ShellShockの衝撃 -- バグの舞台裏
原文(投稿日:2014/09/29)へのリンク 現在悪名高い、例のbashのバグCVE-2014-6271 は、後に「ShellShock」として知られるようになった。このバグはコードのリモート実行を許可してしまうもので、直接的または間接的にbashスクリプトを実行しているサーバに対し、巧妙に作成されたデータをネットワーク越しに送信することで起こる。最初のバグは修正されたが、後続の、解析ルーチンに関するゼロデイの懸念は2つ目の脆弱性CVE-2014-7169をもたらした。こちらの脆弱性は公開されてから週末にかけて修正された。しかし、この脆弱性はなぜ起こったのだろうか。また、この手のバグはこれが最後となるのだろうか。FreeBSDやNetBSDは、関数を自動的にインポートする機能をデフォルトで無効にした。将来の脆弱性を防ぐためだ。 問題が発生する理由は、Bashシェルにとある機能( バグでは
Docker: Linuxコンテナを使ってアプリケーションの配置を支援する
サーバアプリケーションの配置はますます複雑になっています。いくつかのPerlスクリプトをコピーするだけでインストールが完了する時代は終わりました。今日、ソフトウエアは多くの種類の要求を抱えています。 インストールするソフトウエアやライブラリの依存物("Python >= 2.6.3とDjango 1.2に依存する") 実行するサービスへの依存("MySQL 5.5とRabbitMQのキュー"が必要) 特定のOSに対する依存("64-bit Ubuntu Linux 12.04でビルドとテストをした") リソースの要件: 利用可能なメモリの最少量("1GBのメモリが必要") 特定のポートへのバインド("80と443を使う") 例えば、比較的シンプルなアプリケーションの配置を考えてみましょう。Wordpressです。典型的なWordpressのインストールでは、 Apache 2 PHP 5
JettyがSPDYをサポート
原文(投稿日:2012/03/20)へのリンク Jettyはバージョン7.6.2のリリースで、SPDY™プロトコルをサポートした。当初はバージョン8.2向けに実装されていたが、7.6.2と8.1.2に後方移植された。また、JettyとHightideアプリケーションサーバの今後のバージョンでもサポートされる予定だ。 SPDY™は次世代のHTTP接続向けトランスポートレイヤであり、デフォルトではGoogle Chromeで利用できる。また、Firefox 11ではコンフィグを設定すると有効になる。まだ標準化されていないが、IETFへhttpbisワーキンググループのドラフトとして提案されている。多くのGoogleのサービスはSPDY経由で利用できる。また、一般的なウェブサイトにもSPDYをサポートしているサイト(such as WebtideやTwitterなど)がある。 SPDY™はTLS
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
クレイジーなWebサービス標準の全てを理解する
SOAP とWSDL(Web Service Description Language)が、ヘテロジニアスなシステム間の通信とデータ交換を容易にするための標準として紹介されてから、8年が経過しました。それ以来、総称してWS*と呼ばれるプロトコルの混乱によって、特定の通信要求とケースの際に容易になるSOAP(そして、場合によってはWDSL)の拡張としても紹介されることとなりました。SOAP とWSDL(Web Service Description Language)が、ヘテロジニアスなシステム間の通信とデータ交換を容易にするための標準として紹介されてから、8年が経過しました。それ以来、総称してWS*と呼ばれるプロトコルの混乱によって、特定の通信要求とケースの際に容易になるSOAP(そして、場合によってはWDSL)の拡張としても紹介されることとなりました。 本稿では、もっともよく耳にするWS
InfoQ: RESTfulアプリケーションにおけるハイパーメディア
アプリケーションの状態は、「セッションの状態」という名でも知られ、RESTの「ステートレス」な制約によって表される状態の一つでもあります。そして、それはクライアントが単独で保持する必要があります。対照的に、VNCやWindowsのリモートデスクトップといったリモートセッション技術を使用しているならば、アプリケーションの状態はサーバー上で完全に保持されます。 「ハイパーメディア」という言葉は、「ハイパーテキスト」(彼の発案です)を一般化するものとして1962年にTed Nelson氏によって発案されました。ハイパーテキストがテキストドキュメントのリンクを含んでいるのに対し、ハイパーメディアは、その範囲を全てのメディア形式に拡張しました。当然、両者の主要ポイントは、私たちが使用する内容にリンクが埋め込まれているということです。 制約の実例 REST は、2003/2004年にインターネット関連
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cassandra、2.1リリースに向け勢いづく
WiX – .NETアプリのインストールパッケージ作成ツール
プロトタイプを捨てよう
一生懸命働いていますか?
Web API Design - 開発者が愛するインターフェイスを作る
ソフトウェアアーキテクチャ関連ポッドキャストの薦め
MacRuby まとめ: 0.7 リリース,GCD ベースの Web サーバ,BridgeSupport
Web 2.0アプリケーションでは依然としてアクセシビリティが懸念されている
SunがオープンソースPDF Rendererをリリース