逆向きに接続する Reverse HTTP Transport の仕様 - ASnoKaze blog
『Reverse HTTP Transport』という提案仕様がIETFに提出されています。著者はMetaとNokiaの方々らです。また、HAProxyの方も同様の機能を検討しているそうです(参考URL)。 普通のProxyサーバでは、Proxyサーバからオリジンサーバにコネクション確立するのが一般的です。そのためにオリジンサーバが外部から接続を受けられるようにする必要があります。 Reverse HTTP Transportでは、逆にオリジンサーバからProxyサーバにコネクションを確立し、HTTPリクエストを受け付けるという構成になります。コネクションの確立/TLSハンドシェイクだけが逆向きで、コネクション確立された接続上で、ProxyからHTTPリクエストが送られます。 これによりオリジンサーバをインターネットに公開する必要がなくなります。 プロトコルについて この Reverse
Gormが本番テーブルの数億件のデータを消そうとした話 - keroxpのScrapbox
MySQLの場合、--safe-updatesオプションを利用することでこういった不慮のUPDATE/DELETEを防げるようです
git push -f が更に安全になる --force-if-includes - id:onk のはてなブログ
歴史改変、してますか? 私は歴史改変が大好きで、毎日 rebase しています。なので割と毎日 git push -f することになっています。 口で -f と言っても、実際には --force-with-lease --force-if-includes をしているので、これらのオプションのご紹介。 この記事は はてなエンジニア Advent Calendar 2022 の 18 日目です。昨日は id:rokoucha さんで 壊れたデータベースとの向きあいかた - rokoucha でした。 qiita.com -f の危険性 ...--F--G--H <-- main という状態で push した後、H をコミットし直したとしよう。 ...--F--G--H' <-- main \ H <-- origin/main このまま H' (main) を origin/main に p
AWS Lambda Node.js runtime の EoL に疲れたので Go にしていっている話 - KAYAC engineers' blog
SREチームの藤原です。Tech Kayac Advent Calendar Migration Track 19日目の記事です。いよいよ年も押し詰まってきましたね…! AWS Lambda、使ってますか?最近はサーバーレスという文脈で取り上げられることも多い Lambda ですが、カヤックではそこまでサーバーレスにこだわることはせず、主にイベントドリブンな処理に適切なユースケースに使用しています。 Lambda のリリース当初に用意されていたランタイムは Node.js のみでした。カヤックで最近使うことが多い言語である Go, Ruby のランタイムがサポートされたのが比較的最近だったということもあり、Node.js の Lambda function が比較的多く存在している状況でした。 Node.js EoL (End of Life) ところで、技術基盤チームのリポジトリで「La
激安PC購入でサングラスが届くfacebookに広告表示されたトラブルサイトについてまとめてみた - piyolog
facebookやInstagramの広告に95%引きの激安をうたうサイトが表示される事例が報告されています。サイトを利用した人によれば購入後にサングラスなどが届く模様です。ここでは関連する情報をまとめます。 新品macbookが7,800円? 「在庫一掃セール」と称して、数万円以上する品を格安の数千円で販売するとうたうサイト。 このサイトへの誘導にfacebookやInstagramで広告が使われている。9月頃に目にされる機会が多かったのか知恵袋で複数の報告が挙がっている。今年5月にも広告で出ていたとする投稿もある。 該当のサイトへ誘導するfacebookの広告表示 誘導先のサイトでは大量の販売件数や「もうすぐ終わる」として販売終了時間の表記が行われている。 「販売された」として表記される件数はアクセスする毎に加算される挙動と思われ、少なくともこのページは6000人以上が見ている可能性が
Webシステムアーキテクチャの地図を描く構想 - ゆううきブログ
この記事は第5回Webシステムアーキテクチャ研究会の予稿です。 はじめに Webサービスにおいては、スマートフォンの普及によるアクセス増加に対してスケーラビリティを持ち、個人向けだけでなく企業向けサービスの可用性の要求に耐えられるようなシステム設計が必要とされている。 さらに、Webサービスが人々の生活に浸透したために、Webサービス事業者はサービスを長期間運用することが当たり前となっている。 その間、新機能開発、ソフトウェアの実行効率化、セキュリティ向上などを目的に、システム管理者は自身が管理するソフトウェア群を更新しつづける必要がある。 このような多様な要求を満たすために、Webサービスを開発・運用するエンジニアには、OSやデータベース、ネットワーク、分散システム、プログラミング言語処理系などのコンピュータ工学における広範囲の基礎知識と、ミドルウェア、オペレーション自動化のためのソフト
技術の素晴らしさだけで採用してはいけない - orangeitems’s diary
Docker社の不振 世の中、ドッカーDockerと技術者が言い始めて随分経ちますけれども、その生みの親であるDocker社自体が資金難という記事がアメリカで出ております。 www.zdnet.com (日本語訳) Dockerは、コンテナー技術の代表的な産物であるのですが、一方で企業であるDocker はトラブルの最中にあります。リークしたメモによると、Docker CEO Rob Beardenは「大きな課題をもたらす不確実性」と「過去数週間の不明瞭な状態」に耐えている社員を称賛しました。 何についての明確性の欠如なのでしょう? 同社の近くの情報筋によるとそれはシンプルだという。 Dockerにはもっとお金が必要なのだ。 www.cnbc.com (日本語訳) 今週、Docker CEOのRob Beardenが従業員にメールを送って、会社が資金を集めようとする挑戦を認めました。 Be
我々はフリーソフトウェアの定義を再考すべきなのだろうか? - YAMDAS現更新履歴
mjg59 | Do we need to rethink what free software is? GNOME や Debian 界隈、あと Linux カーネルなど幅広いフリーソフトウェアの開発者として知られ、フリーソフトウェア財団(FSF)が選ぶ Free Software Award の2014年の受賞者でもある Matthew Garrett が、我々はフリーソフトウェアの定義を再考すべきなのか、と問うている。 ライセンスこそがフリーソフトウェアの目標達成に欠かせないツールであり、特にコピーレフトのライセンスは意図的にその利用者が必然的にフリーソフトウェアの四つの基本的な自由を実行する立場になるよう著作権というものを利用してきたとギャレットは話を始める。 そして最近、既存のライセンスに対する2つの懸念とそれを救済するために新たな種類のライセンスを模索する動きがあって、この2つ
脆弱な設定のElasticsearchによるエクアドル全国民情報流出の可能性についてまとめてみた - piyolog
2019年9月16日、VPNサービスのレビュー等を行うvpnMentorはインターネット上でエクアドル国民に関わる大量の情報を発見したと発表しました。ここでは関連する情報をまとめます。 vpnMentorの発表 www.vpnmentor.com 数百万人のエクアドル国民に影響が及ぶ可能性がある大規模なデータを発見した。 発見したのはvpnMentorのリサーチャー Noam Rotem氏、Ran Loca氏の二人。 露出していたElasticsearchには2000万人を超える個人に関わる情報が含まれていた。 vpnMentorはZDnetへ情報提供を行っており、同件の報道が行われている。 どうやって発見したのか vpnMentorは大規模なWebマッピングプロジェクトの一部で確認したと説明している。 既知のIPブロックに対してポートスキャンを実行。 公開状態のデータベースに対してシステ
J-Coin Payテスト環境で発生したデータ削除とビットコイン要求についてまとめてみた - piyolog
2019年9月4日、みずほフィナンシャルグループは同社がサービスを提供しているキャッシュレス決済システム J-Coin Payにおいて、テスト用に構築されたシステムが外部から不正アクセスを受け、システム内で管理していた加盟店等の情報が外部へ流出した可能性があるとして、被害を発表しました。その後、システムに保存されたデータが削除され、ビットコインを要求するメッセージが記録されていたとも報じられています。ここでは関連する情報をまとめます。 みずほフィナンシャルグループの発表 2019年9月4日 [PDF] J-Coin Pay 加盟店管理に関わるテスト用システムへの不正アクセスについて 日時 出来事 2019年8月16日~27日 テスト用システムのIPアドレス制限等が外れた状態となっていた。 2019年8月27日 テスト用システムの加盟店データの削除が発生。みずほFGが不正アクセスを把握。 2
Rustこそがシステムプログラミングの未来(で、C言語はもはやアセンブリ相当)なら、Rustで書かれたドライバのコードをLinuxカーネルは受け入れるべきなのか? - YAMDAS現更新履歴
Intel の主席エンジニアの Josh Triplett の Open Source Technology Summit 2019 での講演 Intel and Rust: the Future of Systems Programming を取り上げ、Rust こそがシステムプログラミングの未来であり、C 言語はもはやかつてのアセンブリ言語である。つまり、未だに OS などのシステムプログラミングの大部分で使われる C 言語は Rust に置き換えられるのではないかと見る記事である。 「Cを愛して…」という文章をワタシが訳したのももはや10年以上前、C が他言語に置き換えられる未来が遂に来るのかと遠い目になってしまう。もっともワタシ自身、4年近く C 言語でコーディングしてないんだよね……。 でも、本当にそうなるのだろうか? 手近なシステムプログラミングの現場である Linux カーネ
SIMスワッピングによるTwitter CEOアカウントのっとりについてまとめてみた - piyolog
2019年8月31日5時頃(日本時間)、Twitter CEOのJack Dorsey氏のTwitterアカウント(@jack)から不審なツイートが複数投稿されました。この投稿は第三者により行われたもので、Twitterの報告によればモバイルキャリアの侵害が原因とされます。またその手口にSIMスワッピングが用いられたと報じられています。ここでは関連する情報をまとめます。 Twitter CEOアカウントから爆弾が仕掛けられたとツイート . @jack has been hacked pic.twitter.com/E2p9IopnSx— Yashar Ali 🐘 (@yashar) 2019年8月30日 CEOのアカウントから不審な投稿は10分間続いた。 不審な投稿は20件程度行われてたとみられる。 レイシストやナチスを称賛する投稿等もリツイートされていた。 Twitter本社に爆弾が仕
ドロップキャッチを悪用したTwitterのっとりについてまとめてみた - piyolog
2019年8月10日、DIANNAプロジェクトは同社が運営する公式Twitterアカウントが不正ログインされたと発表しました。不正アクセスの詳細については発表されていませんが、SNS上の投稿等からドロップキャッチを悪用しアカウント奪取が行われた可能性があります。ここでは関連する情報をまとめます。 被害の状況 diannaproject.jp 応援して下さっている皆様へ いつも応援ありがとうございます。 のっとり、なりすましの件は警察、IT弁護士に相談致しました。 それでも親として不安は強く東京遠征後の活動について今娘と話し合いの最中です。 答えが出るまではSNSをお休みさせて頂きます。 ゆうか母 pic.twitter.com/AF4usYFTD9— ゆうか (@DP_YUUKAA) August 9, 2019 DIANNAプロジェクトからの公式発表によれば次の被害を受けたとみられる。
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
iPhoneのBluetoothをオンにしているだけで付近の人に電話番号が漏れてしまうことが判明
by 贝莉儿 NG セキュリティサービス会社であるHexwayに所属するDmitry Chastuhin氏は自社ブログへの投稿で、「iPhoneでBluetoothをオンにしていると電話番号が付近の人に漏れてしまう」という不具合が見つかったと発表しました。 GitHub - hexway/apple_bleee: Apple BLE research https://github.com/hexway/apple_bleee Apple bleee. Everyone knows What Happens on Your iPhone – hexway https://hexway.io/blog/apple-bleee/ iPhone Bluetooth traffic leaks phone numbers -- in certain scenarios | ZDNet https:/
sshd再起動時にssh接続が継続する動作について | ギークを目指して
Linux/Unixサーバにsshしている際、sshdを再起動したとする。 sshdは一度終了する訳だから、現在接続しているsshも切断されるかと思いきや、接続は継続する。 今まであまり気にしていなかったけど、この振る舞いについて調べてみた。 先ず、現象の確認から 対象サーバにssh接続し、sshdを再起動してみる。 $ ssh ryozo@192.168.56.12 # 対象サーバに接続 $ hostname centos1.example.jp $ sudo service sshd restart sshd を停止中: [ OK ] sshd を起動中: [ OK ] $ hostname centos1.example.jp sshdは一度停止されているにもかかわらず、対象サーバからは切断されていない。 プロセス構造から理由を探る sshdプロセスの構成 先ず、sshdプロセスの構
Raspberry Pi 4のUSB Type-Cポートが仕様通りでない話の詳細
Raspberry Pi 4のUSB Type-Cポートが仕様に準拠した設計になっていない件について、日本語で解説している記事がないので解説してみます。 ※この問題を最初に報じたscorpiaの記事の5番煎じみたいな記事なので、英語に抵抗ない人はそっちを読むことをオススメします。 2019年12月1日 追記 技適マークありのRaspberry Pi 4が日本でも販売開始となりましたが、OKdo版・Element14版、どちらも本記事で解説している欠陥は修正されている模様です。 RSで販売しているOkdoロゴのあるPi4は、バグを改修している版になります。 https://t.co/GypQ1CyG10 pic.twitter.com/lli9Tfjejl — RSコンポーネンツ (Pi4販売開始!) (@RSJapanMK) November 26, 2019 Element14版の裏面で
政府機関向けメールを狙うタイポスクワッティング報道について調べてみた - piyolog
2019年7月2日、NISCへの取材を通じて、政府など国の組織が利用しているJPドメイン名「go.jp」のタイポスクワッティングを用いたメールの盗み見が起きていたと報じられました。ここでは関連する情報をまとめます。 メール盗み見報道 www.tokyo-np.co.jp 内閣サイバーセキュリティセンター(NISC)を取材元として共同通信が報道。 手口はタイポスクワッティング(タイプミス)で送られてきたメールを盗み見るというもの。 「省庁名.go.jp」となるところを「省庁名go.jp」とgoの前のドットを抜いたJPドメイン名が取得されていた。 NISCが「新たなサイバー攻撃」として2018年度に把握した件数は5件。 5件のメールが正規のサーバーとは異なるサーバーを経由して政府組織に届き発覚。 攻撃時期、対象となった省庁、窃取に用いたとみられる偽アドレスは非公開。 MXレコードが設定された「
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Surface Laptop 3」の予期せぬ突然の画面割れ、無償修理へ
Hatena ID
