ScalaMatsuri 2016 ドワンゴアカウントシステムを支えるScala技術 by hexx さん - niconareniconare
Host:リクエストヘッダによるXSS - 葉っぱ日記
本日、とある会合にてTwitterで交わされていたこの会話が話題になりました。 紹介されている例はHostヘッダの操作を経路とする攻撃ということであり、Hostヘッダインジェクションという脆弱性はないと思いますよ / “PHPにおけるHostヘッダインジェクション脆弱性 ― A Day in Serenit…” https://t.co/sTzTQEE7a8— 徳丸 浩 (@ockeghem) 2015, 11月 6 @ockeghem @okumuri 実はIEでは細工したホストヘッダを送出できる手法が知られています。間違いなくIEのバグですが、このせいで値をそのまま出力しているサイトではXSSがありえてしまいます。ここが参考になります: https://t.co/G419aaUgNi— Masato Kinugawa (@kinugawamasato) 2015, 11月 9 知る人ぞ
Dell SecureWorks、契約企業に対してサイバー攻撃を実際に実行するサービスを開始
SecureWorks Japan(以下、Dell SecureWorks)は2015年11月11日、現実のサイバー攻撃をシミュレーションするサービス「SecureWorks Red Team Testing」を開始した。契約した企業に対して実際にサイバー攻撃を仕掛けることによって、サイバー攻撃対策の弱点を調査する。業務システムへのバックドアの設置や、漏えいしてはいけないデータの取得など、事前に打ち合わせて定めたゴール(目的)を達成するべく、様々なやり方で攻撃する。 一般的なセキュリティ診断が個々のシステムの脆弱性を調べることを狙うのに対して、Red Team Testingは、実際に攻撃の成果(ゴール)を達成することを狙う。現実の標的型攻撃と同様に、目的さえ達成できれば手段は選ばない。標的型メールの送付や遠隔アクセスだけでなく、業者を装って建物に入るといったオンサイトでの攻撃も実施する(
Dell SecureWorks、「あらゆる手段で」顧客組織を疑似攻撃するセキュリティ演習サービス「Red Team Testing」を国内で提供開始
Dell SecureWorks、「あらゆる手段で」顧客組織を疑似攻撃するセキュリティ演習サービス「Red Team Testing」を国内で提供開始:まるでリアルCTF? Dell SecureWorksは2015年11月11日、企業のセキュリティレベルやインシデント対応能力を評価するサービス「Red Team Testing」の提供を開始した。あらゆる方法を駆使して顧客の「目標」を狙うことで、顧客のセキュリティ対策やインシデント対応力の診断を行う。 Dell SecureWorksは2015年11月11日、企業のセキュリティレベルやインシデント対応能力を評価するサービス「Red Team Testing」の提供を開始した。Webアプリケーションからの侵入や標的型メール攻撃のみならず、ソーシャルエンジニアリングや「物理的な」手段まで、あらゆる方法を駆使して顧客の「目標」を狙うことで、顧客
CPUに関する話 | GREE Engineering
こんにちわ。せじまです。スティック型PCの購入は、 Core M版が出るまで見送ろうと思っている今日このごろです。 弊社では「Mini Tech Talk」という社内勉強会を隔週で開催しているのですが、それとは別に、「Infra Tech Talk」という社内勉強会を、半年くらい前から毎月開催しています。わたしはそこでほぼ毎月、45-60分くらいのスライドを作って話をしています。今までどういう話をしてきたかといいますと、TCPに関する話を二回、SSDに関する話を二回しました。(InnoDBに関する話だと軽く5-6時間くらいできるんですが、いささかマニアックなので、もっと幅広い人を対象に話をしています) 今までの話はちょっと社内向けの内容だったんですが、前回開催された Infra Tech Talk では、社外の方にも幅広く読んでいただける話ができたと思いましたので、その資料を slides
今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料
2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Zend FrameworkのSQLインジェクション – JSON SQL Injection – Drupageddon(CVE-2014-3704) Copyright © 2008-2015 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何
[CEDEC 2015]「FFXV」で導入されるゲームAIの仕組みが明らかに。ゲームエンジン「Luminous Studio」の先進的AIシステム
[CEDEC 2015]「FFXV」で導入されるゲームAIの仕組みが明らかに。ゲームエンジン「Luminous Studio」の先進的AIシステム ライター:西川善司 スクウェア・エニックスの新世代ゲームエンジンとして,4Gamerでもたびたび取り上げている「Luminous Studio」。話題になるのは,先進的なグラフィックス表現ばかりといったイメージがあるかもしれないが,実はAI部分でも,時代を先取りした技術が実装されているのだという。 スクウェア・エニックスがCEDEC 2015で行ったセッション「FINAL FANTASY XV -EPISODE DUSCAE- におけるキャラクターAIの意思決定システム」は,これまで表舞台であまり語られることのなかった,Luminous StudioにおけるAIシステムの設計思想とその構造が語られる興味深いものだった。そこで本稿では,セッション
![[CEDEC 2015]「FFXV」で導入されるゲームAIの仕組みが明らかに。ゲームエンジン「Luminous Studio」の先進的AIシステム](https://cdn-ak-scissors.b.st-hatena.com/image/square/5e47972e3dc61d19212e6808f3af9f138dc21a9e/height=288;version=1;width=512/https%3A%2F%2Fwww.4gamer.net%2Fgames%2F075%2FG007535%2F20150831093%2FTN%2F001.jpg)
パンドラの箱?TLS鍵交換の落とし穴、KCI攻撃とは何か - ぼちぼち日記
1. 初参加のセキュリティキャンプ 先週ですが、講師としてセキュリティキャンプに初めて参加しました。 担当したのは高レイヤーのセッションで、TLSとHTTP/2の講義を合計6時間、まぁ大変でした。講義の時間配分、分量などの検討が十分でなかったため、本番では事前に準備していた講義内容の一部しかできず、ホント反省しきりです。せめての救いは、今回作った講義資料にたくさんのfavを頂いたことです。ありがとうございました。 講義では、学生の方々が短い時間ながら難しい演習に真面目に取り組んでくれました。質疑なども皆受け答えがしっかりしていて、技術的にもレベルが高い回答も多く、非常に驚きました。これだけ優秀な10代、20代の若者が、全国各地から毎年50人も集まるのを実際に見ると、彼らの将来が楽しみです。これまで10年以上継続してこのような活動を続けきた成果でしょう。私自身、とても良い経験をさせていただき
任天堂・岩田さんが遺した本当の功績:日経ビジネスオンライン
世間はお盆を迎え、それぞれが縁のある故人を偲んだが、筆者はゆっくりと任天堂4代目社長の岩田聡さんのことを思い出した。縁があった、と言うのはおこがましいが、2006年秋以降、取材を通じて随分とお世話になっただけに、偲ばずにはいられない。 岩田さんが急逝してからもう1カ月が経つ。週明け、7月13日の午前9時前、任天堂広報から「メールをご確認ください」という電話がかかってきた。慌てて確認すると、信じがたい内容のメールが届いていた。 「当社をご担当頂いている記者の皆様 当社代表取締役社長岩田聡が7月11日土曜日午前4時47分、胆管腫瘍のため京都大学附属病院において永眠いたしました」 直後、脳裏をよぎったのは、今年3月に任天堂の京都本社でお会いした、岩田さんの意気軒昂とした姿だった。 その前日にディー・エヌ・エー(DeNA)との業務・資本提携を東京のホテルで発表した岩田さんは、「してやったり」といっ
C# 6.0で知っておくべき12の新機能
Visual Studio 2015正式版のリリースで利用可能になったC#言語の最新バージョン「6.0」の新機能を解説する。CTP 5→正式版に合わせて改訂。 連載 INDEX 次回 → 「C# 6.0」と呼ばれているC#の最新バージョンは、Visual Studio 2015*1で利用可能になっている。 この最新バージョンでは、「.NET Compiler Platform」(コード名:“Roslyn”)と呼ばれる新しいコンパイラーが導入されており、静的解析APIの提供など、コンパイラーまわりに大きな変更が行われている。一方、言語機能に目を向けると、async/awaitという大きな機能が追加されたC# 5.0に比べると、一つ一つの新機能自体は小さい。しかし、それらはプログラムをより書きやすくするための機能なので、C#開発者にとってはやはり重要なアップデートとなっている。 そして、これら
ITサービスへのキャズム理論の応用 | ウェブ電通報
ウェブサービスが伸びなくなるとき 「ターゲット層はもっといるはずなのに、ユーザー数が頭打ちになった」 「ダイレクト広告のCPA(コスト・パー・アクション。会員獲得やアプリダウンロード、課金など設定したアクションまでにかかったコスト)が最近急激に上がってきている」 「ユーザーを招待するキャンペーンを始めてみたが、全く会員が増えない」 目指している事業規模やビジネスゴールに到達する前で、ポテンシャルがあると思われるウェブサービスやアプリの事業成長が停滞することがあります。 それを解決するためのマーケティング施策やグロースハック施策を始める時の判断軸になるような話を本日は取り上げていきます。 思わぬ溝(キャズム)の存在 上記のようなことは往々にして日々IT業界で起こっています。ユーザーとして考えたときにも「ビジネス誌などでよく取り上げられている経営者だけど、彼が作ったサービスは全然使ってみたこと
[CSS]ビューポート(vw, vh)とパーセント(%)、レスポンシブに適した単位の賢い使い分け方法
先日の記事「フォントサイズの指定方法(翻訳版)」で、CSSの比較的新しい単位「ビューポートの単位(Viewport Units)」について触れました。この単位「vw, vh, vmin, vmax」はブラウザのビューポートのサイズに基づくもので、これらの単位で指定した実際の大きさはビューポートの大きさによって変化するため、レスポンシブデザインにあった単位と言えるでしょう。 これらの単位を使うことは「フォントサイズの指定方法」でフォントサイズに使うことを反対しましたが、レイアウトでは非常に役立つ単位です。 Viewport vs. Percentage Units 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様に許可を得て翻訳しています。 ビューポートの単位(Viewport Units)とは 要素を幅いっぱいに指定 (% > vw) 要素を高さいっぱいに指定 (
![[CSS]ビューポート(vw, vh)とパーセント(%)、レスポンシブに適した単位の賢い使い分け方法](https://cdn-ak-scissors.b.st-hatena.com/image/square/9632aee4416db718e0899706ace859f7fdcdf363/height=288;version=1;width=512/https%3A%2F%2Fcoliss.com%2Fwp-content%2Fuploads-201502%2F2015072201.png)
岩田聡さんのコンテンツ。 - ほぼ日刊イトイ新聞
創刊当時より、ほぼ日刊イトイ新聞にいろんなかたちで関わってくださった岩田聡さんが、7月11日、永眠されました。岩田さんがご登場くださったたくさんのコンテンツを、いま、読みたい方も多いかと思いますので、代表的なものをまとめました。ご冥福をおいのりいたします。
ユーザーローカル、無料のテキストマイニングツール公開 Twitterの“口ぐせ”分析も可能
分析したいテキストファイルをアップロードすると、高速で品詞分解して重要キーワードを取り出し、文章中によく出現する単語(頻出語)の算出や、その文章を特徴づける単語(特徴語)の集計、同じ文中に含まれる単語のつながりを可視化した「共起ネットワーク」図などを表示する。 Twitterと連携させれば、投稿内容を自動抽出して可視化し、自分が興味がある分野やよくつぶやく“口ぐせ”を再認識できる。 自由記述のアンケート結果や問い合わせデータ、SNSの口コミデータを分析し、ビジネスのプレゼン資料や大学のレポート作成などに使えるとしている。 関連記事 記事の“バズ”を分析 ユーザーローカル、メディア企業向け「Media Insight」発売 ニュースサイトやキュレーションサイトなどの各記事について、ソーシャルメディアでどれぐらい反響(バズ)があったかを調査・分析するツール「Media Insight」をユーザ
[速報]Amazon API Gateway発表。スケーラブルかつセキュアに外部へAPIを公開するためのゲートウェイ機能を提供。AWS Summit 2015 New York
[速報]Amazon API Gateway発表。スケーラブルかつセキュアに外部へAPIを公開するためのゲートウェイ機能を提供。AWS Summit 2015 New York Amazon Web Servicesは、現在開催中のイベント「AWS Summit 2015 New York」で、新サービスとなる「Amazon API Gateway」を発表しました。 これを利用することで、Amazonクラウド上のアプリケーションやネットで公開されているアプリケーションからセキュアでスケーラブルなAPIを公開することができるようになります。ネット上でのサービス公開、モバイルアプリケーションのバックエンドサービスなどの用途に適しています。 基調講演での内容をダイジェストで紹介します。 スケーラブルでセキュアなREST APIを提供する Twilio(API経由で電話をかけてメッセージを流せるサ
![[速報]Amazon API Gateway発表。スケーラブルかつセキュアに外部へAPIを公開するためのゲートウェイ機能を提供。AWS Summit 2015 New York](https://cdn-ak-scissors.b.st-hatena.com/image/square/23e94b2661bf51c9e46baed1060641bc91b57264/height=288;version=1;width=512/http%3A%2F%2Fwww.publickey1.jp%2Fblog%2F15%2Fawsny14.jpg)
“安全な暗号”とは何か――「強秘匿性」「頑強性」という概念
前回に引き続き、暗号化手法の一つ「ElGamal暗号」を学びます。そして攻撃に強く、「安全な暗号」に必要な要素とは何かを考えてみます。 連載目次 ElGamal暗号と強秘匿性 第1回で紹介したRSA暗号に続き、1984年に提案された公開鍵暗号「ElGamal暗号」を紹介します。 「ElGamal暗号」の考え方は、次回以降で紹介する楕円曲線暗号でも利用されます。これは次の方式で表現されます。 鍵生成:整数gと素数pを適切に選び、みんなに公開する(gとpの条件は省略します)。xをランダムに選びy=gx mod pとする。a mod bは整数aをbで割った余りを表す記号でした。以降mod pは省略します。 暗号化:公開鍵yを持つ人に対して平文mを送るには、整数rをランダムに選び、Enc(m)=(gr,myr)を暗号文とします。 復号:暗号文(c1, c2)=Enc(m) を受け取った人は自身の秘
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これからの Microservices
【後藤弘茂のWeekly海外ニュース】 新トランジスタアーキテクチャを採用したiPhone 6sの「A9」
Intel が 16 年前からチップに残していた、途方もないセキュリティの欠陥──そして、その悪用法はここに~SMM のルートキットの扉を開く大失態(その 1)(The Register) | ScanNetSecurity
運用に自動化を求めるのは間違っているだろうか
