Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
[メモ] Starlet 0.22のリリースに伴いThundering Herd問題を再訪した件
@takezawaさんから、PerlベースのWebアプリケーションサーバであるStarletで複数ポートをlistenできるようにするPRをいただいたのでマージしました。やったね! で、それに伴いprefork型TCPサーバのThundering Herd問題を再訪したので、その備忘録。なお、Thundering Herd問題については、prefork サーバーと thundering herd 問題 - naoyaのはてなダイアリーや、Starman と Starlet のベンチマークと Accept Serialization - Hateburo: kazeburo hatenablogあたりを参照のこと。 まず、こんなテストスクリプトを書いた: thundering-herd.pl こいつを書いてあるコメントのとおり実行してみることで、2種類のケースでThundering Herd
小保方さんの会見に思うこと - むしブロ
2014年4月9日、小保方晴子さんと代理人の弁護士が記者会見を開き、理研調査委員会の最終調査結果への不服申し立て内容について説明しました。 小保方氏一問一答: 毎日新聞 会見で小保方さんはNatureに掲載されたSTAP細胞研究論文に不適切な点があったことを認めて謝罪しました。しかし、理研調査委員会による調査は不十分であり、データ画像の改ざんと捏造の認定については容認しない旨が述べられました。その他にも、STAP細胞を200回ほど作製してきたことや、第三者がSTAP細胞作製の追試に成功したことが報告されました。 ただ、作製した細胞の多能性マーカー遺伝子Oct4の発現を確認しただけなのか、それとも細胞の分化能まで確認したのかなど、STAP細胞をどのレベルで確認したかについては言及されませんでした。また、追試に成功した人物についても明らかにされませんでした。 ここでは、STAP細胞の存在自体の
guidelines - Good guidance for when to use which log level (info, warn, debug, etc) for application logging - Stack Overflow
Does anyone have any good guidance on when to use which level for application logging? These levels are (roughly) based on the old syslog message levels: 0 Emergency: system is unusable 1 Alert: action must be taken immediately 2 Critical: critical conditions 3 Error: error conditions 4 Warning: warning conditions 5 Notice: normal but significant condition 6 Informational: informational mess
The Heartbleed Hit List: The Passwords You Need to Change Right Now
It's time to update your passwords to various sites affected by the Heartbleed bug. Credit: Mashable composite. iStockphoto, SoberP An encryption flaw called the Heartbleed bug is already being dubbed one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services -- ones you might use every day, like Gmail and Facebook -- and could have quie
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『小保方さんの会見に思うこと - むしブロ』へのコメント