タグ

ブックマーク / developer.cybozu.co.jp (17)

  • 脆弱性報奨金制度を開始しました - Cybozu Inside Out | サイボウズエンジニアのブログ

    Cy-SIRT の伊藤です。 サイボウズは 2014 年 6 月 19 日に「脆弱性報奨金制度」を開始いたしました。 脆弱性報奨金制度 - プレスリリース http://group.cybozu.jp/news/14061901.html 今日はサイボウズが脆弱性情報報奨金制度を開始するまでの経緯をご紹介いたします。 脆弱性報奨金制度 脆弱性情報をどう取り扱うか 報奨金制度を設計する 多数の脆弱性情報を取り扱う体制を作る 自社アドバイザリの公開場所を集約する 脆弱性の認定方法を公開する 脆弱性識別番号を全社で活用する 終わりに 脆弱性報奨金制度 サイボウズが脆弱性報奨金制度を実施する目的は、未知の脆弱性情報をいち早く発見し、改修することです。 脆弱性報奨金制度は、海外の多くの企業で開催されています。 Vulnerability Reward Program - Google http://

    脆弱性報奨金制度を開始しました - Cybozu Inside Out | サイボウズエンジニアのブログ
  • cybozu.com を真に常時 SSL にする話 - Cybozu Inside Out | サイボウズエンジニアのブログ

    @ymmt2005 こと山泰宇です。 今回は cybozu.com を安全に利用するために暗号化した通信(SSL)を常時使用するための取り組みを紹介します。 HTTP と HTTPS HSTS とその弱点 Preloaded HSTS Chrome のリストに cybozu.com を組み込む まとめ HTTP と HTTPS Web ブラウザのアドレスバーに "www.cybozu.com" と打ち込むと、通常は暗号化されない HTTP 通信が行われます。そこでまず考えられるのは、Web サーバーにて HTTP 通信を受け付けたら、HTTPS に永続的リダイレクトをすることです。Apache なら以下のような設定になるでしょう。 <VirtualHost *:80> ServerName www.cybozu.com Redirect permanent / https://www.c

    cybozu.com を真に常時 SSL にする話 - Cybozu Inside Out | サイボウズエンジニアのブログ
  • SECCON CTFで出題したマインスイーパー問題 | TAKESAKO @ Yet another Cybozu Labs

    今年の2月、九州工業大学の飯塚キャンパスにて「第1回SECCON CTF福岡大会」を有志のボランティアメンバーで開催しました。 CTF(Capture The Flag)の競技大会の中では、セキュリティ技術(フォレンジック、暗号、リバースエンジニアリング、ネットワーク解析、Web脆弱性)にフォーカスしたものだけではなく、コンピュータ技術に関する幅広い知識や経験を問うこと言うことで、純粋にプログラミングに関する問題も出しているのですが、その中で、私の出題したPerlワンライナーの問題もこちらのブログで公開してみます。 ■問題:マインスイーパー 改行コードがLFの以下の2つのファイルがあるとする。 (※CR LFでないことに注意) $ cat 16x8.txt ................ ................ ....***.....***. ...**.*....**.*.

  • Kazuho@Cybozu Labs: アクセスログからアテンション(注目情報)をデータマイニングする手法について

    多数のユーザーの行動記録からアテンション情報(注目されているデータが何か)をデータマイニングしたいというのは、大量のデータを扱っているウェブサイトにおいては自然と出てくる要求です。そこで、先月末にサービスを終了したサービス「パストラック」において使用していた、アクセスログから注目度(人気度)の高いウェブページや人名等のキーワードを抽出するためのアルゴリズムを紹介しておきたいと思います。 たとえばはてなブックマークのような、ユーザーの能動的な行為(「ブックマークする」という作業)から注目情報を抽出するのは決して難しいことではありません。それは、直近の一定期間内のブックマーク数=注目度、という前提が上手に機能するからです。現に、はてなブックマークの人気エントリーは、最近24時間程度の期間内にブックマークしたユーザー数の多い URL を降順で並べているように見受けられます。 しかし、アクセスログ

  • Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について

    昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に

    hasegawayosuke
    hasegawayosuke 2010/09/22
    ただの文字列ではなく、 例えばXMLぽく表現するなら 「ab <user id="@foo" /> cd <link href="http://example.jp/"/> ef」みたいな型付データを生成するなら、「同時に適用」でなくてよいように思ったし、そのほうがkazuhoさんっぽいと思った
  • Python SyntaxError Programming | TAKESAKO @ Yet another Cybozu Labs

    SyntaxError? But this Python program which can exec… #!/usr/bin/python _=-~-~(()>[]);_,__=_*_,_**_-~-~_;___=’%’+`SyntaxError`[_];exec”+___*(__+~-~_)%(_*_^-~__,_*_-~__,~__*__/~_,~-~_*~_,_-__^~-~_*_,-~-~__,~-_*_,_/_^~_*~_,_-~-~_*_,_-~-~_*_,_|~-~_*~_,_+__+__/_,__,~_&_*_,__+_|_*_,_-__^~-~_*_,__^~-_*_,_|~-~_*~_,~-~_*~_,-~__,-~-~__) Dan the pad – lleval – run codes from your browser Python 2.6.5 (r265:7

    hasegawayosuke
    hasegawayosuke 2010/05/13
    ↑「変態」タグ建設予定地
  • Cybozu Inside Out: SpiderMonkeyを使ってPHPでサーバーサイドJavaScript

    はじめまして。2009年に新卒で入社しました天野祐介です。amachang を期待された方はゴメンナサイ! 先日 SpiderMonkey を利用して PHP から JavaScript を実行する方法を調べる機会がありましたので、ご紹介します。 SpiderMonkey とは SpiderMonkey は  C で実装された Mozilla の JavaScript エンジンです。 これを PHP から実行する拡張を利用すると、 PHP コード内で JavaScript が実行できます。 SpiderMonkey extension のインストール こちらhttp://devzone.zend.com/article/4704に記載されている方法で CentOS にインストールしてみました。 PHP 5.3.0 以上が必要です。 $ wget http://ftp.mozilla.org

    Cybozu Inside Out: SpiderMonkeyを使ってPHPでサーバーサイドJavaScript
    hasegawayosuke
    hasegawayosuke 2010/02/04
    id:amachang SandBox とするには、SpiderMonkey自身をSandBox上で動かす必要あり。少なくとも print(environment("HOME")); とかで環境変数は取得できる。他に何があるかは知らない。←js shell上の話なので*.soにした場合は当てはまらないかも
  • プログラミングコースOS 自作組 | TAKESAKO @ Yet another Cybozu Labs

    いよいよ明日は最新成果報告会です。大橋検事さんとnaoyaさんの特別講義も終わり、はせがわさんと一緒にBOFの一コマをプロデュースしてきました。

  • セプキャン2009 開始 | TAKESAKO @ Yet another Cybozu Labs

  • 記号でPolyglotプログラミング♪(RejectKaigi2009) | TAKESAKO @ Yet another Cybozu Labs

    RubyKaigi2009の最終日に同じ場所で開催された別のイベント「RejectKaigi2009」にて 「はじめてのRuby1.9プログラミング」と題して、記号Polyglotプログラミングの話をしてきました。 3分という限られた時間でありましたが、貴重な発表の機会を与えてくださりありがとうございます。 取り急ぎプレゼンで披露した記号Polyglotのプログラムを公開しておきます。 ■ hello.pl (という名前ですが、Perlの他にRubyJavaScriptでも実行できるプログラムです) "#{",$/*"}";%#=();$^_^=’?“;">)~${`&&@`{;:+`[[‘,$^_^=’/?")-=^{(=!".=.!,!)&&>’,$^_^=’`-+|{!?“*.((-+({:^(_^’,$^_=”^’+@$@&’^’^.@%@’.’$^_^"";’.$^_^"",’

    hasegawayosuke
    hasegawayosuke 2009/07/20
    "javascript:"スキームをうち忘れてbad requestって怒られたんですね、わかります。
  • Kazuho@Cybozu Labs: Pacific という名前の分散ストレージを作り始めた件

    大規模なウェブアプリケーションのボトルネックがデータベースであるという点については、多くの同意が得られるところだと思います。解決策としては、同じ種類のデータを複数の RDBMS に保存する「sharding」 (別名:アプリケーションレベルパーティショニング/レベル2分散注1) が一般的ですが、最近では、分散キーバリューストア (分散 KVS) を使おうとする試みもみられるようになってきています。 分散 KVS が RDBMS sharding に対して優れている要素としては、事前の分割設計が不要で、動的なノード追加(とそれにともなう負荷の再分散)が容易、といった点が挙げられると思います。一方で、Kai や Kumofs のような最近の実装では eventually consistent でこそ無くなってきているものの、ハッシュベースの分散 KVS は、レンジクエリができなかったり (例:

    hasegawayosuke
    hasegawayosuke 2009/06/10
    7get // 出遅れた
  • Perl で学ぶ x86 アセンブラ入門 (Shibuya.pm#11発表資料) | TAKESAKO @ Yet another Cybozu Labs

    前々回のShibuya.pmテクニカルトーク(XS Nite)では、PerlのC言語拡張モジュールを作成する方法について詳しく解説しましたが、ちょっとしたことを実現するだけでも、PerlVMの構造を理解し、大量のCのマクロを使いこなす必要がありました。やっぱりXSは面倒だよね、ということで、複雑なC言語のレイヤーを飛び越えて一気にPerlからマシン語の世界に飛び込んだらどうなるか?ということをテーマに今回の「no Perl; use x86;」というスローガンを掲げてみました。 ■ 発表資料: Perl で学ぶx86アセンブラ入門 4/22に開催したShibuya Perl Mongers テクニカルトーク #11「no Perl; use x86;」での私の発表資料を公開します。 ■ Perlの正規表現で書く x86 JIT Compiler #!/usr/bin/perl use Dy

    hasegawayosuke
    hasegawayosuke 2009/06/10
    「ちなみに、未定義命令を実行して例外が発生した場合、プログラムカウンタEIPは未定義命令の先頭のままなので、自己書き換えしたい場合は未定義命令そのものを書き換える必要があります。」←試験にでる。
  • Kazuho@Cybozu Labs

    多数のユーザーの行動記録からアテンション情報(注目されているデータが何か)をデータマイニングしたいというのは、大量のデータを扱っているウェブサイトにおいては自然と出てくる要求です。そこで、先月末にサービスを終了したサービス「パストラック」において使用していた、アクセスログから注目度(人気度)の高いウェブページや人名等のキーワードを抽出するためのアルゴリズムを紹介しておきたいと思います。 たとえばはてなブックマークのような、ユーザーの能動的な行為(「ブックマークする」という作業)から注目情報を抽出するのは決して難しいことではありません。それは、直近の一定期間内のブックマーク数=注目度、という前提が上手に機能するからです。現に、はてなブックマークの人気エントリーは、最近24時間程度の期間内にブックマークしたユーザー数の多い URL を降順で並べているように見受けられます。 しかし、アクセスログ

  • TAKESAKO @ Yet another Cybozu Labs | 2015年7月更新停止

    今年の暗黒通信団の夏コミ新刊として『PRMLガール』~ 文芸部のマネージャーが「パターン認識と機械学習」を読んだら ~ をこのたび出版することになりました。 表題:『PRMLガール』 副題:~文芸部のマネージャーが「パターン認識と機械学習」を読んだら ~ 著者:中谷 秀洋 著 文:24ページ 領価:税抜150円 ISBN:978-4-87310-184-2 (C0041) 発行:2013年4月1日 初版 第1刷 元のオリジナルは、id:n_shuyoさんのブログ記事になりますが、今回の夏コミ新刊に際して、プロの漫画家さんによる表紙イラストの描きおろしと、ライトノベル風味のあとがき「あとがきがわりのACガール」を新作として追加しています。 『PRMLガール』はネタとしてお買い求めやすい150円(税抜)と、既刊『円周率1000000桁表』の314円(税抜)の半額以下のKindleストア並の価

  • プログラマーになりたい中学生から取材を受けた | 秋元@サイボウズラボ・プログラマー・ブログ

    中学校の課題で「なりたい職業の人に会って、そのレポートを書く」というのがあるそうで、中学三年生からメールをもらい、サイボウズ・ラボの会議室でインタビューを受けた。 なりたい職業は「ブロガー」じゃなくて「プログラマー」の方ね。グーグルの検索とかで僕のブログが出てきたらしい。 なにがきっかけでプログラマーになろうと思ったのか(電気屋の店頭でパソコンを見つけて)とか、いつからなりたいと思ってたか(小五)とか、プログラマーのいいとこ(スーツ着ないでいいとか)や悪いところ(納期前はたいへん)とか、その他いろいろ用意されてきた質問に答えた。 「プログラマーになりたいと思うからには、今もプログラミングとかしてるんですよね?」と逆質問したところ、今はC言語でDXLibを使ってRPGを作ってるという。その前はJavascriptをやってたそうだ。 最近になって自分専用のパソコンを買ってもらったという。好きな

    hasegawayosuke
    hasegawayosuke 2009/02/06
    すごいな、いまの中学生。
  • 変更された画像もネットから探せる新画像検索エンジンTinEyeがプライベートベータ公開開始 | 秋元@サイボウズラボ・プログラマー・ブログ

    新たな画像検索エンジンTinEyeが、希望者によるプライベートベータ公開をアナウンスした。 さっそく申し込んで、アカウントを貰うことができたので試してみた。 以下がその検索してみた例。一番上が、僕がURLを与えることで指定した「検索したい画像」 ご覧のとおり、元の画像と同じ内容が含まれていることは人間ならわかる画像ばかりなのだけれど、たとえば 髪型が変えられていたり、 全体ではなく部分だけが抜き出されていたり、 背景や文字が加えられていたり、 といった、加工されたと見られる画像も、ネットから探し出すことができている。 TinEyeは現在までに5億枚の画像のクロールしており、画像ごとに独自のパターン認識アルゴリズムを使ってコンパクトでユニークな「指紋」を作成しているのだという。 いつものakkyロゴ でも検索してみたけれど、単純すぎて特徴がない画像は検索できない、というエラーになった。 検索

    変更された画像もネットから探せる新画像検索エンジンTinEyeがプライベートベータ公開開始 | 秋元@サイボウズラボ・プログラマー・ブログ
    hasegawayosuke
    hasegawayosuke 2008/06/27
    すごい。
  • S5を進化させたHTMLプレゼンテーションツールS5 Reloaded | 秋元@サイボウズラボ・プログラマー・ブログ

    via del.icio.us/popular S5 Reloaded HTMLCSSJavascriptだけでプレゼンテーションを作るS5というツールがあって、できるプレゼンテーションファイルも軽量だし、テキストエディタ派の自分としては好んで使っている。 S5にscript.aculo.usというエフェクト系のJavascriptライブラリを適用したのがpresentacularで、プレゼンテーションの各要素に視覚的な効果を簡単に追加できる。 presentacularについてはこのブログをはじめた2005年に紹介していた。HTMLのclassを追加するだけで動くプレゼンテーションが作れるところがいい。 今回あらたに、S5をベースに別の人が作ったS5 Reloadedは、最近登場したいろいろなJavascriptライブラリを組み込むなどして、S5を積極的に改造したHTMLプレゼンテー

    S5を進化させたHTMLプレゼンテーションツールS5 Reloaded | 秋元@サイボウズラボ・プログラマー・ブログ
  • 1