理由は有線経由でLANに接続するためです。 WIFI経由でも接続できますが、コリジョンがないため有線の方が安定しやすいと言えます。 Pi-holeのインストール Pi-holeは、Raspberry Pi OS liteに追加でインストールする形になります。 Lite版はGUIがありませんので、基本的はコマンド操作になります。 他のPCからSSHで遠隔接続すると楽に操作できます。 ゆーろん Raspberry Pi OS liteに設定するユーザ名は「Pihole」以外にしてね～。さもないと競合しちゃうよ！ Raspberry Pi ImagerでRaspberry Pi OS liteをmicroSDカードに書き込んで起動する形になります。 筆者の場合設定は以下のようにしました。 microSDカードにOSをインストールできたら、Raspberry Pi zero 2 wにセットしてLANに接続します。 このとき、インストールした際の設定でIPアドレスを固定化しておくと接続が楽です。 固定化を忘れた場合はWEBからルータ設定に入ってクライアントリストを確認すると良いでしょう。

こんにちは。ゆーろんです。 最近このWEBサイトへのアクセスログを見ると、CloudFront経由ではなく直接HTTPリクエストを送って見られることが多いです。 ログを見るとKali付属のツールを使ってスキャニングを行いセキュリティホールを探すようなリクエストばかりでした。 特に海外からのスキャニングが多い…。 セキュリティ強度を上げるため、HTTP/HTTPSリクエストはCloudFrontのみから受け付けるようにすることにしました。 というわけでその方法をメモしていきます。 目次 CloudFrontのみのアクセスにする仕組み 環境 実装手順 CloudFrontの設定 Webサーバの設定 動作確認 CloudFrontのみのアクセスにする仕組み 仕組みとしては以下の通りです。 CloudFrontからオリジンへリクエストを送る際に秘密の独自HTTPヘッダを付与 オリジン側では独自HTTPヘッダが付いていればCloudFrontからのリクエストと判断し、もし付いていなければ403を返してアクセス拒否する 結構、仕組みはシンプルです。 CloudFrontの機能で「カスタムヘッダーの追加」という設定項目で自由にヘッダーを付けることができるので使用します。 環境 環境は以下の通りです。 CDN: CloudFront Webサーバ: Apache Apache以外も大体似た感じに設定できると思うので適宜読み替えてください。 実装手順 CloudFrontの設定 CroudFrontのすでに展開しているディストリビューションを編集し以下画像のように任意のヘッダと任意の文字列を追加します。 なお文字列は推測されにくい文字列を設定することをお勧めします。 これで設定を反映したらステータスがDeployedになるまで待ちます。 Webサーバの設定 Lightsailの場合は/etc/apache2/apache2.confがApacheの設定ファイルになります。 設定ファイルに以下のように追加(<と>はとってください)。 <Directory /opt/bitnami/wordpress> Require all granted AllowOverride All SetEnvIf <任意のヘッダ名> \"^<任意の文字列>\" CDNValid Order deny,allow Deny from all Allow from env=CDNValid </Directory> 動作確認 curlコマンドでオリジンへ直接アクセスし以下のようにレスポンスがあれば成功。 curl <オリジンのIPアドレス>/wordpress <!DOCTYPE HTML> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don\'t have permission to access this resource.</p> </body></html> これでHTTPリクエストでオリジンへ直接アクセスすることを禁止にできました。