Webアプリケーション実行環境におけるセキュリティ - Speaker Deck福岡ゆるっとIT交流会 vol.9「セキュリティの話を聞こう」 2019/01/25 さくらインターネット株式会社 さくらインターネット研究所 上級研究員 松本亮介 / まつもとりー / @matsumotory
Webサイトへのサイバー攻撃に備えて 2018年7月
1. 概要 JPCERT/CCでは、Web サイトに対する被害の報告を複数受けています。特に、Web サイトの改ざんや、情報窃取などの被害が発生した場合は、サービスの停止や顧客への補償など、事業に直結する影響を受ける可能性があります。そのため、Web サイトへのサイバー攻撃に備えて、自身が運営するWeb サイトに対して定期的な点検を行うことを推奨いたします。 図1. Web サイト改ざん件数の推移 ( JPCERT/CC インシデント報告対応レポートhttps://www.jpcert.or.jp/ir/report.htmlより) 2.Web サイトへのサイバー攻撃の事例 以下は、JPCERT/CCが確認した、代表的な Web サイトへの攻撃です。 (1) CMS で構築した Web サイトへの侵入と改ざん 図2. 「CMS で構築した Web サイトへの侵入と改ざん」の例 2018年3
Owasp Project を使ってみた
OWASP Night 19th で、サイボウズが活用する OWASP Project の成果物を紹介いたしました。Read less
SRE サイトリライアビリティエンジニアリング
サイトリライアビリティエンジニアリング(SRE)とは、Googleで培われたシステム管理とサービス運用の方法論です。GoogleのSREチームの主要メンバーによって書かれた本書は、ソフトウェアのライフサイクル全体にコミットすることで世界最大規模のソフトウェアシステムがどのように構築、導入、監視、維持されているのかを解説します。 はじめにリスク管理やサービスレベル目標、リリースエンジニアリングなどSREの行動の基礎となる原則について解説し、次にインシデント管理や障害の根本原因分析、SRE内でのソフトウェア開発など大規模分散コンピューティングシステムを構築し運用するSREの実践について詳述します。さらにSREのトレーニングやコミュニケーションなどの管理について紹介します。 急速にスケールするサービスを高い信頼性で運用する方法を解説する本書はエンジニア必携の一冊です。 本書への推薦の言葉 監訳者
ISUCON 夏期講習 2017 を開催しました(当日の資料あり) : ISUCON公式Blog
学生限定イベント「ISUCON 夏期講習 2017」を開催いたしましたのでスライドなど共有します。 当日は、優勝・優勝・出題・3位・優勝・準優勝というISUCON戦歴をもつ最強講師、面白法人カヤックのfujiwaraさんお越しいただきました。 ISUCON夏期講習お待たせしました。最強講師 fujiwara組長にお越しいただけることとなりました!学生の皆さま、これはチャンスです!是非ご参加くださいませ(締め切りが早いのでご注意ください) #isucon https://t.co/xEcThfqoc5 — ISUCON公式 (@isucon_official) 2017年7月27日 ISUCON = Iikanjini Speed Up CONtest だと知って驚く方が毎年一定数いらっしゃいます。 当日は講義編と実践編の二部構成で「わかる!ISUCON!」と言い切りたいレベルで大変よくわか
実践!ヌーラボサービスでの CloudFront の障害対策 | 株式会社ヌーラボ(Nulab inc.)
CDNが単一障害点にならないようにするために ヌーラボでは 2010 年 Cacoo の商用サービスの開始に合わせて AWS における運用を開始しました。当時、運用環境として AWS を採択する決め手の一つになったのが CloudFront でした。その後も着々とエッジロケーションは増え、独自ドメインのサポートなど魅力的な機能も提供され、今ではヌーラボの全サービスの静的ファイルの配信で利用している、無くてはならないサービスとなっています。 その魅力の反面、CloudFront の障害は、アプリケーションそのものに問題がなくても、以下のような表示が崩れた画面が表示されて、ユーザが全くサービスを使えなくなるという、その影響が非常に大きいものです。また障害の原因が DNS やネットワークの経路における問題といった、私たちが直接解決しにくい領域にあることもしばしばです。 ただ、どんな事情であれ、障
開発支援系のサービスが充実しすぎて転職か廃業を考えた | Ore no homepage
なんて表現したらいいかわかんなくて、開発支援系サービスって謎表現したけど…。なんつーか、開発支援向けのサービス?クラウドってやつ?ってかいわゆる外部がやってくれる系のサービス(モニタリング/ホスティング/etc)が充実してますよね。んで、一介のWebエンジニアのおれがこの先生きのこるにはどうするかを真剣に考えていたところだった。きのこ。何割かはネタ。 思いついたものを挙げてみる。AWSやGitHubは割愛。言うまでもねーだろ…。 New Relic http://newrelic.com/ 有名なNew Relic。これも説明するまでもないかな。今のチームでコレのお金払う版を使ってるんだけど、「外部APIとの通信個所とDBとの通信個所が遅いように思えるので調査しますわ」→「それNew Relicで見れるよ」とか「各テーブルへのアクセス頻度集計しますわ」→「それNew Relicで見れるよ」
アンドロイドスマートフォンプライバシーガイドライン
「アンドロイドスマートフォンプライバシーガイドライン by タオソフトウェア」は、総務省のスマートフォンプライバシーイニシアティブに沿って、アンドロイドのアプリケーションプログラマが、 利用者が安心して利用できるアプリケーションを効率的に設計し、公開が行えるよう支援することを目的として、 アンドロイドのアプリケーションプライバシーガイドラインとしてまとめたものです。 総務省のスマートフォンプライバシーイニシアティブを原文として、アンドロイドのアプリケーションプログラマ(アプリケーション提供者)に必要な事項をピックアップし、 アンドロイド特有の要件を追加して再構成しました。 また、プライバシーポリシーの記載方法など、実際の運用に役立つように記載をしています 多くの方に利用して頂けたらと思いApatch License2として無償にて公開致しております。 一つでも多くのアプリケーションがプリバ
どれだけネットワーク帯域を消費しているか測定してみよう·BitMeter OS MOONGIFT
BitMeter OSはマルチプラットフォームで使えるネットワークワークモニターです。Webブラウザまたはデスクトップクライアントがあります。 BitMeter OSはWindows/Mac OSX/Linuxで使えるネットワーク帯域モニターです。Webブラウザ上でグラフィカルなモニタリンググラフをリアルタイムに描画します。インストールしたマシンのネットワーク利用状況が一目で分かるようになります。 インストーラーを使います。実際の表示はWebブラウザで行います。 更新はリアルタイムに行われます。赤がダウンロード、緑がアップロードになります。Scaleの所にあるUp、Downで表示範囲を拡大、縮尺できます。 ストップウォッチ機能を使えば有効にしている時だけのネットワーク帯域利用状況を測定できます。 履歴です。分、時、 日ごとのネットワーク利用状況を表示します。計測を続けることで利用状況の変化
データベースのスケーラビリティをどうやって向上させるか
これまでPublickeyではデータベースのスケーラビリティに関するさまざまなトピックを取り上げてきました。クラウド時代にはスケーラブルなデータベースのニーズがこれまでになく高まっているためです。 この記事では、これまで取り上げてきたデータベースのスケーラビリティに関する技術を少しまとめて紹介しようと思います。 従来のリレーショナルを拡張 従来のリレーショナルデータベースに対して、技術的工夫を凝らすことでスケーラブルなデータベースを実現しようというアプローチにも、さまざまなものがあります。 データベース研究者の大御所、マイケル・ストーンブレイカー氏は、リレーショナルデータベースは決して遅くないと主張。リレーショナルデータベースが遅い原因はロック、ラッチ、リソース管理にあるとして、それらを極力排除した「VoltDB」を開発しています。 NoSQLを上回る性能のVoltDB、そのアーキテクチャ
サーバの生死管理をWeb上で統合管理する·SmokePing MOONGIFT
SmokePingはネットワーク監視システム。Pingの遅延速度などをグラフ化する。 SmokePingはPerl製のオープンソース・ソフトウェア。ネットワークは目に見えないため、トラブルがあった時の原因究明に時間を要する場合が多い。目に見える断線とかであれば良いが、見た目は普通なのになぜか繋がらないといった場合が多い。 グラフ そんな時にはネットワーク調査用のツールが多々使われるが、Webベースで調査やレポートを提供してくれるのがSmokePingだ。 SmokePingはMRTGやRRDtoolの開発者でも知られるTobi Oetikerが開発しているネットワーク管理用ソフトウェアで、ネットワークの遅延を中心として計測し、グラフ化する。分散した測定に対応しマスター/スレイブによる測定を行う。全ての結果はグラフで表示されるようになっている Webベースのtraceroute 最新版ではS
[1] オープンソースのクラスタソフトLinux-HA
「障害が発生しても止まらないシステムを実現したい」「災害に備えたリアルタイムの遠隔バックアップやシステムの二重化を行いたい」「大容量データをバックアップしたい」---震災以来、これらはシステムにとっての大きな課題となっている。 これらを実現するHA(高可用性)システムは、無償で利用できるオープンソースソフトウエア(OSS)で実現できる。そのためのOSS群が「Linux-HAクラスタスタック」である。 Linux-HAクラスタスタックは、仮想化環境やクラウド環境で使うこともできる。今回を含めて5回にわたって、Linux-HAクラスタスタックおよびこれを構成するソフトウエアの概要を紹介する。 HAクラスタの仕組み サーバーハードウエアの故障やメンテナンス、ソフトウエアの動作障害については、2台のサーバーを用意して、Linux-HAクラスタスタックのHeartbeatとPacemakerなどのク
![[1] オープンソースのクラスタソフトLinux-HA](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
オープンソースのリアルタイムWeb解析/モニタリングツール「Snowfinch」 | OSDN Magazine
フィンランドのベンチャー企業Kisco Labsは5月24日、オープンソースのWeb解析ツール「Snowfinch」を発表した。「Ruby on Rails」と「MongoDB」をベースとしたもので、リアルタイムでのWebトラフィック分析が可能という。 Snowfinchは「過去のデータではなく、現在起こっていることを分析する」ことを目的とするのが特徴。ダッシュボードにあるテキスト入力スペースにURLを入力して追跡するWebサイトを指定すると、アクティブビジター、その日のページビュー、その日のユニークビジターの3つのデータを、数値とチャートにより表示する。データは1秒おきに更新される。 クエリベースおよびリファラベースの2種類のセンサーによるモニタリングも可能。クエリベースはキャンペーン測定などに適しており、リファラベースはソーシャルメディアからのトラフィック測定などに適しているという。
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
メール送信をRESTfulに行うApacheモジュール·mod_sendmail MOONGIFT
mod_sendmailはメール送信(sendmail)機能をApacheモジュールとして提供するライブラリ。 mod_sendmailはApache用のオープンソース・ソフトウェア。Webサービスを開発するには幾つかの技術を組み合わせる必要がある。扱いやすさで言うと、HTML/JavaScript/CSS/サーバサイドの言語は問題ないだろう。若干面倒になるのがデータベースとメールだ。 LDAP認証例 メールは特に面倒くさい。ユーザ登録などでよく使われるがデータベースにトランザクションをしつつメールを送信して無事送信できればコミットをする。プロトコルが違う部分は実装がしづらくなる。だがmod_sendmailはその面倒さを解消してくれそうだ。 mod_sendmailはメール送信にRESTfulなインタフェースを提供してくれるApacheモジュールだ。この手のライブラリは元々あったのでは、
RAIDレベルの話: 1+0と6はどっちが安全か? - たごもりすメモ
仕事でちょっくら12台のHDDを使ったRAIDアレイを組むんだけど、その折にちょうどTwitterで「RAID-1+0にしないとRAID-6とか怖くて使えませんよ!」というウソ八百な内容のWebページのURLを見掛けたので、いいかげんそのような迷信が消え去ってもよかろうと思って書くことにした。 1重ミラー設定のRAID-1+0は安全性においてRAID-6に劣る。ただし、正しく運用されている場合に限る。*1 知っている人はずっと前から知っている事実ではあるんだけど、某巨大SIerなんかでも高い方が安全に決まってる的な残念な脳味噌の持ち主がいっぱいいて「いやあデータの安全性を考えるとRAID-1+0」とか考えもなしにクチにし、そっちの方がディスクがいっぱい売れて嬉しいストレージベンダーもニコニコしながら否定せず売りつけて去っていくといううわなにをす(ry まあそんな感じで。ちなみに正しくない運
DeNAによる大規模なMySQLノンストップ運用の裏側にある、フェイルオーバー自動化ツール
4月11日から米サンタクララで行われた「MySQL Conference & Expo 2011」。このイベントでDeNAの松信嘉範(まつのぶよしのり)氏が、同社の大規模なMySQLの運用を支えている技術とツールについてのセッション「Automated, Non-Stop MySQL Operations and Failover」を行いました。 プレゼンテーションの中で、社内で利用しているフェイルオーバーの自動化ツールをオープンソース化することにも触れています(英語のドキュメントも作成中とのこと)。 MySQLの大規模運用における自動フェイルオーバーは、特にクラウドでのMySQLの利用が増えるにつれてニーズが高まる分野と思われます。セッションのスライドが公開されていますので、そのポイントを紹介していきます。 自動化されたノンストップなMySQLの運用 ソーシャルゲームでは高可用性が強く求
ネットワーク管理者向け。ネットワーク監視システムをRuby on Railsで·Snorby MOONGIFT
SnorbyはSnortなどと連携させるRuby on Rails製のネットワークモニタリングシステム。 SnorbyはRuby/Ruby on Rails製のオープンソース・ソフトウェア。Webアプリケーション化が進むと、これまでイントラ内にあったサービスをパブリックなインターネット上に置くようになっていく。そうなると心配なのがセキュリティだ。 ダッシュボード サービス上の問題についてはもちろん、利用しているWebサーバやデータベース、SSHなどクラッカーが狙う可能性がある場所は無数に存在する。そんなネットワークを流れるパケットを監視するソフトウェアがSnorbyだ。 Snorbyは有名な監視システムであるSnortやSuricataまたはSaganなどを使ったソフトウェアで、モニタリングシステムをRuby on Railsで開発している。それもあってか、非常に見やすい優れたUIなのが特
高速ならばどんなデータも圧縮して送れる·Snappy MOONGIFT
SnappyはGoogle製の高速なデータ圧縮/解凍ライブラリ。 SnappyはC++製のオープンソース・ソフトウェア。巨大なファイルを送信する場合、圧縮して送るのがマナーだ。数GBのファイルであっても圧縮すれば半分くらいになる可能性がある。送信元、送信先双方にとって嬉しい仕組みだ。 逆にサイズの小さいものはあまり圧縮を意識されることが少ない。だがちりも積もれば山となる、特にデータの送受信量がとても多いGoogleではそう感じられるだろう。圧縮率は高くないが、とにかく高速な圧縮/解凍ライブラリがSnappyだ。 Snappyはデータの圧縮/解凍ライブラリだ。とは言っても圧縮率は高くない。zlibに比べて20〜100%も大きいらしい。だがSnappyの目的は高い圧縮率にある訳ではなく、その高速さだ。圧縮の場合で250MB/s、解凍の場合で500MB/sという高速処理ができるようになっている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ほんとうに大事なサービスを守れるのか!? 実運用に向けてAWS WAFを検討してみた
