NginxでHTTPS:ゼロから始めてSSLの評価をA+にするまで Part 2 – 設定、Ciphersuite、パフォーマンス | POSTD
NginxでHTTPS:ゼロから始めてSSLの評価をA+にするまで Part 2 – 設定、Ciphersuite、パフォーマンス 今日のインターネットの世界では、一般的な静的Webサイトも含め、 全てのWebサイト に、強固で安全なHTTPSのセットアップが必要となります。この記事は、Nginxセキュリティをどのようにセットアップするのかに関するシリーズのパート2です。 パート1 は、Webサーバに有効な署名証明書をセットアップする話で終了しました。しかしこれには、最適な設定とは言い難い、デフォルトのNginxの設定を使用していました。 この記事を読み終えれば、SSL Labsのレポートで、A+の評価を獲得できる安全なHTTPSの設定ができます。それだけでなく、追加でいくつかの微調整も行い、パフォーマンスそしてUXも向上させていきます。 ここに掲載した記述やコードの抜粋の他にも、すぐに使
VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談:IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2
記事中の見出しから目次を自動的に作成する「目次記法」を追加しました - はてなブログ開発ブログ
はてなブログでは、記事の見出しから目次を自動的に作成する「目次記法」を利用できるようにしました。レビューや論評、技術ブログなど章立てされた長い記事を書いたとき、記事中の見出しにリンクされた目次を、記事の冒頭に簡単に挿入することができます。どうぞご利用ください。 目次記法の使い方 記事に見出しを追加するには 見たままモードで見出しを追加する はてな記法モードで見出しを追加する Markdownモードで見出しを追加する ※この記事の目次も目次記法で作成しています。 ※【追記】目次記法を入力補助ツールバーから入力できるようにしました。詳細は以下の告知などをご参照ください。 http://staff.hatenablog.com/entry/2017/01/19/182000 目次記法の使い方 ※目次記法はどの編集モードでも利用できます。 目次を挿入したい行に、次のように[:contents]と記
『最高のサービスをローンチして1日で大失敗して僕が学んだこと』
『初めに、BeskyAirとはなんだったのか?、ターゲット層の選び方、サービスのローンチの仕方、スイッチングコスト、投資家の選び方、これから』 『初めに』 さて、約1年ぶりのブログ更新。今日はとんでもなく悲しく、頭にきて、そして学んだことがあったので日本語だけで(this is only in japanese)ブログを書きたいと思う。 今日、2年間ずっと開発して、考えて、ユーザーテストして、UI/UXのABテストして、web作って、ブートストラップで完璧なレスポンシブにしてローンチしたサービスが1日で無くなった。 作るにあたって膨大な時間、お金、そして投資家さんたちの夢をかけてやっただけにめちゃくちゃショックなので、誰かが同じような過ちをしないよう、ここに書き留めておこうと思う。 『BeskyAirとはなんだったのか?』 そもそも、どんなサービスをローンチしたのかの前に、キャビンアテンダ
ドリコムを退職しました……弟子が | 外道父の匠
世間の流れに沿って、一度、退職エントリを書いてみたかったんですけど、まだちょっと退職しそうにないんで、倒置法で我慢してみました。 本人には「退職エントリ書くね!」と去り際に伝えてありますが、センシティブなカテゴリですから、企業・個人事情に基づくものというよりは、身近な人間が退職したという出来事に対する感想的なものとなります。 ザッと振り返って 前に書いた、「新卒インフラエンジニアを育成した話」で地獄を見せようと試みて、いまいち業火で焼き尽くせず耐え切ったアノ弟子です。二年が経過し、中小規模のサービスを専任で4~5個担当するまで至っていたので、当人の努力と成果は十分であったのかと思います。 他にも、AWS関連や、インフラのアーキテクチャなどは、私と共に進めたり、時には率先して案を出したりもしてくれていたので、中盤からは弟子というよりは普通に共同作業者という立ち位置でした。例えば「現代ITイン
Androidアプリ「はてなブックマーク」がAMPに対応しました - はてなブックマーク開発ブログ
いつもご利用いただき、誠にありがとうございます。はてなブックマークディレクターのid:juseiです。 本日、Androidアプリ「はてなブックマーク」バージョン2.12をリリースしました。今回のアップデートより、各カテゴリーの人気・新着エントリーにおいて「Accelerated Mobile Pages(以下、AMP)」に対応したWebページを表示できるようになりました。 エントリー一覧で、タイトル左側にあるアイコン(favicon)に雷マーク が付いているエントリーをタップすると、通常よりも速く表示できます。AMP対応ページにおいて、ブックマークしたりコメントを見たりする時にはAMPではないURLを用いておりますので、ご安心下さい。いつも通りGoogle Playからアップデートしてご利用くださいませ。 ▽ はてなブックマーク / ニュース・まとめを無料でブックマーク - Google
Railsのセッション管理方法について - (2015年までの)odaillyjp blog
セッション管理はWebアプリケーションを開発・運用するときに必ず関わってきますので、ある程度知っておかなければいけないことかと思うのですが、Railsのセッション管理について解説している資料が少ないように思えました。私もRailsのセッション管理についてあまり知識がありませんでしたので、簡単にですがまとめてみました。 なお、今回のエントリはセッション管理の大雑把な仕組みについて知っていることを前提にして進めていきます。セッション管理の仕組みについてご存知ない方は、『体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践』という書籍での説明がわかりやすかったので、そちらをご一読されると良いかと思います。 Railsのセッション管理方法 Railsでは、config/initializer/session_store.rbファイルにセッションの管理方法を指定します
Amazon Route 53でメトリクスベースのヘルスチェック、プライベートホストゾーンのDNSフェイルオーバー、設定可能なヘルスチェックロケーションがアナウンスされました | Amazon Web Services
Amazon Web Services ブログ Amazon Route 53でメトリクスベースのヘルスチェック、プライベートホストゾーンのDNSフェイルオーバー、設定可能なヘルスチェックロケーションがアナウンスされました Amazon Route 53の3つの新しいヘルスチェック機能を発表できることに興奮しています。 メトリクスベースのヘルスチェックにより、Amazon CloudWatchのメトリクスを基にDNSフェイルオーバーが実行できるようになりました。これには、AWSで提供されるメトリクスと、アプリケーションのカスタムメトリクスが含まれます。Amazon Route 53でメトリクスベースのヘルスチェックを作成すると、関連付けられたCloudWatchメトリクスが”ALARM”の状態になると、ヘルスチェックが”Unhealty”なステータスになります。 メトリクスベースのヘルスチ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
話題沸騰中の英語教科書「エレン先生」 イラスト担当者に話を聞いた
mysql-buildでQ4Mやmroongaもビルドしたい