i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
SoftBankガラケーの致命的な脆弱性がようやく解消 - 高木浩光@自宅の日記
■ SoftBankガラケーの致命的な脆弱性がようやく解消 ソフトバンクモバイルのガラケーWebブラウザで、https:接続する際の仕様に変更があった。昨年10月に予告が発表され、元々は2月に実施される予定だったのが、6月30日に延期されていたもの。これまで、https:サイトへのリンクのすべてが https://secure.softbank.ne.jp/ 経由に書き換えられる仕様だったが、この機能が廃止された。 ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起, ITmedia, 2011年6月30日 Yahoo! ケータイ、2011年2月に仕様変更 ユーザーとサイト開発者に注意喚起, ITmedia, 2010年10月15日 MOBILE CREATION - WEB & NETWORK SSL/TLS, ソフトバンクモバイル これは、昨年6月に、ソフトバンクモバイル宮川CTOに
VOYAGE GROUP に入社しました
本を出して落ち着いてからちまちま転職活動してたのですが、VOYAGE GROUPに決め、先週から働いております。 面接するまでてっきりECナビはECナビ(ってサイト)やってる会社だとばかり思ってましたが、実は現在ではECナビは一事業にすぎず手広くやってます。例えばぼくが座ってる島の隣の島はスマートフォン開発をしてるのですが、そこはジェネシックスという会社。 ぼく自身は本体のシステム本部配属ですが、今はunigameという会社(ここは携帯ゲームとかやってる部門)に席を置いてます。ちょうど次さわってみたいと思ってた内容が始まったところだったので覚えること多いですが楽しくやってます。 グループ全体としてサーバーサイドはPHPが多いのですが、「とくにしばりはなく理由があれば向上にもなるからいろいろやってほしいし、実際いろんなのが使われてるよ」(小賀CTO談)ということで、unigameもそろそろP
nginx - locationの文字列と正規表現の優先順位 - うまいぼうぶろぐ
http://wiki.nginx.org/NginxHttpCoreModule#location 少しはまった。正規表現の設定のほうが後で評価されて、設定が上書きされるのか。そういえば、apacheもそうだったかな? 例 URL: /fooにaliasを設定しているとする。で、/foo以外の画像(正規表現で指定)へのリクエストはreverse proxyしたいとする(/foo/bar.jpgはreverse proxyさせずにaliasで設定しているdirectoryから配信したい)。 この場合、/fooの設定は"location /foo"ではなくて、"location ^~ /foo"じゃないとダメ。 ###### 設定A # location /foo { # 間違い location ^~ /foo { alias /path/to/foo; index index.html
自作プログラムをデーモンにする | Carpe Diem
自作のシェルスクリプトをデーモンにするプログラムに、start-stop-daemon というものがあるみたいです。しかし、これは CentOS では提供されていないので、何かいいのがないかなと思って調べてみたところ、start-stop-daemon を C 言語で実装し直したバージョンがあることが分かった。 さっそくインストールしてみた。 プログラムを展開する gcc start-stop-daemon.c -o start-stop-daeemon してコンパイルするだけ 本番サーバに展開したかったので、RPM を作った。SPEC は start-stop-daemon,spec においておいた。 start-stop-daemon をインストールしたら、TokuLog にあるような簡単に sysinit スクリプトを書くだけでデーモンにできる。 これは、便利だわ。
nginx + fastcgi + start-stop-daemon (さくらVPS + CentOS 5.6 + nginx 続き) » # watch -d tail /var/log/ngsw.log
先日の /etc/nginx/nginx.conf に以下を他の location ディレクティブと同列に配置してみるとする。 ex) 例えば location / { … } と同列に。 location ~ \.php$ { root /path/to/example.com/DocumentRoot; fastcgi_pass 127.0.0.1:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name; include fastcgi_params; } /etc/nginx/fastcgi_params /etc/nginx/fastcgi.conf と関連するファイルがある。 差分を見てみると diff -u /etc/nginx/fast
isuconお遊びチーム(事前社内β組)の設定あれこれ - hideden.hatenablog.com
ISUCONに行ってきました。社内での事前βテストに参加して問題を知っていたので出場はせず。社内β参加を持ちかけられたときは、正直「めんどくせーなw」が素直な感想だったんですが、実際にやってみるとスコアがリアルタイムにわかる&ちょっとずつ自分のスコアが上がっていくってのは楽しくて、わりと本気でチューニングしてしまいました。 さて、本戦でも14時頃からお遊び用としてサーバー一式が解放されたので、大人げも無くそこで112500req/minをたたき出して参加者のやる気を削いだ(・・と懇親会で言われました。色々すいません!)構成について。 reverse proxy nginx(1.0.5) ngx_http_memcached + ngx_http_ssi_filter + ngx_http_scgi + ngx_http_upstream_keepalive(3rd party plugin
#isucon に参加してきました&isuconツールを試してみました - As a Futurist...
「なんでもありの」といううたい文句の通りに楽しめたチューニング大会#isucon に参加してきました。 livedoor Tech ブログ : なんでもありの Web アプリケーション高速化バトル、#isucon 開催のお知らせ 最初は参加するつもり無かったんですが、知ってる方がかなり参加されそうだったのと、MySQL Casual の帰りに@kamipo さんが 「3 人チームで#isucon に申し込んだけど、『kamipo』『未定』『未定』やねん!」 と悲しそうにしていたので、kamipo さんと 2 人チームで参加させて頂くことになりました。kamipo さんホントありがとう!!ちなみにチーム名はふたりとも大好きな「チームやすべえ」 あんま大したことができなかったし、藤原組とかいうや ◯ ざなチームが圧倒的な強さを見せたりしていたので、真面目な話はそちらにお譲りします! #isuc
Apache killerは危険~Apache killerを評価する上での注意~
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
ISUCON に参加してきました - do_aki's log
livedoor 主催の、いい感じにスピードアップコンテスト ISUCON (Iikanjini Speed Up CONtest) に参加してきました。 ちょっとふざけた名前(失礼)ながら、中身は本格的で、用意されたプログラムやベンチマークは、過去に実際に起きた問題に似せた形で出題されたそうです。 「チームでの参加を推奨します」とは言われてたのですが、ボッチ力を発揮して一人での参加。 チーム名は「くまさんちーむ」でした。 結果 1分ベンチでは2万強。最終的な結果(3分ベンチ)では 56,151 request というスコアを出せました。 残念ながら、優勝された fujiwara組には遠く及ばないスコアでしたが、記録としては上位に入れましたし、一人でここまで出せたので満足です。 実際にやったのは以下の通り。 DB にテーブルを追加し、アプリケーションのクエリを書き換え やはり、一番のネック
isucon終了に寄せて - たごもりすメモ
ISUCon が終わりました。さっき、懇親会を終えて帰宅し、イベントで使用した仮想マシンすべてをシャットダウンしました。 しばらく前、あるきっかけがあったあとで「こんなイベントにすれば楽しいはず! 少なくとも自分は楽しめそう! やりたーい!」とTwitterに放流し、その後に社内のIRCでも同じようなことを言った結果「やればいいんじゃない?」的な反応を社内からもらい、何人かの人に協力をお願いしながら進めてたら、いつの間にかすごいイベントになってました。会場の手配もネットワークの手配も名札の手配も飲食の手配もトロフィーや副賞の手配も、すべて自分以外の社員が、こうしたら良いイベントになるはず、とやった結果です。すげー会社で働いてるんだなあ俺、とか今更思いました。 レギュレーションの検討・作成から実際のコード・サーバ環境の作成まで、いっしょにやってた kazeburo さんはもとより、超多忙な同
#isucon で優勝してきました - 酒日記 はてな支店
なんでもありのWebアプリケーション高速化バトル、#isucon に会社の同僚 @Songmu @sugyan と3人で、fujiwara組として参戦してきました。結果、幸いにも優勝を勝ち取ることが出来ました。 こんなに楽しいイベントを企画、運営していただいた Livedoor の皆様、本当にありがとうございます!! さて、ざっとチューニングした経過などを記録しておきます。 [追記] もっと詳しいレポートを @Songmu が上げているのでそちらもご覧ください おそらくはそれさえも平凡な日々: #isucon で優勝させてもらってきました [さらに追記] #isucon ではどんなことを考えながら作業していたか - 酒日記 はてな支店 自分でももう少し詳しく振り返りエントリ書きました。 まず説明を聞いて、環境を作るところから。IPアドレスでは作業がしにくいし事故も起こりそうなので、host
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
