xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp
Linux Daily Topics xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 “アップストリームのxzリポジトリとxz tarballsはバックドア化されている(The upstream xz repository and the xz tarballs have been backdoored)”―2024年3月29日、Microsoftに所属する開発者 Andres Freundが「Openwall.com」メーリングリストに投稿したポストは世界中のオープンソース関係者に衝撃を与えた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要なLinuxディストリビューションにはほぼ含まれているデータ圧縮プログラ
第94回 サイトの防御とFail2ban[その1] | gihyo.jp
昨今は北朝鮮のミサイル実験がらみで、THAADやイージス艦、PAC3など、ミサイル防衛システムに関するニュースをよく耳にします。筆者はあまりミリタリー系には詳しくないものの、これらの防衛システムは敵国が発射したミサイルを迅速に検知し、ミサイルが目標に到達するまでに迎撃する仕組みだそうです。 一方、インターネットの世界でも、外部からの攻撃を早期に検知し、サイトを防御するための仕組みがさまざまに開発されています。今回はそれらの仕組みの中から、筆者が愛用している"Fail2ban"というツールを紹介してみましょう。 Fail2banについて インターネット上でメールやWebのサーバを運用している人は、ログファイルにこのようなメッセージが出力されているのをしばしば目にしていることでしょう。 Aug 20 10:42:23 nsv sshd[29206]: connect from 59.63.18
![第94回 サイトの防御とFail2ban[その1] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/db0171139850c265c4ab07615dc7ee6b91782216/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F457_gansiki.png)
SQL緊急救命室 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
第3回 Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング | gihyo.jp
前回は、Webアプリケーションにおける受動的攻撃の代表例の1つであるXSSについて、原理や対策を振り返りました。今回は、同じく受動的攻撃の代表例であるCSRF、オープンリダイレクト、クリックジャッキングについて掘り下げて解説していきます。 CSRF(クロスサイトリクエストフォージェリ) CSRFはどのように引き起こされるのか CSRFとは、たとえば掲示板の書き込みや設定情報の変更などの機能に対して、攻撃者のサイト上に設置されたフォームなどから強制的にリクエストを発行することで、ユーザーの意図していない操作と同様の結果をもたらす攻撃手法です。Webアプリケーションに永続的な副作用がある機能が攻撃の対象となります。 たとえば、http://example.jp/上に設置された掲示板で以下のようなHTMLがあったとします。 <form method="POST" action="/board">
第6回 UNIXプログラミングの勘所(1) | gihyo.jp
本連載では第一線のPerlハッカーが回替わりで執筆していきます。今回のハッカーはJapanizeやText::MicroTemplateなどで有名な奥一穂さんで、テーマはUNIXプログラミングです。 はじめに 「正しいプログラム」を書くために必要な知識とはなんでしょうか。テストが正しく実行されることは、正しいプログラムであるための必要条件に過ぎません。プログラミングにおいてはプログラミング言語だけでなく、OSの動作やデータベース、ネットワークプロトコルなど、さまざまな知識が必要になります。 PerlはもともとUNIX系のOS(LinuxやFreeBSD、Mac OS XなどのOSを本稿では以下UNIXと総称します)の上で処理を行うためのスクリプト言語として開発され、今日でもPerlプログラムの多くはUNIX上で実行されています。しかし、「Perlでプログラミング」と言った場合はともすれば
第3回 ConoHaオブジェクトストレージを使ってみよう | gihyo.jp
ConoHaにはOpenStack Swiftベースのオブジェクトストレージが用意されています。これはその名のとおりストレージサービスの一種で、単独でもVPSと組み合わせてでも使うことができます。今回はそのしくみや使い方を解説し、応用的な使い方もいくつか紹介します。 オブジェクトストレージとは オブジェクトストレージは、大容量のデータを低価格で格納するのに適したストレージです。容量無制限で上限を気にせずデータを追加できるため、増え続けるデータをスケーラブルに格納できます。また、内部でデータのコピーを保持するため(ConoHaの場合は三重にコピーされます)、高い耐障害性、信頼性が実現されています。 オブジェクトストレージの特徴は、データを「オブジェクト」という単位で扱うこと、およびそのオブジェクトをAPI経由で操作することです。オブジェクトとは、一般的な「ファイル」にメタデータ(オブジェ
2012年3月2日号 DNSレゾルバの変更・Unityのキーバインド・Unityに貢献する方法・MWC2012・UWN#254 | gihyo.jp
Ubuntu Weekly Topics 2012年3月2日号DNSレゾルバの変更・Unityのキーバインド・Unityに貢献する方法・MWC2012・UWN#254 12.04の開発 Preciseの開発はBeta 1を目の前にして、UI Freeze等の「もうこれ以上触らない」モードへの移行が行われています(ただし、速攻で例外も宣言されています)。 とはいえ、Beta1直前に投入される多くの変更がUbuntuの開発の特徴でもあり、今週も大きな変更が加えられています。順に見ていきましょう。 DNSレゾルバに関する大きな変更 Linuxには、DNSに関する2つの常識があります。ひとつは「DNSサーバーの設定は/etc/resolv.confファイルを編集して行う」こと、そしてもうひとつは、「名前解決の結果はキャッシュされず、毎回問い合わせる必要がある」というものです。 この常識のうち
第10回 yum, rpmインストールにおけるMySQL 5.6とMySQL 5.7の違い | gihyo.jp
MySQL道普請便り 第10回yum, rpmインストールにおけるMySQL 5.6とMySQL 5.7の違い 第8回 MySQLのバージョン体系を知るの中で、yumでインストールしたMySQL 5.6をMySQL 5.7にアップグレードしました。今回はアップグレードではなく、MySQL 5.7を新規にyumでインストールする場合のMySQL 5.6との違いを説明したいと思います。 MySQLのインストール方法はいくつかありますが、yumリポジトリーを利用したインストールが好んで選ばれるケースは、おそらくChefのレシピやDockerfileに利用する際ではないでしょうか。筆者はサンドボックス環境にはDockerをよく利用していますが、イメージを作成する際には原則MySQL公式のyumリポジトリーを使うようにしています。 yumリポジトリーを使用したインストール MySQL開発元のOrac
PHPの生みの親、ラスマス・ラードフ氏インタビュー | gihyo.jp
PHPの生みの親、ラスマス・ラードフ氏インタビュー 2015年12月に無事公開されたPHP7。その公開に先立ってPHPの生みの親であるラスマス・ラードフ氏に話を伺う機会がありました。英語で行われた一時間のインタビューは長大ですがラスマス氏の思想がよく分かる話題が多く、可能な限りそのままの形でお伝えすべく、その模様すべてをお届けします。 なお、インタビューは10月に開催されたPHPカンファレンス2015の講演終了後に行われ、リリースに関する話題などはその時点でのものです。 現在の仕事と生い立ち ―――― まずは、PHPを作ってくださってありがとうございます。今日の基調講演もすばらしかったです。 ラスマス:ありがとうございます。 ―――― いきなりですが、個人的な質問から始めてもいいでしょうか。 ラスマス:どうぞ。 ―――― Etsyではどのようなお仕事をなさっているんですか? ラスマ
PHPはどのように動くのか ~PHPコアから読み解く仕組みと定石:書籍案内|技術評論社
2015年9月17日紙版発売 2015年9月17日電子版発売 蒋池東龍 著 A5判/248ページ 定価2,508円(本体2,280円+税10%) ISBN 978-4-7741-7642-0 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 同じようなスクリプトなのに,なぜパフォーマンスが違うのか? オブジェクト指向だと,なぜ遅いのか? PHP7は,なぜ速くなったか? 最も人気のあるWeb用プログラム言語であるPHPの知られざる内部構造を解説した,日本初の書。「メモリを節約したり,処理を軽くしたりするスクリプトを書くには」「パフォーマンスの高いExtensionを作るには」「Zen
第1回 新しくなったConoHaはすごいぞ | gihyo.jp
クラウドとしてConoHaを選択する理由 「ConoHa」は「必要な機能をシンプルに、わかりやすく」をコンセプトにGMOインターネット株式会社が提供する、OpenStackをベースに構築されたパブリッククラウドです(図1)。もともとConoHaは2013年にVPSサービスとして登場し、高パフォーマンスな仮想サーバ、使いやすいコントロールパネルなどで、多くの方からご好評をいただいてきました。ConoHaは2015年5月18日にサービスの大幅拡充を行い、VPSの枠にとどまらず、クラウドとして必要となる多くの機能が追加されました。本連載ではConoHaの特徴や魅力、実際のユースケースをもとにした応用的な使い方などを紹介します。 図1 ConoHa ConoHaの考える「クラウド」 「クラウド」というキーワードにはいろいろな意味がありますが、ここではいわゆるIaaS型のクラウドサービスを指しま
第5回 位置情報を保存しよう(前編):位置情報サービスのはじめ方|gihyo.jp … 技術評論社
今回から2回に分けて、位置情報をDatastoreに格納する方法をいくつか紹介します[1]。 数値型で保存する 緯度経度の情報をデータベースへ格納するときに、もっとも簡単な方法が数値型として保存する方法です。緯度経度がとりうる値の範囲は、以下の通りですので、システムに必要な小数点以下の数字を考慮して型を決めましょう。 はてなフォトライフでは、写真に緯度経度のメタ情報を設定することができますが、高精度な緯度経度情報は必要ないので、型を以下のように指定しています。 latitude decimal(7,4) longitude decimal(7,4) decimal(7,4)という指定は、10進数で7桁のデータで、小数点以下は4桁まで格納するというものです。 あるオブジェクトの緯度経度を保存し、表示するだけならこれだけで十分ですが、位置情報を中心に扱うサービスになると、格納したデータを緯度
第8回 MySQLのレプリケーション構成 | gihyo.jp
第8回はMySQLの代表的なスケールアウト構成であるレプリケーション機能について解説します。 レプリケーションとは データベースでのレプリケーションは、多くの場合データを複数のサーバで保持することで、処理性能の拡張性や耐障害性の向上を狙いとしています。レプリケーションによってデータの複製が作成されることにより、1台のサーバに障害が発生した場合でもデータを失うリスクが削減できるほか、システムを継続利用できる可能性が高まります。さらに複数のサーバにデータが複製されている場合は、データ参照処理を分散できる利点があります。 MySQLサーバのレプリケーション機能は2000年5月にリリースされたMySQL 3.23.15から実装されており、MySQLサーバの中でも初期から含まれている機能の一つとなっています。 参考URL C.3.46 Changes in Release 3.23.15 (08 M
PHP処理系の未来 | gihyo.jp
PHPユーザーの皆様、あけましておめでとうございます。本稿ではPHPとHHVMの2つのPHP処理系について紹介します。今後のPHPのトレンドを占うのにお役立ていただければ幸いです。 PHPの現在 本稿執筆時のPHPの最新バージョンは5.6.4です。最近のPHPはマイナーバージョンアップを1年ごとに繰り返すスタイルになっており、PHP 5.6.0はPHP 5.5.0から14ヶ月後の2014年8月にリリースされました。PHP 5.6ではphpdbgという新デバッガが同梱されるようになるなど注目点もありましたが、過去のバージョンアップに比べると変化が小さいバージョンアップでした。 ところで、PHPの次のバージョンアップではメジャーバージョンアップを予定しており、バージョン番号としては7.0となります。メジャーバージョンが5から7へと一気にジャンプするのは珍しい現象ですが、過去に開発中止となったP
弊社ホームページ改ざんに関するお詫びとご報告 | gihyo.jp
弊社ホームページにおいて、2014年12月6日11時~14時のあいだ、第三者からの不正アクセスによりサイトが改ざんされていた事が判明いたしました。ご利用頂いておりますユーザの皆さまにおかれましてはご迷惑をお掛けいたしまして、深くお詫び申し上げます。 なお、現在は被害を受けたサーバは復旧作業を実施済みです。ご利用ユーザーの皆さまの個人情報流出等は、現在のところ確認されておりません。 被害対象サイト/コンテンツ URL:http://gihyo.jp 改ざん内容とその影響 サーバの中身を入れ替えられ、外部のサイトにリダイレクトされるように設定されていた。 リダイレクトされていたサイト(アクセスしないようご注意ください) www.koushin-lawfirm.net live.livelistingreport.com 現在把握している改ざんされていた可能性がある期間 2014年12月6日
第1回 外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(1) | gihyo.jp
フロントエンドWeb戦略室 第1回外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(1) フロントエンドを考えるということ みなさんこんにちは。NHN Japanでエンジニアをやってますmalaです。livedoor Readerを作ったりJavaScriptを使ったUI(User Interface)、非同期処理、Webアプリケーションセキュリティ周りの仕事をしています。 この連載ではフロントエンド[1]を語るうえでは外せないJavaScriptを中心に、その周辺のUI・Webアプリケーションセキュリティを扱います。そして、ただ理想のフロントエンドを考えるだけでなく、具体的な実装を提案していくこと。これが本連載最大の目的です。 第1回となる今回は、広告やブログパーツ、ウィジェットなど、外部ドメインに貼り付けられるJavaScriptを書くう
第3回 さっそくGitを使ってみよう! | gihyo.jp
皆さん、こんにちは! エンジニアアイドル「ハックガールズ」の堤沙也と濱ヶ崎美季です。 私たちと一緒にGitを学ぶこの連載、第3回の今日はいよいよ本格的にGitに触れてみましょう! Gitの導入方法・概要 Gitを導入する際のおおまかな手順を説明します。 Gitをインストールする Gitの初期設定を行う(ユーザ名やメールアドレスの登録) Git管理するリポジトリを作り、Git管理下に置く 手順はたったこれだけです! なお、お使いのPC(OS)によって導入方法が異なり、OSが同じでも導入方法は復数あるので、今回紹介するのはあくまで一例です。 Gitのインストール Gitをソースからインストールする場合、Gitが依存するライブラリを1つ1つインストールしたり、コンパイルするなどの作業が必要になるため、初めてGitを使う方は何かしらのパッケージマネジメントツールを使ってインストールすることをお勧め
第3回 JSONPでのクロスドメインアクセス | gihyo.jp
JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ
第0回 開業のごあいさつ(診断するPHPコードも大募集!) | gihyo.jp
PHPは実用的な言語 こんにちは。新原と申します。本連載では、PHPプログラミング診断室ということで、世のPHPコードが健全になるべく、診断していきたいと思います。よろしくお願いします。 PHPを開発したRasmus Lerdorf氏は、「PHPは歯ブラシのようなものだ」とPHPを表しています。歯ブラシは毎日使うもので、それは仕事であり、シンプルな道具である、と。筆者はこの発言を知ったときにPHPを端的に表した良い表現だと感じました。そう、PHPはシンプルな道具ゆえに誰もが簡単に使い始めることができます。HTMLの中に埋め込んで、動的にHTMLを生成するのはとても簡単です。また、コードも柔軟に書くことができ、ユニークな書き方をしてもそれなりに動いてくれます。 PHPは、これまでとても多くのユーザを獲得してきました。特に特徴的なのが、プログラミングを行う人(プログラマですね)だけではなく、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
LXCで学ぶコンテナ入門 -軽量仮想化環境を実現する技術 記事一覧 | gihyo.jp