すべてのWebサイトの暗号化を目指すLet’s Encryptを試す | さくらのナレッジ
インターネットの爆発的な広がりに合わせてセキュリティ上の問題に注目が集まるようになっています。2010年頃にはFiresheepが広まり、公衆無線LANなどにつないだPCの通信を簡単にモニタリングできてしまう行為が問題になりました。また、昨今のプライバシーに対する懸念から、多くのサイトではHTTPSをデフォルトにするようになっています。 そんな流れもあって現在開発が進められているのがLet's Encryptです。誰でも無料で使えるSSL/TLS証明書発行サービスとなっています。先日、ついにパブリックβになり、誰でもすぐに使えるようになりました。そこで今回はLet's Encryptを使ったサイトのSSL/TLS化手順について紹介します。 なお、執筆時点ではApacheについてはプラグインが提供されていますが、nginx向けは開発中とのことです。ただし手作業で行う分にはnginxでも利用で
Let's Encrypt サーバー証明書の取得と自動更新設定メモ
用途にもよりますが、通信の暗号化を目的とするのであれば、ドメイン認証型で十分です。例えば HTTP/2 でWEBサーバを動かすには、事実上SSL/TLSが必須になりますので、そういった用途でも普及しそうですね。 Let's Encrypt の証明書取得方法 Let's Encrypt クライアントソフト(コマンド)をインストールして、証明書取得用のコマンドを打つだけです。 冒頭にも書きましたが、Let's Encrypt での証明書取得の手続きは、他の認証局のものと大きく異なります。Let's Encrypt のサイトに行って「CSRを送信する申請フォームはどこだろう?」と探したのは、私だけではないはずです(^^;) 参考までに、一般的なドメイン認証型の証明書発行の流れは、以下の通りです。 (1) 秘密鍵を作成 (2) 秘密鍵を元に、CSR(証明書を発行するための署名要求)を生成 (3)
404 ノット・ファウンド - あるいは、ページが存在しないことについて
404 ノット・ファウンド あるいは、ページが存在しないことについて そのページはかつてここに存在していたか、あるいは元から存在していなかった。ただひとつ言えることがあるとすれば、君の探していたページは今、ここには存在していないということだ。 考えられる可能性はざっと2つある。ひとつはブラウザのアドレス・バーに打ち込んだURLが間違っていたことだ。たしかにURLは取るに足らないアルファベットの文字列に過ぎないし、打ち込んだ後はそのことをきれいさっぱり忘れてしまっても構わない。実際、君はそれを数秒後か数十秒後には忘れてしまうだろう。それでもURLを入力するときには、土曜日の朝にドリップコーヒーを淹れるときみたいに、間違えないよう丁寧に扱ってやる必要がある。ただの1文字でも間違ってしまったURLは、君をどこへも連れて行ってはくれないのだから。 もうひとつの可能性は、君の探していたページが、ここ
なぜHTTPSはHTTPより速いのか
先週、httpvshttps.com というウェブサイトが公開されました。このウェブサイトでは、HTTP と HTTPS を用いてアクセスした場合のウェブページのダウンロード完了までにかかる時間の比較ができるのですが、多くの環境で HTTPS の方が HTTP よりも高速なことに驚きの声が上がっていました。 HTTP が TCP 上で平文を送受信するのに対し、HTTPS は TCP 上で TLS (SSL) という暗号化技術を用いて通信を行います。ならば、TLS のオーバーヘッドのぶん HTTPS のほうが遅いはずだ、という予測に反する結果になったのですから、驚くのも無理はありません。 実は、この結果にはからくりがありました。 Google Chrome、Mozilla Firefox、最近のSafari注1は、Google が開発した通信プロトコル「SPDY」に対応しており、HTTPS
にゅぴ on Twitter: "橋本聖子事務所のサイトのソースをご覧下さい。 http://t.co/MaoxF3mS7a"
橋本聖子事務所のサイトのソースをご覧下さい。 http://t.co/MaoxF3mS7a
HTTP/1.1: They're done. from Mark Nottingham on 2014-06-07 (ietf-http-wg@w3.org from April to June 2014)
From: Mark Nottingham <mnot@mnot.net> Date: Fri, 6 Jun 2014 22:09:10 -0400 To: HTTP Working Group <ietf-http-wg@w3.org> Cc: TAG List <www-tag@w3.org> Message-Id: <21E3BAED-3D08-449A-9F93-B35F3F0DEE3F@mnot.net> Just a quick note - The revision of HTTP/1.1’s specification, obsoleting RFC2616, is complete. See: http://tools.ietf.org/html/rfc7230 - Message Syntax and Routing http://tools.ietf.org/html
「エラー451」の時代はやってくるのか? « マガジン航[kɔː]
インターネットでしばしば見るエラー番号には、それぞれに意味がある。たとえば、いちばんよく出る「エラー404」は、サーバーの上に指定のページが存在しない、すなわち「見つかりません」という意味だ。 では、「エラー451」の意味はなんだろう? これはネット検閲を強化しようとする動きを明らかにするために、XML規格の起草者の一人でいまはGoogle社の一員であるティム・ブレイ氏が、2012年5月にウェブの管理機関であるInternet Engineering Task Force(IETF)に提出した、「Unavailable For Legal Reasons(法的な理由でアクセス不可)」を意味する新規のエラー番号だ。 2012年6月、イギリス政府が有名なThe Pirate Bay(TPC)というP2Pダウンロードサイトを封鎖したとき、そのサイトにアクセスしようとした者に対して表示されたエラー
いい加減、<script src="http://.. と書くのはやめましょう - DQNEO起業日記
外部サイトのJSファイルを読み込むときに、こういう書き方するのはやめましょう。 <script src="http://example.com/js/jquery.js"></script> 理由 あなたのサイトが、いつの日かSSLに対応することになったとき、そのscriptタグがバグの原因になります。 ご覧のとおり、HTTPSページの中でHTTP要素を読み込もうとすると、ブラウザによっては安全装置が働いて読み込んでくれないのです。 上の例ではjQueryの読み込みに失敗していますが、エラーメッセージ「Uncaught ReferenceError: jQuery is not defined 」を見てもHTTPS/HTTPのプロトコルが原因だとはすぐ気づかないので、わかりにくいバグになってしまいます。 結論 JSファイル(とかCSSとか画像とか)を読み込むときは、"http:"の部分を省
Mojolicious::Plugin::AccessControlをshipitしました - hayajoのはてなブログ
shipitしました。 Mojolicious::Plugin::AccessControl - Access control - metacpan.org これなに? Mojoliciousでルートごとにアクセス制御を定義できるモジュールです。Apacheのmod_accessみたいな感じ。 注意点 アクセス制御の対象はMojolicious::Routes::Routeオブジェクトで、Mojolicious::Routes::Route#overを使っているだけなので、denyされる場合は403ではなく404が返ります。 また、Mojolicious::Staticで提供されるような静的ファイルは対象外となります。 こちらも参考に。 Mojolicious::Guides::Routing#Conditions Mojolicious::Guides::Routing#Conditon
httpstatus コマンドで、HTTP のステータスコードをすばやくしらべる! - tokuhirom's blog
一般的な Web Programmer ならば、HTTP Status code はすべて暗記していると聞きました。 しかし、僕は初心者なので、なかなか覚えきれていないので、HTTPのステータスコードをさがすのに便利なツールを用意しました。App::httpstatus です。インストール方法は cpanm App::httpstatus です。というか依存とかないのでhttp://api.metacpan.org/source/TOKUHIROM/App-httpstatus-v1.0.0/httpstatus をコピーしてくればうごきます。 使い方は以下のとおりです。 4xx なコードを列挙する。 % httpstatus 4 400 Bad Request 401 Unauthorized 402 Payment Required 403 Forbidden 404 Not Foun
YappoLogs: シェル関数でHTTP のステータスコードをすばやくしらべる! そしてメンテナンスフリー!
シェル関数でHTTP のステータスコードをすばやくしらべる! そしてメンテナンスフリー! 一般的な Web Programmer ならば、HTTP Status code はすべて暗記していると聞きました。 しかし、僕は初心者なので、なかなか覚えきれていないので、HTTPのステータスコードをさがすのに便利なシェル関数を用意しました。httpstatus.sh です。.basrc とかに書いとくだけです。 使い方は以下のとおりです。 4xx なコードを列挙する。 $ httpstatus 4 400 Bad Request 401 Unauthorized 402 Payment Required 403 Forbidden 404 Not Found 405 Method Not Allowed 406 Not Acceptable 407 Proxy Authentication Req
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
先輩と覚える HTTP ステータスコード
gistfile1.md 先輩に学ぶ HTTP Status Code 超雑にまとめました。修正してください。 登場人物 アプリケーション先輩: いつも忙しい。横に広がるのが得意(デブじゃない)。 後輩: 頼んでばっかしで役に立たない。 サーバー先輩: アプリケーション先輩と仲がいい。Unix Socket でつながるくらい仲良し。 プロクシ先輩: アプリケーション先輩とかサーバー先輩と後輩の間を取り持って代わりに伝えたりしてくれる。たまに勝手にレスポンスを書き換える。 1xx 系 100 Continue 後輩「あ、先輩!お願いが!」 アプリケーション先輩「おー、聞いてやる。詳しく話せ」 101 Switching Protocols 後輩「せんぱーい、お願いなんですけどー」 アプリケーション先輩「ちょっと待て、お前 HTTP 1.0 で喋るな、 HTTP 1.1 か TLS 1.0 で
wgetとcurlの根本的な違い - ctrlshiftの日記
UNIXの代表的なダウンローダにwgetとcurlがあります。 たいていの場合どんなOSでも、どちらかのソフトがインストールされているのではないかと思います。 しかし、この2つのダウンローダの機能は、一見似ているようにも見えますが、実はそれぞれに特徴が見られるので、今日はそれについて解説してみます。 wgetの特徴 wgetのスペルは「片手でもコマンドできる」ということもあって、多くの人から気に入られています。 そんなwgetの特徴として、最も際立っているのが、クローラとして動作可能という点です。 オプションで-rを付加してやることで再帰的に動作し、-lでその深さを指定することができます。 また、-Aや-Rを利用すれば、ダウンロードする拡張子のホワイトリストとブラックリストを指定することも可能です。 つまり、特定のサイト内に散らばって存在するファイルを、拡張子によって指定ダウンロードできる
URLに関する議論 -- なぜ僕はクエリパラメータを擁護、ときに推奨するのか - 檜山正幸のキマイラ飼育記 (はてなBlog)
一時期(2010年の1月頃)、URLの議論をしていて、僕は拡張子を含むURLやクエリパラメータを擁護していました。 そろそろ決着、HTTPメソッド、URL、そして標準化された動詞 RESTfulなWebサイトと拡張子を含むURLについて 最近、またURLの問題を考えてみたのですが、僕が拘っているのは次の2点なのだと気付きました。 すべてのURLを列挙したい。 すべてのURLを分類したい。 すべてのURLを列挙したい あるWebサイトやWebアプリケーション(以下、総称してWebシステム)を考えたとき、有効なURLを完全に列挙したいのです。ここでの「URL」は、正確に言えばクエリパラメータを含まないパス部分のことです。もちろん、有効なURLは時々刻々と変化します。でも、ある一時点を取れば、その時点におけるURLは確定するはずです。各時点ごとのURLの集合を100%把握したいのです。 列挙する
webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
コンテント・ネゴシエーションのわかりにくさ | 水無月ばけらのえび日記
公開: 2011年5月5日22時40分頃 本日、bAサイト (www.b-architects.com)を更新しました。コンテンツは全く変わっていないのですが、Accept-Languageによるコンテント・ネゴシエーションが行われなくなっています。 bAサイトは昔からコンテント・ネゴシエーションを実装していて、ブラウザのAccept-Languageがjaならば日本語のコンテンツを、enなら英語のコンテンツを、どちらでもなければ406 Not Acceptableを返すようになっていました。 その状態で10年ほど運用されてきたわけですが、しばしば以下のようなお問い合わせが。 日本語を使う人が海外からbAサイトを見ようとすると英語になってしまい、日本語のコンテンツを見る方法が分からない英語を使う人が国内からbAサイトを見ようとすると日本語になってしまい、英語のコンテンツを見る方法が分からな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Pecinta Drama
なぜ html の form は PUT / DELETE をサポートしないのか?
[3]HTTPヘッダーインジェクションとクリックジャッキング![[3]HTTPヘッダーインジェクションとクリックジャッキング](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
