HTTP/2のRFCを読んだ感想
はじめに 私は自ら「串職人」と名乗るほどウェブの(つまりHTTPの)Proxyサーバが好きで、もう10年以上もプロキシサーバを作り続けています。このブログの主題であるクラウド型WAF、Scutumもそのひとつです。そもそもプロトコルとしてのHTTPが好きです。ウェブの裏側に、とてもシンプルな、テキストベースのHTTPプロトコルが活躍しているということが私の串職人としての出発点です。 HTTP/2が出た 先日、ついにHTTP/2が出ました。 数年前から、「SPDY」などのキーワードに代表される次世代のHTTPが模索されていることは何となく知っていましたが、どうもGoogleのような非常に大きいトラフィックを処理している組織が主導しているもので、一般の開発者やウェブの利用者にとってそれほど魅力的なものではなさそうだな、という印象を抱いていました。 サーバ側を作っているのもGoogle、ブラウザ
CSRF対策を低コストかつ手軽に実施する方法
はじめに 広く報道されているように(参考記事)、CSRFによるウソの殺人予告によって、無実の大学生が逮捕される事件が発生してしまいました。 筆者は2006年に「開発者のための正しいCSRF対策」という記事をインターネット上で公開し、またメーリングリスト上での議論などでCSRF脆弱性への対策について啓蒙してきたつもりですが、実際にはインターネット上の多くのウェブアプリケーションは未だCSRF対策がなされておらず、今回問題が起こった横浜市のホームページも氷山の一角に過ぎないだろうと考えています。 CSRF対策がなかなか広まらなかった理由のひとつは、大きな、あるいは目立った被害がこれまであまり見られなかった事かと思います。mixiでのはまちちゃんによる「こんにちはこんにちは」事件などもありましたが、あくまでいたずらレベルに過ぎず、小規模なウェブサイトにおいてそれほど積極的に対策しようという雰囲気
SSL/SPDYを攻撃するCRIMEはBEASTの正統な後継者だ
はじめに 以前のエントリでSSLに対する新しい攻撃手法「BEAST」を紹介しましたが、今回はBEASTをさらに発展させた「CRIME」という攻撃について簡単に紹介したいと思います。一次情報源としてこちらのスライド(英語)が閲覧できますので、時間がある方はぜひ目を通してみてください。 CRIMEの意味 CRIMEは "Compression Ratio Info-Leak Made Easy" あるいは "Compression Ratio Info-Leak Mass Exploitation" の頭文字で、SSLやSPDY(あるいはHTTPボディ部のgzip圧縮)で使われる圧縮アルゴリズムに注目した攻撃手法です。あまり知られていませんがSSLには圧縮機能が存在しており、サーバ側・クライアント側双方が圧縮機能をONにしている場合に、データが圧縮されます。 BEASTとの関係 CRIMEはB
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
