海外からの不正利用を防ぐサーバ設定

こんな事ないでしょうか？

・なんだかサーバの負荷が高い
・情報がでたらめな会員登録が増えた
・決済代行からの請求額が上がった(オーソリ料）
・決済代行会社から連絡が来てお宅のサーバからクレジットカードの総当たり攻撃が来てますのような連絡を受けた。

上記の場合だと大体踏み台にされてクレカ情報の有効性チェックをやられてると想定されます。

WAFとかEBでIP制限出来ればそれで完了ですが、利用サービスによってはIP制限が出来なかったりします。

そうするとサーバ側で対応する必要が出てきます。

IP制限するならiptableかhtaccessになるかと思います。
iptableが分かる方も特に問題ないので説明省略します。



htaccessはサーバのドキュメントルートにあると思いますので、下記の様な設定を追加すればOKです。

  # REMOTE_ADDRで接続元IPが取得できますが、ロードバランサーやプロキシがあるとちゃんと取れなかったりしますので、その場合はヘッダ情報のHTTP:X-Forwarded-Forから取得しましょう。
　RewriteCond %{REMOTE_ADDR} ^192\.168\.0\.100$ [OR]
　RewriteCond %{HTTP:X-Forwarded-For} ^192\.168\.0\.100$ [OR]
  # 192.168.0.100は仮のIPなので、除外したいIPアドレスを入れてください。

  #除外したいIPを範囲で指定する場合は下記の通り途中まで記載すればOK。先頭が192.168で始まるIPを除外できます。
  RewriteCond %{HTTP:X-Forwarded-For} ^192\.168 [OR]
  #正規表現なので下記のように"^"が付いてないとIPアドレスのいずれかに192.168が入るという意味になりますので注意です。例えば100.192.168.1もヒットします。
  RewriteCond %{HTTP:X-Forwarded-For} 192\.168 [OR]

  #連続(コメント行や空行除いて)でRewriteCondを記載する時は[OR]を最後につけますが、最後は無しでOKです。
  RewriteCond %{HTTP:X-Forwarded-For} ^192\.168\.0\.100$
  #再度にRewriteRuleでどのURLの時どこに飛ばすか記載します。任意のURL(.*)の時、https://xxx.com/に302リダイレクトをするという意味です。
  RewriteRule .* https://xxx.com/ [R=302,L]

最後に上記をまとめた記載例です。

　RewriteCond %{REMOTE_ADDR} ^192\.168\$ [OR]
　RewriteCond %{REMOTE_ADDR} ^192\.167\.0\.100$ [OR]
　RewriteCond %{REMOTE_ADDR} ^192\.167\.0\.200$
　RewriteRule .* https://xxx.com/ [R=302,L]

リダイレクト先は自由ですが、他人のサイトは迷惑が掛かりますのでやめておきましょう。
自社サイトであればSorryページなんかを作って、海外のお客様はご利用できませんと記載しておけばいいと思います。

各社のノートPCキーボード配列を比較してみました

ノートPCを購入する際にキーボードの配列は意外と重要ですよね。

購入条件に下記ポイントが気になるかと思います。

左下にファンクションキーがあるのか、それともコントロールキーがあるのか？

エンターキーは小さすぎないか？

デリートキーは遠すぎないか？


それでは各社のノートPC（割とフラグシップモデル）のキーボードを見て行きましょう。

VAIO Z

左下はCtrl、Fn、Winキーの順ですね。
スペースキーが意外と短いです。
エンターやバックスペースは割と普通ですかね。
矢印キーは逆T字の配列です。

HP EliteBook Folio 1020

左下はCtrl、Fn、Winキーの順。
スペースキーはマウスパッドと同じくらい。
エンターが細くなっております。
慣れてないとエンターとバックスペースの辺りは打ち間違えそうですね。

DELL  XPS 13

左下はCtrl、Fn、Winキーの順。
スペースキーはちょっと短め。
エンターが縦に細くなっております。
右側のシフトキーが短いめですね。

Lenovo X1 Carbon

左下はFn、Ctrl、Winキーの順。
このファンクションキーの位置が自分は苦手です。。
スペースキーはちょっと短め。矢印キー付近にページアップ、ページダウンキーがあります。

キー配列以外が良い場合はキーマッピングツールなんかでキーを入れ替えるのがいいと思います。


他にもキーボードだとキーピッチ(大きさ)やキーストローク(押し込み具合)なんかも気になると思います。

購入前にはサイトでキー配列を確認してあたりを付けて、量販店で試打して決めるのが無難かと思います。

SPIKE決済がいつの間にか微妙になっていた件

メタップスのSPIKEが出た時は衝撃を受けました。

オープンベータ提供が2014年4月とかで、フリーミアム化をして話題になりましたね。

久々にSPIKEの話を聞いたらだいぶ変わったとの事だったので確認してみました。

当時のプランと今のプランを比較してみました。

まずはフリープランから

フリープラン	2014/04	2016/04
初期費用	0円	0円
月額費用	0円	0円
決済手数料	100万円/月までは無料、その後1件ごとに決済額の×4.0%+30円	10万円/月までは無料、その後1件ごとに決済額の×3.9%+30円
振込手数料	500円	500円
返金手数料	決済から3日目までは0円。それ以降は250円
対応クレカ	Visa,Master,JCB,Amex,Diners	Visa,Masterのみ
月額課金	無し

決済手数料の無料限度額が大幅に下がっておりますね。

100万円から10万円なので10分の一です。

その分手数料が0.1%下がってますが微々たるものですね。

月商100万の場合、約3万5000円＋件数×30円位が新たにコストになるイメージでしょうか。



次に対応するクレジットカードがVisa,Masterだけに減っていしまいました。

以前はJCB等他のカードが使える店舗とそうでない店舗があったようです。

特商法ページがある等信頼出来る店舗は使えたのだと思います。

利用するなら、ビジネスプレミアムにしてオプション払うしかないようです。


それにしても今までフリープランだったユーザとしては乗り換えるか検討するレベルですね。

ビジネスプレミアムの比較

ビジネスプレミアム	2014/04	2016/04
初期費用	0円	0円
月額費用	3000円	3000円
決済手数料	1,000万円/月までは無料、その後1件ごとに決済額の×2.5%+30円	1,000万円/月までは無料、その後1件ごとに決済額の×2.55~%+10円
振込手数料	500円	500円
返金手数料	決済から3日目までは0円。それ以降は250円
対応クレカ	Visa,Master JCB,Amex,Diners	Visa,Master JCB,Amex,Dinersは月5千円 3.4%+30円/件
月額課金	無し

次はビジネスプレミアムですが、手数料が微増してトランザクション料が下がった点ですね。

これは1件あたりの決済額が少なく決済量が多い店舗はお得になったようですね。

ただし、JCB,Amex,Dinersが有料月5000円になったのでその分考えると微妙な所です。

まとめ

フリープランの無料限度額が下がり、利用可能なクレジットカードが減った。
利用可能なクレカブランドを増やすのはオプション(月５千円)になった。
ビジネスプランはトランザクション料が下がって、決済量が多いとお得にはなった。


今後もどう変わっていくのか要注目です。

GoogleAnalyticsでネイキッドドメインのデータ除外する方法

社内でGoogleAnalyticsを利用しておりまして、
色々あって1トラッキングタグを複数サイト(サブドメ違い)で設定している状況です。

例えば見かけ上は同一サイトだけと一部サーバーが違うので異なるサブドメインになってたりする事はあるかと思います。

そのような時ドメイン毎にデータを見る方法は色々あるかと思います。

一番単純な方法ですと、
行動 > サイトコンテンツ > すべてのページで見たいサイトのドメインで検索するパターン

一回限りなら良いですが、毎日とか定期的に見る時に都度検索するのは面倒ですよね。

もっと良い方法はセグメントの設定ですよね。
新しいセグメントから、
　セグメント名 を設定
　条件タブで、セッション、含める、ホスト名 > 先頭が一致 > xxx.foobar.co.jp
こんな感じにすると指定のドメインだけのデータが見れる。

いや、見れない！？

そう、見れないんです。
xxx.foobar.co.jpで絞ったはずが、foobar.co.jpのデータも入ってきてしまいます。

先頭一致の意味。。

条件タブでセッション、除外する、ホスト名(ページ名でもたぶんOK) > 先頭が一致 > foobar.co.jp

上記設定で無事見れるようになりました。

SmartNewsの新仕様に対応してサーバー負荷を減らそう

スマートニュースアプリに掲載されるには、SmartFormatという独自のRSS/atom配信仕様に準拠する必要があります。

SmartFormat仕様
https://www.smartnews.com/smartformat/ja/

準拠してスマートニュースに申請すれば掲載する可能性がありますのでニュースサイトの方は要対応ですね！


RSS配信されたデータはSmartViewモードで表示されるようになります。


従来バージョンに対応されているサイトでは、SmartViewモードでユーザが見ている間に、WEBからデータを取りにいっていたので、サーバへの負荷は変わらずありました。


SmartFormatの新仕様（バージョン2）に対応するとSmartView表示がデフォルトとなり、「オリジナルサイトで読む」リンクをクリックしない限りはサーバへアクセスがない為負荷無しでコンテンツ配信が出来るようになりました。
これはgunosy等他には無い素晴らしい仕様だと思います。



ただアクセス計測したいですよね？


これはGAタグをRSSで一緒に配信する事でSmartView時のアクセスも計測できます。



さて現状対応済みサイトはこんな感じでした。
GIZMODE、東洋経済ONLINE、tenki.jp、Gigazine、lifehacker、Pouch、ロケットニュース24、モデルプレスetc..


 新仕様に対応しているサイトの記事はヘッダにロゴ画像が入っております。
非対応サイトはWebモードかSmartモードかの切り替えリンクになっています。


ちゃんと設定すれば広告配信も出来るので要対応ですね。


スマートニュースに掲載されればアクセスupからの収益upするんだろうなぁきっと。。

OpenSSL[DROWN]脆弱性に対応しているか各種ECサイトを調査！

2016年3月1日にOpenSSLの脆弱性が発見されましたね。(DROWN)
SSLv2が有効な環境では暗号化を破る攻撃を受ける可能性があるとの事でした。

自社関連サイトはもちろん確認しましたが、他社はどんな状況かと思い色々なサイトをチェックしてみました。
SSLといえば、ECサイトかなと思いECに限って調べております。


さてチェックコマンドは2つ。[domain]に対象サイトのドメインを入れてレスポンス確認してみました。
$ openssl s_client -connect [domain]:443

$ openssl s_client -ssl2 -connect [domain]:443
※証明書がないとエラー出る場合、CApathで指定する必要があります。

■楽天,ココナラ(coconala.com),メルカリ, Amazon,ZOZO town

$ openssl s_client -connect www.rakuten.com:443
sslv3 alert handshake failure SSLv3も無効になってますね。

$ openssl s_client -connect www.rakuten.com:443 -ssl2
write:errno=54は無効なのでOK

こちらも特に問題なし。

■BASE(thebase.in),ポンパレモール(purchase.ponparemall.com),Denaショッピング(id.dena-ec.com),Fril(fril.jp),minne(minne.com)

SSL3_WRITE_BYTES:ssl handshake failure

SSL2_WRITE:ssl handshake

問題なさそうですね。

■カラーミー系

↓例えば下記店舗の会員ログイン
ファッションのSOU・SOU

カラーミー系のサイトはmembers.shop-pro.jpが会員ページなのですが、ssl2もssl3もまだ許可されてますね。

ショップ数も多いはずなので対応していただきたいところですね。

■machi-ya

ssl2,ssl3問題は無かったのですが、別の問題が。

CSSやら画像がSSL化されてないので、鍵マークが出てないようですね。

あのGIZMODE運営のメディアジーンが運営しているECですが、細かい所までチェックできていないようですね。

鍵マークないのはやっぱりちょっと不安になります。。



SSLのチェックは下記サイトでも出来ますので気になる方試してみては？
https://test.drownattack.com/

キャリアメールが必要なサービスはもう古い（怒）

最近は格安SIM（MVNO）も流行って来ておりキャリアメールが使えない人も増えてきております。


まぁそんな私もその一人であり、こういうサービスにあたるとがっかりしてしまいます。


そんなサービスをあえて紹介しつつ、減ってくれる事を日々祈ろうと思います。

■ポイント系サイト

結構この手のサービスはキャリアメール登録が多いです。
フリーメールで複数登録出来たりしますから縛りたい気持ちも分かります。
例えばmoppyというサービスは登録はフリーメールOKですが、本登録は携帯のみとして、還元率等々優遇メリットを出しております。

■ドンキホーテモバイル会員

 Club Donpenというクーポン発券サービスがあるのですが、スマホはNGとの事で大手でもまだまだこんなサービスがあるのだと逆に関心いたします。
利用が少なく改修が出来ないのではと考えてしまいますね。

■アイドル系向け会員サービス

AKB48 Mailとか乃木坂46 Mailとかその手のサービスはキャリアメール縛りのようですね。
恐らく支払方法をキャリア決済のみ(spモード決済,auかんたん決済,ソフトバンクまとめて支払い)にしているのでキャリアメールだけでもいいじゃんという考えかと思います。

■LINEの年齢認証

厳密にはキャリアメールではないのですが、キャリアのログインが必要です。
これは地味に困っている人多いのではないでしょうか？
別案を早く用意して頂きたい所ですね。

一応回避策はない事はないのですが、面倒です。。

”MVNOの格安SIMでLINEの年齢認証はできるのか?”

さて、ご紹介したもの以外にもまだまだ沢山あるかと思いますが、こういうサービスが少しでも無くなればと思います。