最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ

zsh で Git 使ってる人はプロンプトにブランチ名とかを表示してる人も多いと思う。 zsh に標準で入ってる vcs_info っていうのを使うとだいたいいい感じにできるんだけど、できないことも当然ある。 例えば stash した数の表示には対応していないので、自分で無理矢理な感じで Git コマンドを呼び出してプロンプトに表示してる人もいると思う。 でも zsh 4.3.11 ぐらいから vcs_info に Hooks というのが追加されて、元の機能に自分で処理を追加できるようになってる。これを使うと好きなようにカスタマイズできるようになるので紹介する。 この記事でできるようになること こんなことがプロンプトに表示できるようになる。 使用しているバージョン管理システムの名前(svn, git, hg, ...) 現在のブランチ名 マージ失敗のエラー表示 さらに Git の場合は以下

1年半ぶりの連載再開でいきなり最終回、というやや乱暴な展開だが、後は読者諸兄の自己研鑽に期待したい。どんどんコピペしてzshの力を満喫してくれ! こいつを${HOME}/.zshrcにコピーだ! そのまま使えるコピペシリーズ第3弾をお届けしたい。本連載第10回と第22回でそのまま${HOME}/.zshrcにコピーすれば使える設定ファイルを紹介した。あれから1年半、zshはマイナーリリースを重ね当時とほぼ変わらない機能を提供している。"Z"の名にふさわしい鎮座ぶりだ。その間漢の設定ファイルも微調整を繰り返してきた。というわけでこれが最後だ。もってけ野郎ども! リスト1 コピー&ペースト対応${HOME}/.zshrc ファイル - FreeBSD/Mac OS X/Ubuntsu対応版 # users generic .zshrc file for zsh(1) ## Environmen

zshrc_useful.sh �8o� V ���� V # 少し凝った zshrc # License : MIT # http://mollifier.mit-license.org/ ######################################## # 環境変数 export LANG=ja_JP.UTF-8 # 色を使用出来るようにする autoload -Uz colors colors # emacs 風キーバインドにする bindkey -e # ヒストリの設定 HISTFILE=~/.zsh_history HISTSIZE=1000000 SAVEHIST=1000000 # プロンプト # 1行表示 # PROMPT="%~ %# " # 2行表示 PROMPT="%{${fg[green]}%}[%n@%m]%{${reset_color}%} %~

この投稿内容について そろそろDocker歴が1年になるのですが，CoreOSは殆ど使ったことがなかったことに気付きました．そこで，CoreOSを使って，Docker上でGitHubに登録されているWebアプリケーションを動かすまでの私的なメモです．特におかしなことはしていません（していないはずです）． MacOS X上で，VMWare Fusion7を使って実行しましたが，他の環境でもほぼ同じ操作内容で再現可能と思います． CoreOSとは CoreOSとは，Dockerを利用するために作られたLinux Distributionの一つです．Docker以外の用途を考慮しておらず，非常に軽量なことが利点です． 執筆時のバージョンはCoreOS 494.0.0です． CoreOSのインストール形態 CoreOSには様々なインストール形態があります．ベアメタル，クラウドサービス（Amazon

また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と

Dockerを利用する際に、コンテナを動かすための環境の1つとしておすすめしたいのがCoreOSだ。CoreOSでは簡単にコンテナの実行環境を構築でき、さらに複数台のCoreOSマシンを組み合わせて連携させる機能も用意されている。今回はCoreOSを使ってサービスを構築するための基礎知識と、実際の作業の流れを紹介する。 Dockerなどを使ったコンテナの利用に特化したCoreOS 近年注目されている「コンテナ」技術は、VMwareやXen、KVMといった仮想化技術と同様にハードウェアやOSとは独立した環境を構築でき、また仮想化を利用するよりも低コストで利用できることで注目を集めている。しかし、Dockerを使ってサービスを実際に運用する場合、どういった環境を用意すれば良いか迷うケースもあるだろう。その解答の1つに、コンテナを稼動させることに特化したLinuxディストリビューションであるCo

第44回2018年3月～修正できない脆弱性対応、繰り返される歴史、そして「あたりまえ」を実践すること 宮本久仁男 2018-03-28 第43回2018年2月～いまも発見される、DLL読み込みに関する脆弱性～どう悪用されるのか？＆対処は？ 宮本久仁男 2018-02-28

イギリス時間の2013年10月25日16時から27日21時まで、オンラインで開催された「NotSoSecure CTF」に挑戦した筆者によるWrite Upです。 「NotSoSecure CTF」は、NotSoSecure Labsがイギリス時間の2013年10月25日16時から27日21時まで開催したCTFで、競技はオンラインで行われました。 公式の発表によると、約1500人が登録し、25を超える国からの挑戦があり、最終的に2問とも正解をした参加者が25人いたとのことです。http://ctf.notsosecure.com/leaderboard/にてスコアボードが公開されています。 今回、私もこのCTFに挑戦しました。ここでは、各問の正解に至った道筋について解説をしたいと思います。 情報収集と経験値アップを目的に 私は、ラックという情報セキュリティサービスを提供する企業で、Webア

概要 CTF for ビギナーズは、コンピュータセキュリティ技術を競う競技であるCTF (Capture The Flag) の初心者を対象とした勉強会です。本勉強会では、CTFに必要な知識を学ぶ専門講義と実際に問題に挑戦してCTFを体験してもらう演習を行います。 また今年度は、攻撃と防御両方の技術力を競い合う攻防戦形式のCTFを体験するAttack & Deffenseのワークショップも企画しています。こちらも「CTF for ビギナーズ 2015」という名前になっておりますが、申し込みは別のページとなっていますのでご注意下さい。 CTF for ビギナーズ 開催にあたり 最近、標的型攻撃や脆弱性という単語がマスメディアで飛び交い、何かと情報セキュリティが注目される時代になりました。 皆さんは「脆弱性」とか「攻撃」ということを聞いてどう思うでしょうか。私は正直怖いと思っています。対策をし

1. 初参加のセキュリティキャンプ 先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。ありがとうございました。 講義では、学生の方々が短い時間ながら難しい演習に真面目に取り組んでくれました。質疑なども皆受け答えがしっかりしていて、技術的にもレベルが高い回答も多く、非常に驚きました。これだけ優秀な10代、20代の若者が、全国各地から毎年50人も集まるのを実際に見ると、彼らの将来が楽しみです。これまで10年以上継続してこのような活動を続けきた成果でしょう。私自身、とても良い経験をさせていただき

案外身近な？ LDAP 古くから存在するのですが、使用する機会がないとなかなか概念を理解することができないプロトコル、そのひとつがLDAP（Lightweight Directory Access Protocol）ではないでしょうか？少なくとも数年前の筆者はそうでした。LDAPは「エルダップ」と発音します。 HTTPクライアント、HTTPサーバがあるよう、LDAPにもサーバ、クライアントという概念が存在します。LDAPサーバとは一言で言えばデータベースサーバなのですが、同じようにデータベースに分類されるPostgreSQLやMySQL、OracleなどのRDBMS（Relational Data Base Management System）と比較すると、一長一短があるため、管理対象のデータによって両者の使い分けを行うのが賢い選択です。 たとえばLDAPとはデータ追加や削除よりも検索を重