FuelPHPでメンテナンスモードパッケージを作成してみた - Hina-Mode
hinashiki/fuelphp-maintenance · GitHub とある複数サイトで独自の503ルールが必要になったため、せっかくだからとパッケージにしてみました。 fuel/app/config/maintenance.php <?php return array( "maintenance_mode" => true ); を作成し、Contoller::before()へ \MaintenanceMode::check(); を入れれば、アプリケーション全体がメンテナンスモードになります。 メンテナンスモード中はステータス503を常に返し、返されるビューは固定されます。 capistranoなどのdeployで利用したい場合はfalseのファイルも持っておいてファイルを入れ替えれば素敵なメンテナンス切り替えが可能になります。 一応パッケージ内にデフォルトのビューを用意して
CWE -2009 CWE/SANS Top 25 Most Dangerous Programming Errors
Welcome to the 2023 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. CWEs are becom
JavaScriptのデバッグ方法 – JSを嫌いにならないためのTips | POSTD
この記事のオリジナルは voxxed に投稿されたものです。 JavaScript関連の問題を抱えるチームをサポートする仕事を通じて、いくつか共通の問題点があることに気づきました。もしあなたもJavaScriptに対するイライラを感じているのであれば、この記事は何らかの助けになるかもしれません。おことわり:私がお教えするヒントはすでにご存知のものもあるとは思いますが、うまくいけば、多少なりとも有用な情報があるかもしれません。特にエンタープライズアプリケーションやCMSソリューションを構築する際に有効なヒントです。チームの誰もが話したがらないCMSのコードについてお話しします。いずれも必要に応じて採用できるものです。 debuggerステートメント 大半のブラウザでサポートされているにもかかわらず、JavaScriptを書く際に最も活用しきれていない機能の1つです。debuggerステートメ
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
未熟なDNSと今後どう付き合うべきか―委任/移転通知インジェクションとDNS水責め攻撃を題材として考える
Copyright © 2014 株式会社日本レジストリサービス 1 未熟なDNSと今後どう付き合うべきか 委任/移転通知インジェクション攻撃と DNS Water Torture(Slow Drip)攻撃について考える 2014年11月20日 Internet Week 2014 ランチセミナー 株式会社日本レジストリサービス(JPRS) 森下 泰宏・久保田 秀 を題材として 講師自己紹介 • 森下 泰宏(もりした やすひろ) – 日本レジストリサービス(JPRS) 広報宣伝室 – 主な業務内容:技術広報担当として、ドメイン名・ DNSに関する技術情報を分かりやすく伝える – 最近思うこと: • 久保田 秀(くぼた しゅう) – 日本レジストリサービス(JPRS) システム部 – 主な業務内容:レジストリシステム、gTLD取次 システム及びその周辺システムの開発と運用 – 最近思うこと:
GHOSTを使って攻撃できるケース
(Last Updated On: 2018年8月4日)「glibcのGHOST脆弱性の内容と検出」はしっかり調べた上で書いていなかったので別エントリとしてまとめておきます。 追記:簡単だったので書かなかったのですが、バリデーション方法がない、とのご意見があったので「ホスト名バリデーションのやり方」を書きました。こちらもどうぞ。 追記:新しいgetaddrinfo問題の方はこちら 攻撃方法 日本語のまとめとしては「GHOST 脆弱性は如何様に使うのか」が良いと思います。詳しくはOpenWall MLのメールが参考になります。 http://www.openwall.com/lists/oss-security/2015/01/27/9 GHOSTでオーバーフローするの4バイトまたは8バイトのようです。基本的なEximの攻撃手順は ユーザー入力のホスト部分に不正なIPアドレス形式を用い不正に
glibcのGHOST脆弱性の内容と検出
(Last Updated On: 2018年8月4日)glibcのgethostbynameのバッファーオーバーフローバグであるGHOSTがどのようなバグだったのか気になったので調べてみました。Twitterで「GHOSTは4バイトだけオーバーフローする」といったツイートを見かけたことが調べはじめた切っ掛けです。 追記だらけになって解りづらいので別エントリでまとめています。 http://blog.ohgaki.net/glibc-ghost-revisited 参考:より新しいglibcのgetaddrinfoの問題はこちら バグの内容 これだけ話題になっていると既に調べている方が直ぐに見つかりました。 glibcで見つかった致命的な脆弱性「GHOST」は具体的になにが問題なのか これによると1.1.1.1などIPアドレス形式の場合に必要なバッファ計算に誤りがあり、そのバッファの最後に
ホスト名バリデーションのやり方
(Last Updated On: 2018年8月13日)徳丸さんのブログで私のブログ「GHOSTを使って攻撃できるケース」にコメントがあったようなので、好ましいホスト名バリデーションの方法を書いておきます。 特定の低レベルAPIのバグが10年ほど前に書いた本のコードで対応できていない、と議論するのもどうかと思いますがしっかりチェックする場合の例を書いておきます。 そもそもホスト名の仕様はどうなっているのか? 入力バリデーションを行うには仕様を理解する必要があります。ホスト名の仕様は幾つかのRFCで言及されています。例えば、RFC 2181の11. Name syntaxには That one restriction relates to the length of the label and the full name. The length of any one label is li
PHP 7: Introducing a domain name validator and making the URL validator stricter - Kévin Dunglas
Kévin Dunglas Founder of Les-Tilleuls.coop (worker-owned cooperative). Creator of API Platform, Mercure.rocks, Vulcain.rocks and of some Symfony components. DNS comes with a set of rules defining valid domain names. A domain name cannot exceed 255 octets (RFC 1034) and each label cannot exceed 63 octets (RFC 1035). It can contain any character (RFC 2181) but extra rules apply for hostnames (A and
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bootstrap3日本語リファレンス