きっかけ

この度、スピーカーを自作しました。

よくBGMとしてspootifyをよく垂れ流しにしているのですが、これまで家で音楽を聴くときはヘッドホン派でした。

しかしこの真夏にヘッドホンをつけているとどうしても汗をかいてしまったり暑苦しいため、 スピーカーで聞けた方が便利なのでは？と思うようになりました。

このスピーカーの自作についてはそこまで難しいことをしているわけではなく、 横浜の秋葉原ことエジソンプラザにてスピーカーユニットや電線を買ってきて、 それをホームセンターで買ってきて組み立てた木の箱に取り付けただけです。

このスピーカーにはアンプがありませんから、 別途購入する必要があります。

そこで買ったのがこのアンプ。

Lepy デジタルアンプ LP-2024A + Tripath TA2024 + 12V 5Aアダプター付属

• メディア:

ネットではちらほら買っている人も見かけます。

このアンプには、音声入力として3.5mm のジャックが用意されているので、 初めはspotifyがインストールされたipadやiphoneを接続して、 スピーカーから音を出していました。

しかしながら、途中から曲を流すのは別の端末で行いたいと考えました。 理由として、

• 曲を変えたいときはたびに物理的にipadないしiphoneのところまで行かなければいけない
• 曲を流しているときはipadやiphoneが占有されてしまう

Raspotify

そんなときに発見したのがRaspotify。

このRaspotifyは、Spotifyの機能であるConnectをRaspberry piでも使えるようにするソフトウェアです。

うちにちょうど余っているRaspberry piがあったので（だいたいRaspberry piって最初買って以降放置されてますよね） Raspotifyを使用してみることにしました。

完成後のイメージはこんな感じ。

曲の選択や音量調整は、いつも使い慣れたiPhone, iPadのSpotifyのアプリから行います。

その際に再生デバイスをRaspberry piに指定してやる、という具合です。

こんな人へおすすめ

• Spotifyを有料会員で使用している。
• 家でもスピーカーでSpotifyの音楽をかける。ただしスピーカーの場所まで行かずに、いつも身に着けているスマホで操作したい。
• 余っているRaspberry pi がある。

手順

手順といってもすべてはGitHubのREADMEに書かれている通りで、

curl -sL https://dtcooper.github.io/raspotify/install.sh | sh

をたたくと勝手にインストールしてくれます。

その後/etc/default/raspotifyに必要な設定を書き込む必要があります。

自分で有効にした設定はこんな感じ。

BITRATE="320"
OPTIONS="--username XXXXXXXX --password XXXXXXXX --device hw:1"

この--device hw:1の部分は、以下のコマンドでデバイスに対応する番号を拾ってきました。

$ cat /proc/asound/cards
 0 [b1             ]: bcm2835_hdmi - bcm2835 HDMI 1
                      bcm2835 HDMI 1
 1 [Headphones     ]: bcm2835_headphonbcm2835 Headphones - bcm2835 Headphones
                      bcm2835 Headphones

設定を書いたら、サービスを再起動。

sudo systemctl restart raspotify

iPhoneのSpotifyで曲を再生すると、左下に再生するデバイスを選択できる部分があります。

この中から、Raspotifyで再生するRaspberry piの名前を選択してあげればOK。

SpotifyとRaspberry piをフルに活用できて、かつ自作のスピーカーも役に立っているので、 個人的には非常に気に入っております。

今回はここまで。

ありがとうございました。

参考

Spotify Connect Connect - Spotify

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

• 作者:徳丸 浩
• 発売日: 2018/06/21
• メディア: 単行本

例えば「パスワードを変更する」などの処理の場合、以下の条件を見大してユーザは無事にパスワードを変更することができる。

• POSTメソッドでパスワード変更のページがリクエストされること
• ログイン状態であること
• POSTメソッドでデータ（この例ではパスワードに相当する値）が指定されていること

CSRFは、この条件を満たした状態のユーザにリクエストを送信させる。

XSSとCSRFの違い

CSRFは、

1. ユーザが罠ページの仕掛けのあるHTMLを閲覧する
2. 攻撃用のリクエストを発行する
3. サーバ側でサーバの用意した処理が行われる（正規の処理に見える）

このようにサーバにリクエストが到達し、リクエストに対応する処理が実行された時点で完結する。

これに対してXSSは、

1. ユーザが罠ページの仕掛けのあるHTMLを閲覧する
2. 攻撃用のリクエストを発行する
3. サーバ側はリクエストを解釈してレスポンスを返す
4. ユーザのブラウザで悪意のあるコードが実行される

のように、ブラウザまでレスポンスが帰ってきて、そこでコードがJSが実行されて攻撃が完結する。

なるほど、今まで違いがよくわからなかったけどようやくわかった

確認画面がある場合のCSRF

重要な処理の際に確認画面を設けても、CSRFは解消されない。

• hidden パラメータで受け渡ししている場合
  • 処理実行画面でデータを受け取るので、確認画面がない場合と同じ
• セッション変数にパラメータを格納している場合
  • 下記の数だけiframeを用意して、各々のiframeにリクエストを発行させる
    1. 確認画面に対してメールアドレスをPOSTして、セッション変数にデータをセット
    2. タイミングを見計らって実行画面を呼び出す

iframeが悪用されてるところしか見ない気がする

ファイルアップロードがある場合のCSRF

ファイルをアップロードするようなページでもPOSTデータの送信部分がファイルデータになるだけなので、CSRFが発生する。

1. データの部分を例えばphpinfo()の結果にして、ターゲットサイトに実行させ、それをファイルとしてターゲットサイトがXMLHttpRequestを利用して自らのサイトにアップロードする
2. ファイル名が予測できるようなものの場合、攻撃者がターゲットサイトにアップロードされたファイルを閲覧し、phpinfo()の結果が閲覧できる

CSRFが生まれる原因

以下のようなWebの性質に起因している。

1. form要素のaction属性にはどのドメインのURLでも指定できる
2. クッキーに保管されたセッションIDは、対象サイトに自動的に送信される

前者は、罠サイトからターゲットサイトへリクエストを送信できるということ。

後者は、罠経由のリクエストに対しても、セッションIDのクッキー値が送信されるので、認証された状態で攻撃リクエストが送信されるということ。

正規のリクエストと、CSRFのリクエストを比べてみると、Refererヘッダしか違いがない

対策

• CSRF対策の必要なページを区別する
  • ページ遷移図を作成して、外部からリンクを張られてもいい場所か、張られたくない場所かで区別する
  • 外部からリンクを張られたくない場所に対してCSRF対策をする
• 正規利用者の意図したリクエストを確認できるように実装する
  • 秘密情報の埋め込み
    • 第三者が知りえない秘密情報を要求することで、不正なリクエストをはじく
    • フレームワークでトークン生成をしてくれるものがある
  • パスワード再入力
    • 正規利用者であることを再確認する
  • Refererのチェック
    • 正規サイトがRefererに指定されていれば正規のリクエストと判断
    • ブラウザでRefererを送らない設定にしている場合も多い

保険

パスワード変更や、物品購入に対して、メールを送信することで被害にいち早く気付けるようにする

同一オリジンポリシーについて

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践

• 作者:徳丸 浩
• 発売日: 2018/06/21
• メディア: 単行本

受動的攻撃と能動的攻撃

• 受動的攻撃
  • Webサイトの利用者に対して罠を仕掛け、罠を閲覧したユーザを介してアプリケーションを攻撃する手法
• 能動的攻撃
  • 攻撃者が直接Webサーバに対して攻撃する手法

同一オリジンポリシー

同一オリジンポリシー - ウェブセキュリティ | MDNには、以下のように説明されている。

同一オリジンポリシーとは、あるオリジンから読み込まれた文書やスクリプトについて、そのリソースから他のオリジンのリソースにアクセスできないように制限するものです。 同一オリジンポリシーはウェブのセキュリティにおける重要な仕組みであり、悪意ある行動を起こしかねないリソースの分離を目的としています。

同一オリジンである条件は、

• FQDNが一致している
• スキーム（プロトコル）が一致している
• ポート番号が一致している

iframe内の情報へアクセスする実験

アプリケーションに脆弱性がある場合

ブラウザは同一オリジンポリシーにより受動的攻撃を防止しているが、アプリケーションに脆弱性が存在すると、受動的攻撃を受ける場合がある。その代表がXSS。

XSSは悪意のある攻撃者によってJavaScriptが実行される例だが、意図的に第三者が、アクセス解析、バナー広告、ブログパーツの設置のためにJavaScriptを埋め込む場合もある。

しかしながら実際には、

• 第三者が個人情報を収集する
• 第三者のサーバに脆弱性があり、JavvaScriptが差し替えられる
• 第三者のJavaScriptに脆弱性があり、別のスクリプトが実行される

といった被害をうけることもある。

クロスドメインアクセスが許可されているもの

• iframe
• img
• script
• css
• form要素のaction属性

CORS（Cross Origin Resource Sharing）

オリジン間リソース共有 (CORS) - HTTP | MDNより

オリジン間リソース共有 (CORS) は、追加の HTTP ヘッダーを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組みです。 ウェブアプリケーションは、自分とは異なるオリジン (ドメイン、プロトコル、ポート番号) にあるリソースをリクエストするとき、オリジン間 HTTP リクエストを実行します。

Access-Control-Allow-Originレスポンスヘッダ

Access-Control-Allow-Origin - HTTP | MDNより

Access-Control-Allow-Origin レスポンスヘッダーは、指定されたオリジンからのリクエストを行うコードでレスポンスが共有できるかどうかを示します。

異なるオリジンにHTTPリクエストを送ることができるケース（単純リクエスト）

• メソッド
  • GET
  • HEAD
  • POST
• リクエストヘッダ
  • Accept
  • Accept-Language
  • Content-Language
  • Content-Type
• Content-Type
  • application/x-www-form-urlencoded
  • multipart/form-data
  • text/plain

プリフライトリクエスト

上記の場合に当てはまらない場合、ブラウザが送信するリクエスト

始めに OPTIONS メソッドによる HTTP リクエストを他のドメインにあるリソースに向けて送り、実際のリクエストを送信しても安全かどうかを確かめます。 サイト間リクエストがユーザーデータに影響を与える可能性があるような場合に、このようにプリフライトを行います。

クロスオリジンに対する認証情報の送信

デフォルトではクロスオリジンに対してHTTP認証やクッキーなどの認証に用いられる情報は自動的には送信されない。 これを送信するには、

• 呼び出し元オリジンでのXMLHttpRequestでwithCredenialsプロパティをTrueにする
• 呼び出される側のレスポンスでAccess-Control-Allw-CredentialsをTrueにする