The Polaris Dawn crew is back on Earth after a historic mission
The Polaris Dawn crew is back on Earth after a historic mission
私たちを乗せた飛行機はパキスタンのカラチ空港で給油し、二十時間ほどのフライトでバグダッド空港に着いた。 タラップを降りたとたん、私は激しい息苦しさを覚えた。 私がアルバイトでイラクの建設現場に行くことになったのは、1980年の七月半ばのことだった。サダム・フセインが大統領になった翌年である。当時、大学を中退した私は、金がなくなると高田馬場の職安前の公園内にできる寄せ場に行き、日雇い労働で食いつなぐ生活をしていた。 そんなある時、顔馴染みの手配師が、「にいちゃん、外国の現場があるんだけど、行かねかぇかい?金はいいよ」と誘ってきた。聞くと、契約期間は七月末から三か月。旅費は勿論、衣食住付きで三百万円を支払う。仕事は日本の大手建設会社が建てているビルに資材を運び入れる外国人労働者の監督をするのが仕事だという。 「こんなにうまい話があるのかな……」と多少疑心暗鬼にはなったが、「前金として百万円払う
注意 内容については一切保証しません。 ここでは、主に W3C ML での議論や各種仕様などに基づいて書いています。 ここに書かれていることが正しいかどうかは、自身で判断して下さい。 事実としておかしいところなどは、コメントでどんどん指摘して下さい。遠慮はいりません。 ただし、このエントリでは「form が PUT/DELETE をサポートするべきかどうか?」の議論はしません。 「REST の是非」や「PUT/DELETE の意義」についても議論する気はありません。 ここでやっているのは、あくまでもどういった議論の末現状があるのかの調査です。 そうした意見がある場合は、 W3C などに投稿するのが最も有益だと思います。 History 2014/03/29: 公開 2014/03/29: XForm と XHTML の関係を明確化(thanx koichik) 2014/03/29: HT
TVアニメ『機動戦士Ζガンダム』の鮎川麻弥が歌うOPテーマ「Ζ・刻を越えて」とEDテーマ「星空のBelieve」は、ニール・セダカ(Neil Sedaka)の楽曲に日本語の歌詞をつけたもの。セダカは4月より、自宅で撮影したパフォーマンス映像をほぼ毎日公開しており、この2曲の原曲も演奏しています。 「Ζ・刻を越えて」の原曲は「Better Days Are Coming」、「星空のBelieve」の原曲は「Bad And Beautiful」 ■"I Must Be Dreaming"/"The Miracle Song"/"Better Days Are Coming" ※「Better Days Are Coming」は5分20秒から
濃厚接触の会 https://t.co/nLpqutJUby
スタイルシートの中で画像を多数呼出していると、HTTPリクエストが大量発生してページの読み込みが遅くなります。このような場合、CSS Spriteを使って回避することが一般的ですが、Data URIを使うと運用はもっと簡単です。 CSSファイルへの埋込 例えばOSSCafeの場合、サイトのCSS内で16ほどの画像ファイルを読込んでいます。 body { background-image:url(images/body.png) } body>header { background-image: url(images/header.png) } body>header div.center>h1 { background-image:url(images/logo.png) } ...(略) body { background-image:url(data:image/png;base64,
HTTP Guides Resources and URIs Identifying resources on the Web Data URLs Introduction to MIME types Common MIME types Choosing between www and non-www URLs HTTP guide Basics of HTTP Overview of HTTP Evolution of HTTP HTTP Messages A typical HTTP session Connection management in HTTP/1.x Protocol upgrade mechanism HTTP security Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-
Nginxをリバースプロキシとして利用するための方法と個人用メモ プロキシ設定 Nginxをリバースプロキシとして利用するためには、/etc/nginx/conf.d に設定ファイルを配置すればよい ファイル名は {ConfigName}.conf 今回は server.conf としてファイルを配置した 以下のように server.conf を用意して Nginx を再起動する server{ server_name example.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Fo
はじめに プロキシとリバースプロキシってややこしいですよね。 この記事では、概念図を交えながら混乱しやすいプロキシとリバースプロキシの違いをまとめていきます。 プロキシとは 一般的に使われるプロキシといえば、「forward proxy」のことをさします。 forward proxyとは、ある別のWebサイトへのリクエストを受け取り、クライアントの代わりにWebサイトへリクエストを送信するサーバのことです。 こちらの図がforward proxyの概念図です。 クライアントXがとあるWebサイト(サーバZ)にアクセスする時にプロキシサーバYを利用している例です。 リクエストは クライアントX → プロキシY → WebサーバZ という流れで伝わっていきます。 プロキシを使う目的 このようなforward proxyを使う目的が、WebサーバZに直接アクセスできないクライアントXからZにリク
リバースプロキシ(英: reverse proxy)または逆プロキシは、特定のサーバへのリクエストが必ず通過するように設置されたプロキシサーバである。一般的なプロキシとは逆で、不特定多数のクライアントのアクセスに備えて特定のサーバー専用に設けられる。クライアントに取ってはサービスの窓口として機能し、普通はクライアントがリバースプロキシを意識することはない。 リバースプロキシは、不特定多数のクライアントに対するアクセス制限や、サーバーの負荷分散のために用意される。具体的には下記の用途がある。 セキュリティ リバースプロキシサーバを前置することで防御が一段階増える。リバースプロキシに認証・認可の機能を持たせる場合もある。複数台のサーバがある場合にリバースプロキシで認証・認可を行うとシングルサインオンを実現できる。 暗号化/SSL高速化 SSL による暗号化でセキュアなWebサイトを作るとき、暗
nginxをリバースプロキシにする場合に使用するproxy_passディレクティブは、URIが与えられた場合と、そうでない場合で挙動が異なる。 どういうことかというと、以下の1.と2.は別々の結果となる。proxy_passディレクティブの引数に注目して欲しい。 # 1. specified with a URI location /name/ { proxy_pass http://127.0.0.1/; } 1.はproxy_passディレクティブに完全なURIを与えた例である。この場合http://example.com/name/fooへのアクセスは、/nameが削除されたhttp://127.0.0.1/fooへ転送される。 2.はproxy_passディレクティブに完全なURIを与えなかった例である。この場合http://example.com/name/fooへのアクセスは、
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT
猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 不正中継、踏み台といった脆弱なホストの悪用 インターネット上には、
http通信におけるセキュリティ関係でCONNECTメソッドという言葉を聞くことが結構あります。 プロキシでのhttps通信を実現するにも重要なので、今回はCONNECTメソッドに関して解説します! プロキシが見えなければならないものは? CONNECTメソッドとは何か?を知るために、先ずはプロキシのお話から始めます。 プロキシはHTTP通信を代理してくれるという大変便利な役割があります。大きな仕組みとしては、クライアントのリクエストhttpのペイロード(データの中身)を見て、リクエストするページのパス名("/"スラッシュ以下、つまりFQDN以降)をサーバに渡して、プロキシに返ってきたhttpレスポンスをクライアントに返す、というものです。 例えば、「http://itmanabi.com/connect-method/」というURLへアクセスした場合、 FQDN以降の「/connect-
以下の画像はSquidの通信をTcpdumpしたものです。 宛先はAppleのどこかのページです。AppleのサイトはHTTPSによるアクセスになっており、TLSで暗号化されています。そのため、宛先URIはサーバ名までしか表示されないですし、この後はTLSのやり取りが始まり、問題なければ暗号化されたHTTPのアプリケーションデータの通信が開始されます。 CONNECTメソッド クライアントがプロキシ経由でHTTPS通信をする場合、HTTP的には通常CONNECTメソッドを使用します。CONNECTメソッドはHTTP1.1で実装されたメソッドです。CONNECTメソッドを使うとHTTP以外のプロトコルをトンネルするように指示を出すことができます。この場合はプロキシサーバに対してTLS通信をトンネルするように指示を出すことになります。簡単書くと以下の順序で処理が行われる、はずです。 CONNE
Wizard Bible事件(ウィザード・バイブルじけん)とは、ウェブサイト「Wizard Bible」の管理者がウイルスのプログラムを公開したとして2018年3月に略式起訴されて罰金刑を受け、同年4月にサイトを閉鎖させられた事件である。 近い時期にあったCoinhive事件やアラートループ事件(無限アラート事件)とともに不正指令電磁的記録に関する罪の「適用範囲の曖昧さ」が懸念された[1][2]。 ウェブサイト「Wizard Bible」は情報セキュリティやハッキングなどに関する技術情報を提供し、管理者をはじめ、エンジニア、研究者ら複数が投稿していた[3]。 2017年6月20日、同サイトに投稿していた少年が不正アクセス禁止法違反の疑いで逮捕され[4]、7月11日に処分保留となったが、同日不正指令電磁的記録作成の疑いで再逮捕された[5][6]。 少年が「Wizard Bible」に投稿した
クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF(シーサーフ (sea-surf) と読まれる事もある[2][3])、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の
リスクを見つける サイバー攻撃を防ぐ最大の対策は、自社のシステムの脆弱性をなくすことです。しかし、より複雑化・高度化する情報技術を、完璧な状態に保つことは困難です。 GSXは1997年からペネトレーションテストをはじめとした脆弱性診断を提供、豊富な実績とノウハウを蓄積しています。また、セキュリティ人材教育を行い、常に最新のサイバーリスクもキャッチアップしています。 豊富な経験と高度なセキュリティ技術を持った専門家が、診断ツールと手動オペレーションを併用し、サイバー攻撃の起因となるセキュリティの欠陥を発見します。発見した欠陥(脆弱性)について、技術的かつ人的教育の点から最適な各種ソリューションをご提案します。 サイバー攻撃を防ぐ最大の対策は、自社のシステムの脆弱性をなくすことです。しかし、より複雑化・高度化する情報技術を、完璧な状態に保つことは困難です。 GSXは1997年からペネトレーショ
※2013/01/24 add: 徳丸先生の書かれた実はそんなに怖くないTRACEメソッド | 徳丸浩の日記を先に見ておくをオススメします。深く追求できていないまま記事にしてしまい申し訳ありません。 タイトルの通りです。HTTPのメソッドには、よく使うものとしてGETやPOSTというものがありますが、TRACEメソッドというものがありまして、これを有効にしておくと危ないよという話しです。 TRACEメソッドについて 百聞は一見にしかず、どんな挙動をするか見ていきましょう。 $ telnet example.org 80 Trying example.org... Connected to example.org. Escape character is '\^]'. TRACE / HTTP/1.1 #ここと HOST: example.org #ここを手で入力して、エンターキー二回このよ
HTTPのTRACEメソッドを悪用する古い攻撃手法に「Cross Site Tracing(XST)」というものがあります。この攻撃手法を悪用すると、第三者が Cross Site Scripting(XSS)の脆弱性が存在するWeb サイトとブラウザの間でやり取りされる HTTP リクエスト・ヘッダを取得できてしまいます。この手法は一般的に HTTP リクエスト・ヘッダに含まれる Authorization ヘッダや Cookie ヘッダを奪取するために悪用されるようですね。 XST では一般的に JavaScript でXMLHttpRequest オブジェクトを悪用するようですが、最新のブラウザでも XMLHttpRequest オブジェクトで TRACE メソッドの HTTP リクエストを送信できるのでしょうか。というのも、W3C の XMLHttpRequest オブジェクトに関
Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Cookie security X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アク
タイトルは釣り、かつ、自分のための備忘録です。 マイクロサービスアーキテクチャでサービスを構築すると、APIサーバをサービスごとに立てるわけですが、 ブラウザ上のJSエンジンからAPIサーバを叩く時に避けて通れないのが、Same-Origin Policy(同一生成元ポリシー)によるCORS (Cross-Origin Resource Sharing)制限です。 これを回避するには、APIサーバ側でAccess-Control-*ヘッダを適切に返す必要がありますが、どう設定するべきかの情報が意外と少ないので(自分的)これが決定版! という設定を考えてみました。 結論 nginxの場合の設定例です。 server { listen 80; server_name site.localhost; charset utf-8; root /var/www/app/public; locatio
REST APIにアクセスする際に、ブラウザがAPIサーバに対してHTTP(もしくはHTTPS)のOPTIONSメソッドでリクエストを投げることがあります。 本記事では、その現象の解説と、Node.jsでAPIサーバを実装している場合のOPTIONSメソッドへの対応法を記述します。 HTTPのOPTIONSメソッドとはHTTPで一般に使われるメソッドといえば、GETやPOSTですね。REST APIを頻繁に利用する人ならば、PUTやDELETEも利用したことがあるでしょう。サーバのテストのためにHEADメソッドを利用したことがある人もいるかもしれません。 OPTIONSメソッドは、これらのメソッドのうち、サーバがどのメソッドをサポートしているかを調査するためのメソッドです。 昨今のブラウザでは、フロントエンドJavaScriptから違うドメインへのアクセスに対して、Cross-Origin
Amazon API GatewayでCORSを有効にするとOPTIONSメソッドが追加されるのが気になったので、CORSについて少し調べました。 CORSとは オリジン間リソース共有Cross-Origin Resource Sharing (CORS) は、追加の HTTP ヘッダーを使用して、あるオリジン (ドメイン) で動作しているウェブアプリケーションに、異なるオリジンのサーバーにある選択されたリソースへのアクセスを許可することができる仕組みです。ウェブアプリケーションは、自分のオリジンとは異なるオリジン (ドメイン、プロトコル、ポート番号) からリソースをリクエストするとき、オリジン間 HTTP リクエストを発行します。*1 クライアントサイドの実装は、最近ではIEのごく一部のブラウザ以外で実装されていて、JavaScriptで異なるドメインのサーバへアクセスしようとした時によ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く