はまりかけたが、このサイト「Configuring Gmail POP on Lotus Notes」で救われた。感謝と敬意を表して、日本語意訳とコメントを付記します。私のノーツは英語表記ですので、その日本語訳が変かも。ご注意ください。
1.POP専用のノーツDBを作成
訳注: GmailをWebメールとしてのみ使用している場合、
すでに多数のメールがサーバに溜まっているわけで、
ノーツの通常のメールとは別にしておくと良いかも。
2.ノーツのローカルアドレス帳で、Gmail専用の受信用、送信用の二つのアカウントを作成
名前は任意でよい。この二つのアカウントの設定が重要。内容は以下の通り。
2-1. Gmail受信用のアカウント
a. アカウント名 = 適当でよい
b. アカウントサーバ = pop.gmail.com
c. ログイン名 = Gmail email address 例、taro@gmail.com
d. パスワード
e. プロトコル = POP (SSL Enabled)
f. 専用ロケーション = 特に何でもかまわないが、Domionoとは別に
専用ロケーションを作っておくと、無駄なトラフィックを発生しない利点も。
2-2. プロトコル設定タブ
特に何でも良い
2-3. 詳細タブ ... 最重要
a. ポート番号 995
b. SSLサイト証明書を受け入れる = はい
多くの記事で「いいえ」を選ぶように、と説明されているが、
「はい」で良い、とのこと。本当にその通りでした。
c. 有効期限切れのSSL証明書を受け入れる = はい
d. 要求されたらSSL証明書を送信する = いいえ
e. アカウントサーバ名をリモートサーバの証明書と照合する = 無効
f. SSLプロトコルバージョン = V3.0 with V2.0 handshake
3.保存をクリックし、保存してからExitする。
ここまでだけでも、受信に成功した。
------------------------------------------------------
訳注: ここまでで、受信だけ試すには、、、
一度ノーツを終了してから起動すると確実。
「複製と同期」アイコンをクリックし、
一覧から、「インターネットメールを受信」をクリックし、
「アクション」、「選択アプリケーションの複製」をクリック。
------------------------------------------------------
さて、インターネットメールの取込日時が、受信日時として表示される件
Configuring Notes as a POP3 e-mail client for receipt time and date
http://www-01.ibm.com/support/docview.wss?uid=swg21224219
に解決策が提示されている。
それによると、DeliveredDate は、メッセージが物理的にメールファイルに取り込まれた日時なのだ、とか。
受信ボックスのDate/Timeカラムについて
・デフォルト
@If(DeliveredDate != ""; DeliveredDate; PostedDate != ""; PostedDate;
@Created)
・訂正
@If(PostedDate != ""; PostedDate; DeliveredDate != ""; DeliveredDate;
@Created)
とすれば、PostedDateが受信日として扱われる。
ただし、熟考すべき、とのこと。
------------------------------------------------------
送信設定が必要だが、私は試していません。
受信との主な違いは、以下の通りで、突破可能と思われます。
・Account server name: smtp.gmail.com
・Port Number: 587 or 465 (Both are SSL port and both work)
さらに、ざっくり要約すると、、、
この後、適宜、以下実施
4.専用のロケーション文書を作成する
5.以下、ロケーション文書作成の具体例
ローカルアドレス帳で、新規→ロケーション
5-1. 基本タブで
a. ロケーションタイプ = ローカルエリアネットワーク
b. ロケーション名 = 何でもよい(i.e. Gmail)
c. インターネットメールアドレス = Gmailのアドレス
残りの項目はデフォルトのまま。
5-2. サーバタブで、
a. ホーム/メールサーバ = pop.gmail.com
残りの項目はデフォルトのまま。
5-3. ポートタブ、そのまま
※ tcpipはチェックが入っていること。
5-4. メールタブ
a. メールファイルロケーション = ローカル
b. メールファイル = My_Gmail.nsf (手順1の通りに)
c.インターネットに直接接続する場合のノーツアドレス用インターネットドメイン = gmail.com
d. 送信メール = 直接インターネットに
残りはデフォルトのまま
6.残りのタブは そのままで良い
保存をクリックして、文書を作成保存する。
新ロケーションにchangeする。Gmail設定がメールファイルにダウンロードされているのが見える。
以上
Mar 27, 2012
Mar 19, 2012
Wi-Fiの盗聴にご用心
スマートフォン購入をきっかけにWi-Fi機器を導入する方も多いだろう。Wi-Fiは有線に比べて目に見えない所に色々気をつけるべき。最近のWi-Fi APの急激な増加に伴い、セキュリティ対策の見直しも必要では? 以下、アタッカー視点での攻撃シナリオと、現状分析、対抗策を考えてみた。
------------------------------------------------------------------
■攻撃シナリオ
(a)盗聴ツールで、アカウント情報を奪取
firesheepというツールで、本人になりすまして悪事を尽くす
例、銀行アカウントを悪用。Social Networkに書き込み、等
(b)偽のAPによる個人情報奪取 or 不正プログラムインストール
攻撃用dnsにより、攻撃用サイトに誘導
(c)ターゲットのMACアドレスを取得
広告サイトや検索エンジンに、アクセスし、
ターゲットの嗜好をさらに深く調査・分析。
------------------------------------------------------------------
■前述firesheepを使ってみた
(1)まずダムハブ下で、雰囲気を試してみた。
・2012.3月現在で、全てのコンテンツがHTTPS化されている
FaceBookや、Twitterに対しては、リスクは低そう。
(以前は、認証を終えればHTTPだったので、
個人情報筒抜けだったと思われる)
・New York Timesは成りすまし可能。
・Yahoo.comは危うい所が残っていそう。
・今度は、手元のWi-Fiルータ(Buffalo製)でFireSheepを使ってみた。
どうやら、最近のWi-Fiルータは対策済みで、
接続ユーザの情報が駄々漏れという訳では無さそう。
・手元でパスワード不要な偽の(SSID共通の)Wi-Fi APを設定してみた。
PCの場合は、すでに正規APのプロファイル登録済みなら、
パスワード不要な偽APを「おっ、いつものSSID」とクリックしても
認証エラーになった。
bit.ly
Cisco
CNET
Dropbox
Enom
Evernote
Facebook
Flickr
Foursquare
GitHub
Google
Gowalla
Hacker News
Harvest
Windows Live
New York Times
Pivotal Tracker
ToorCon: San Diego
Slicehost SliceManager
tumblr.com
Twitter
Wordpress
Yahoo
Yelp
しかも「今後のバージョンアップで対応するサイトが増える可能性もある」との事。
Windows: Firesheep
http://codebutler.github.com/firesheep/
Mac: Cocoa Packet Analyzer
PoC(概念実証)のデモ
http://www.youtube.com/watch?v=EgnKALSgy5Y
■Toolの機能
・パケット解析≒盗聴
HTTPのみ可
HTTPS盗聴は不可
・成りすまし
セッションハイジャック。
本人がログアウトしたら、セッションを閉じるように設計・管理されている
サーバでは、ログアウト以降の成りすましは不可と思われる。
・参考
http://www.security.gs/magazine/security/2010/11/20/story_3232/
■使用の前提環境(推定)
・有線&ダムハブ環境化や、
・Wi-Fiフリースポット (L2で、ダムハブに接続しているのと同レベルの管理
状態)。
・以前話題になった「 WEP解読
http://webdirector.livedoor.biz/archives/51758864.html
http://gigazine.net/news/20081013_wep_morii/
」とは別物で特にそんなことはやっていないと思います。
------------------------------------------------------------------------
■対策
・古いWi-Fi AP(Wi-Fi親機)は使わない。
今回、評価したAPは、情報を漏らさない対策済み、と思われる。
古いWi-Fi APは、接続した機器の情報を漏らしているかも。
・Wi-Fi APのSSID、パスワード(鍵)の設定見直し
ググって、所属組織やメーカが如実に分からない、長いものに。
SSIDはステルス設定して、攻撃者から隠蔽する。
・信頼できないWi-Fiフリースポットは使わない。
特に、暗号化・パスワードの無いAPには接続しない。
キャリアを騙る鍵マークの無いAPに出くわしたら
詐欺専用APと思って良いかも。
・エンドツーエンドの暗号化を徹底する。
○スマートフォンでWi-FIを使う場合、
一旦、自宅or勤務先のVPNに接続し、
そのVPN経由でWebアクセスする。
そうしたVPNに接続した上で、外部に接続すれば
通信の安全性はずっと良くなる。
○HTTPSを使う。
HTTPSを強制するオプションやアドオンを活用する。
(執筆段階の2011年に HTTPSを使わないサイトも少なくなかった。
現在、TwitterやFaceBookはコンテンツ配信も常時HTTPSの模様)、
※ HTTPSなら盗聴に強いかというと疑問符が付く。
iFilterなるセキュリティソリューションのオプションではHTTPSをデコードしている。
また攻撃用ルータで透過型Proxyを使われればURL位は筒抜けである。
その場合はアクセス先のサーバでセッション管理にURLを用いていないことが重要。
・参考
http://jp.techcrunch.com/archives/20101025firesheep/
■その他
・Firesheepを検知&邪魔するツール
(一定の効果はあるものの、これだけでは防ぎきれないらしい)
BlackSheep
FireShepherd
・参考
http://www.security.gs/magazine/security/2010/11/20/story_3232/
・似たようなMacの盗聴ツール
Cocoa Packet Analyzer
http://d.hatena.ne.jp/paraches/20101118
このページの挿絵・説明が、この手のツールの説明として、
分かりやすいです。
■その他の その他
・iPhoneの盗聴ツール登場
http://www.itmedia.co.jp/news/articles/0812/19/news026.html
・無線LANのセキュリティ対策
http://www.geocities.jp/hibiyank/mobile/sekyu/seku004.htm
//
------------------------------------------------------------------
■攻撃シナリオ
(a)盗聴ツールで、アカウント情報を奪取
firesheepというツールで、本人になりすまして悪事を尽くす
例、銀行アカウントを悪用。Social Networkに書き込み、等
(b)偽のAPによる個人情報奪取 or 不正プログラムインストール
攻撃用dnsにより、攻撃用サイトに誘導
(c)ターゲットのMACアドレスを取得
広告サイトや検索エンジンに、アクセスし、
ターゲットの嗜好をさらに深く調査・分析。
------------------------------------------------------------------
■前述firesheepを使ってみた
(1)まずダムハブ下で、雰囲気を試してみた。
・2012.3月現在で、全てのコンテンツがHTTPS化されている
FaceBookや、Twitterに対しては、リスクは低そう。
(以前は、認証を終えればHTTPだったので、
個人情報筒抜けだったと思われる)
・New York Timesは成りすまし可能。
・Yahoo.comは危うい所が残っていそう。
・Yahoo.comは、メール履歴のプルダウンを、HTTPS化すべき。
でないと、メールのタイトルや送信者くらいなら、
容易に奪取される恐れあり。
・プルダウンメニューから適当なメールをクリック。
さすがにHTTPS化されている、メールの内容までは搾取できず
HTTPSでのログインを求められた。
・Gmailは完全にHTTPS化されており、
メール内容を盗聴される訳ではないようだ。
どうやら、最近のWi-Fiルータは対策済みで、
接続ユーザの情報が駄々漏れという訳では無さそう。
・手元でパスワード不要な偽の(SSID共通の)Wi-Fi APを設定してみた。
PCの場合は、すでに正規APのプロファイル登録済みなら、
パスワード不要な偽APを「おっ、いつものSSID」とクリックしても
認証エラーになった。
※ 備考
今回テストしたのは、firesheepで盗聴、なりすましが可能とされるサイトのごく一部。
「HTTPセッションハイジャックを実行できるFiresheep登場」(マイナビニュース 2010/10/26)によると、盗聴、成りすまし可能サイトは次の通り。
Amazon.com
Basecampbit.ly
Cisco
CNET
Dropbox
Enom
Evernote
Flickr
Foursquare
GitHub
Gowalla
Hacker News
Harvest
Windows Live
New York Times
Pivotal Tracker
ToorCon: San Diego
Slicehost SliceManager
tumblr.com
Wordpress
Yahoo
Yelp
しかも「今後のバージョンアップで対応するサイトが増える可能性もある」との事。
------------------------------------------------------------------
■盗聴ToolWindows: Firesheep
http://codebutler.github.com/
Mac: Cocoa Packet Analyzer
PoC(概念実証)のデモ
http://www.youtube.com/watch?
■Toolの機能
・パケット解析≒盗聴
HTTPのみ可
HTTPS盗聴は不可
・成りすまし
セッションハイジャック。
本人がログアウトしたら、セッションを閉じるように設計・
サーバでは、ログアウト以降の成りすましは不可と思われる。
・参考
http://www.security.gs/
■使用の前提環境(推定)
・有線&ダムハブ環境化や、
・Wi-Fiフリースポット (L2で、ダムハブに接続しているのと同レベルの管理
状態)。
・以前話題になった「 WEP解読
http://webdirector.livedoor.
http://gigazine.net/news/
」とは別物で特にそんなことはやっていないと思います。
------------------------------------------------------------------------
■対策
・古いWi-Fi AP(Wi-Fi親機)は使わない。
今回、評価したAPは、情報を漏らさない対策済み、と思われる。
古いWi-Fi APは、接続した機器の情報を漏らしているかも。
・Wi-Fi APのSSID、パスワード(鍵)の設定見直し
ググって、所属組織やメーカが如実に分からない、長いものに。
SSIDはステルス設定して、攻撃者から隠蔽する。
・信頼できないWi-Fiフリースポットは使わない。
特に、暗号化・パスワードの無いAPには接続しない。
キャリアを騙る鍵マークの無いAPに出くわしたら
詐欺専用APと思って良いかも。
○スマートフォンでWi-FIを使う場合、
一旦、自宅or勤務先のVPNに接続し、
そのVPN経由でWebアクセスする。
そうしたVPNに接続した上で、外部に接続すれば
通信の安全性はずっと良くなる。
○HTTPSを使う。
HTTPSを強制するオプションやアドオンを活用する。
(執筆段階の2011年に HTTPSを使わないサイトも少なくなかった。
現在、TwitterやFaceBookはコンテンツ配信も常時HTTPSの模様)、
※ HTTPSなら盗聴に強いかというと疑問符が付く。
iFilterなるセキュリティソリューションのオプションではHTTPSをデコードしている。
また攻撃用ルータで透過型Proxyを使われればURL位は筒抜けである。
その場合はアクセス先のサーバでセッション管理にURLを用いていないことが重要。
・参考
http://jp.techcrunch.com/
■その他
・Firesheepを検知&邪魔するツール
(一定の効果はあるものの、これだけでは防ぎきれないらしい)
BlackSheep
FireShepherd
・参考
http://www.security.gs/
・似たようなMacの盗聴ツール
Cocoa Packet Analyzer
http://d.hatena.ne.jp/
このページの挿絵・説明が、この手のツールの説明として、
■その他の その他
・iPhoneの盗聴ツール登場
http://www.itmedia.co.jp/news/
・無線LANのセキュリティ対策
http://www.geocities.jp/
//
Subscribe to:
Posts (Atom)