The Polaris Dawn crew is back on Earth after a historic mission

私たちを乗せた飛行機はパキスタンのカラチ空港で給油し、二十時間ほどのフライトでバグダッド空港に着いた。 タラップを降りたとたん、私は激しい息苦しさを覚えた。 私がアルバイトでイラクの建設現場に行くことになったのは、1980年の七月半ばのことだった。サダム・フセインが大統領になった翌年である。当時、大学を中退した私は、金がなくなると高田馬場の職安前の公園内にできる寄せ場に行き、日雇い労働で食いつなぐ生活をしていた。 そんなある時、顔馴染みの手配師が、「にいちゃん、外国の現場があるんだけど、行かねかぇかい？金はいいよ」と誘ってきた。聞くと、契約期間は七月末から三か月。旅費は勿論、衣食住付きで三百万円を支払う。仕事は日本の大手建設会社が建てているビルに資材を運び入れる外国人労働者の監督をするのが仕事だという。 「こんなにうまい話があるのかな……」と多少疑心暗鬼にはなったが、「前金として百万円払う

なんで html の from は PUT / DELETE ができないのか、「セキュリティ的理由」とか「歴史的経緯」とか、わかったような分からないような説明はよく聞くけど、実際なんでなのか調べてたら色々教えてもらった話。 ここまでわかったことを blog にまとめました。 / “なぜ html の form は PUT / DELETE をサポートしないのか？ - Block Rockin’ Codes” http://jxck.hatenablog.com/entry/why-form-dosent-support-put-delete

TVアニメ『機動戦士Ζガンダム』の鮎川麻弥が歌うOPテーマ「Ζ・刻を越えて」とEDテーマ「星空のBelieve」は、ニール・セダカ（Neil Sedaka）の楽曲に日本語の歌詞をつけたもの。セダカは4月より、自宅で撮影したパフォーマンス映像をほぼ毎日公開しており、この2曲の原曲も演奏しています。 「Ζ・刻を越えて」の原曲は「Better Days Are Coming」、「星空のBelieve」の原曲は「Bad And Beautiful」 ■"I Must Be Dreaming"/"The Miracle Song"/"Better Days Are Coming" ※「Better Days Are Coming」は5分20秒から

愉快な生活送り太郎 @hassyX トニーの行動を「流石『殺しのプロ』は俺たちとは違うな…」的な勘違いでいちいち感心しまくる依頼主のマフィアと、後半正体がバレないように焦り続けるトニーの対比が面白い。ゴルゴ唯一のすれ違いコント回。 愉快な生活送り太郎 @hassyX あと、この回あたりは「さいとうたかおに似せて描く人」がいなかったのか多忙だったのか、普段のゴルゴとは画風がかなり異なる。主要な登場人物もさいとう氏のタッチとは明らかに違うし、準モブの殺害ターゲットたちは完全に別漫画レベルで絵柄が違う。でもゴルゴは完全にいつものゴルゴ。 pic.twitter.com/zcrmeYX77J

濃厚接触の会 https://t.co/nLpqutJUby

私はコロナだ

株探のミンカブ・ジ・インフォノイド、役員からライブドア買収を聞いちゃった知人がインサイダー取引をしていた件でお詫び

スタイルシートの中で画像を多数呼出していると、HTTPリクエストが大量発生してページの読み込みが遅くなります。このような場合、CSS Spriteを使って回避することが一般的ですが、Data URIを使うと運用はもっと簡単です。 CSSファイルへの埋込 例えばOSSCafeの場合、サイトのCSS内で16ほどの画像ファイルを読込んでいます。 body { background-image:url(images/body.png) } body>header { background-image: url(images/header.png) } body>header div.center>h1 { background-image:url(images/logo.png) } ...(略) body { background-image:url(data:image/png;base64,

HTTP Guides Resources and URIs Identifying resources on the Web Data URLs Introduction to MIME types Common MIME types Choosing between www and non-www URLs HTTP guide Basics of HTTP Overview of HTTP Evolution of HTTP HTTP Messages A typical HTTP session Connection management in HTTP/1.x Protocol upgrade mechanism HTTP security Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-

Nginxをリバースプロキシとして利用するための方法と個人用メモ プロキシ設定 Nginxをリバースプロキシとして利用するためには、/etc/nginx/conf.d に設定ファイルを配置すればよい ファイル名は {ConfigName}.conf 今回は server.conf としてファイルを配置した 以下のように server.conf を用意して Nginx を再起動する server{ server_name example.com; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-Host $host; proxy_set_header X-Forwarded-Server $host; proxy_set_header X-Fo

はじめに プロキシとリバースプロキシってややこしいですよね。 この記事では、概念図を交えながら混乱しやすいプロキシとリバースプロキシの違いをまとめていきます。 プロキシとは 一般的に使われるプロキシといえば、「forward proxy」のことをさします。 forward proxyとは、ある別のWebサイトへのリクエストを受け取り、クライアントの代わりにWebサイトへリクエストを送信するサーバのことです。 こちらの図がforward proxyの概念図です。 クライアントXがとあるWebサイト（サーバZ）にアクセスする時にプロキシサーバYを利用している例です。 リクエストは クライアントX → プロキシY → WebサーバZ という流れで伝わっていきます。 プロキシを使う目的 このようなforward proxyを使う目的が、WebサーバZに直接アクセスできないクライアントXからZにリク

HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection サイトの安全化 HTTP Observatory HTTP アクセス制御 (CORS) HTTP 認証 HTTP キャッシュ HTTP の圧縮 HTT

猛威をふるったBlasterワーム。これが大流行したのは2003年でしたが、いまだにこのワームの痕跡はインターネット上に残っています。その理由の1つは、いまだにセキュリティパッチが適用されていないホストが残っていることにもあります。今回は脆弱なホストや設定ミスによって発生する「穴」への攻撃を見抜く方法を解説します（編集部） ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 不正中継、踏み台といった脆弱なホストの悪用 インターネット上には、

http通信におけるセキュリティ関係でCONNECTメソッドという言葉を聞くことが結構あります。 プロキシでのhttps通信を実現するにも重要なので、今回はCONNECTメソッドに関して解説します！ プロキシが見えなければならないものは？ CONNECTメソッドとは何か？を知るために、先ずはプロキシのお話から始めます。 プロキシはHTTP通信を代理してくれるという大変便利な役割があります。大きな仕組みとしては、クライアントのリクエストhttpのペイロード（データの中身）を見て、リクエストするページのパス名（"/"スラッシュ以下、つまりFQDN以降）をサーバに渡して、プロキシに返ってきたhttpレスポンスをクライアントに返す、というものです。 例えば、「http://itmanabi.com/connect-method/」というURLへアクセスした場合、 FQDN以降の「/connect-

以下の画像はSquidの通信をTcpdumpしたものです。 宛先はAppleのどこかのページです。AppleのサイトはHTTPSによるアクセスになっており、TLSで暗号化されています。そのため、宛先URIはサーバ名までしか表示されないですし、この後はTLSのやり取りが始まり、問題なければ暗号化されたHTTPのアプリケーションデータの通信が開始されます。 CONNECTメソッド クライアントがプロキシ経由でHTTPS通信をする場合、HTTP的には通常CONNECTメソッドを使用します。CONNECTメソッドはHTTP1.1で実装されたメソッドです。CONNECTメソッドを使うとHTTP以外のプロトコルをトンネルするように指示を出すことができます。この場合はプロキシサーバに対してTLS通信をトンネルするように指示を出すことになります。簡単書くと以下の順序で処理が行われる、はずです。 CONNE

※2013/01/24 add: 徳丸先生の書かれた実はそんなに怖くないTRACEメソッド | 徳丸浩の日記を先に見ておくをオススメします。深く追求できていないまま記事にしてしまい申し訳ありません。 タイトルの通りです。HTTPのメソッドには、よく使うものとしてGETやPOSTというものがありますが、TRACEメソッドというものがありまして、これを有効にしておくと危ないよという話しです。 TRACEメソッドについて 百聞は一見にしかず、どんな挙動をするか見ていきましょう。 $ telnet example.org 80 Trying example.org... Connected to example.org. Escape character is '\^]'. TRACE / HTTP/1.1 #ここと HOST: example.org #ここを手で入力して、エンターキー二回このよ

HTTPのTRACEメソッドを悪用する古い攻撃手法に「Cross Site Tracing(XST)」というものがあります。この攻撃手法を悪用すると、第三者が Cross Site Scripting（XSS）の脆弱性が存在するWeb サイトとブラウザの間でやり取りされる HTTP リクエスト・ヘッダを取得できてしまいます。この手法は一般的に HTTP リクエスト・ヘッダに含まれる Authorization ヘッダや Cookie ヘッダを奪取するために悪用されるようですね。 XST では一般的に JavaScript でXMLHttpRequest オブジェクトを悪用するようですが、最新のブラウザでも XMLHttpRequest オブジェクトで TRACE メソッドの HTTP リクエストを送信できるのでしょうか。というのも、W3C の XMLHttpRequest オブジェクトに関

Cross-Site Tracing(XST)という化石のような攻撃手法があります。「化石」と書いたように、既に現実的な危険性はないのですが、XSTに関連して「TRACEメソッドは危険」というコメントを今でも見ることがあります。 このエントリでは、XSTという攻撃手法について説明し、XSTおよびTRACEメソッドについてどう考えればよいかを紹介します。 TRACEメソッドとは HTTP 1.1(RFC2616)では、8種類のメソッドが定義されています。GET、POST、HEADなどはおなじみのものですが、それ以外にPUT、DELETE、OPTIONS、TRACE、CONNECTの5種があります。 このうち、TRACEメソッドは、HTTPリクエストを「オウム返しに」HTTPレスポンスとして返すもので、以下のようにGET等の代わりにTRACEとしてWebサーバーにリクエストします。 TRACE

HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Cookie security X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アク

タイトルは釣り、かつ、自分のための備忘録です。 マイクロサービスアーキテクチャでサービスを構築すると、APIサーバをサービスごとに立てるわけですが、 ブラウザ上のJSエンジンからAPIサーバを叩く時に避けて通れないのが、Same-Origin Policy（同一生成元ポリシー）によるCORS (Cross-Origin Resource Sharing)制限です。 これを回避するには、APIサーバ側でAccess-Control-*ヘッダを適切に返す必要がありますが、どう設定するべきかの情報が意外と少ないので（自分的）これが決定版！　という設定を考えてみました。 結論 nginxの場合の設定例です。 server { listen 80; server_name site.localhost; charset utf-8; root /var/www/app/public; locatio

Amazon API GatewayでCORSを有効にするとOPTIONSメソッドが追加されるのが気になったので、CORSについて少し調べました。 CORSとは オリジン間リソース共有Cross-Origin Resource Sharing (CORS) は、追加の HTTP ヘッダーを使用して、あるオリジン (ドメイン) で動作しているウェブアプリケーションに、異なるオリジンのサーバーにある選択されたリソースへのアクセスを許可することができる仕組みです。ウェブアプリケーションは、自分のオリジンとは異なるオリジン (ドメイン、プロトコル、ポート番号) からリソースをリクエストするとき、オリジン間 HTTP リクエストを発行します。*1 クライアントサイドの実装は、最近ではIEのごく一部のブラウザ以外で実装されていて、JavaScriptで異なるドメインのサーバへアクセスしようとした時によ

ﾌｷﾁｬﾝ @fumin_kamin 自分の不快には異常に繊細で注文が多いのに他人のバックにそれがあることは全く想定できてない感じとか、ものごとを説明するときにわざわざ自分の世界観の用語を使っちゃう感じとか、ホモソ嫌いを公言するわりに界隈のソーシャルにどっぷり沼って勝手に卑屈になってる感じとかあ〜…あ〜〜〜…あ〜…